透明部落:发展历程分析(一) – 作者:Kriston

透明部落(又称PROJECTM和MYTHIC LEOPARD)是一个十分活跃的APT组织,其活动可以追溯到2013年。

背景和主要发现

Proofpoint在2016年发表了一篇有关透明部落的分析报告,在过去的四年中,该APT小组一直保持活跃状态,其目标通常是印度军方和政府人员。该小组不断更新他们的程序工具,使用嵌入式宏恶意文档感染目标。

他们的主要恶意软件是自定义的.NET RAT(公开称为Crimson RAT),另外还发现了其他自定义.NET恶意软件和基于Python的RAT Peppy RAT。在过去的一年中,该组织加强了攻击活动,开始了大规模的感染攻击,开发了新的工具并加强了对阿富汗的攻击渗透。

近期有以下主要发现:

1、发现Crimson Server组件,Transparent Tribe用来管理受感染机器和攻击渗透。
2、透明部落持续传播Crimson RAT,感染了多个国家(主要是印度和阿富汗)。
3、发现USBWorm组件,并且已在数百个系统上检测到它。

Crimson Server

Crimson是透明部落从事间谍活动的主要工具。该工具由各种组件组成,攻击者使用这些组件在受感染的计算机上执行各种操作:

远程文件管理系统
上传下载文件
截图
使用麦克风进行音频监控
记录摄像头设备视频流
截图
窃取可移动设备中的文件
执行任意命令
键盘记录
窃取保存在浏览器中的密码
利用可移动存储设备在系统中传播

在分析过程中发现了一个.NET文件,该文件被标识为Crimson RAT,攻击者通过向服务器端植入恶意软件从而管理客户端组件。发现了两个不同的服务器版本,其中包括安装USBWorm组件,执行命令的功能,两个版本仍在开发中。

Crimson Server version “A”

主面板

主面板提供了受感染机器的列表,并显示受害者系统的基本信息。

sl_transparent_tribe_01.png

利用IP地址,使用在线网站检索地理位置信息:

http://ip-api.com/xml/<ip>

顶部工具栏可用于管理服务器或启动某些操作,底部输出控制台包含服务器在后台执行的操作的列表。

服务器会使用“设置”类中指定的配置:

sl_transparent_tribe_02.png

该类包含每个恶意软件组件使用的TCP端口值,默认文件名和安装路径。它们需要手动放置在特定的预定义文件夹中。

Bot面板

Bot面板具有十二个选项卡,可用于管理远程系统和收集信息。

1、更新模块

用于检查客户端配置,上传Crimson组件并在远程系统上执行。

sl_transparent_tribe_03.png

Crimson框架由七个组件组成:

① Thin客户端

用于识别受害者系统版本,它包含功能有:

收集受感染系统信息
截图
远程文件管理
下载上传文件
获取进程清单
终止进程
执行文件

② Main客户端

功能齐全的RAT,可以用于:

安装其他恶意软件组件
捕获网络摄像头图像
使用电脑麦克风进行窃听
向受害者发送消息
用COMSPEC执行命令并接收输出。

③ USB驱动程序

USB模块组件,用于从连接到受感染系统的可移动设备中窃取文件。

④ USB蠕虫

这是USBWorm组件,用于从可移动设备中窃取文件,感染可移动存储介质并在整个系统中传播,可从远程Crimson服务器下载并执行“Thin Client”组件。

⑤ Pass Logger

凭证窃取程序,用于窃取存储在Chrome,Firefox和Opera浏览器中的凭证。

⑥ KeyLogger

用于记录键盘记录的恶意软件。

⑦ Remover

可以使用“删除用户”按钮将其自动上传到受感染的计算机,研究中没有获得该组件,无法对其描述。

透明部落通过配置服务器来阻止某些供应商的安全工具,防止在受卡巴斯基产品保护的系统上安装某些恶意软件组件,特别是“USB驱动程序”和“密码记录器”,还阻止在受ESET保护的系统上安装“ Pass Logger”。

sl_transparent_tribe_04.png

2、文件管理器和自动下载选项卡

文件管理器允许攻击者远程管理文件,执行程序,下载,上传和删除文件。

sl_transparent_tribe_05.png

3、屏幕和网络摄像头监控选项卡

Screen monitoring:

sl_transparent_tribe_7.png

Screen monitoring:

sl_transparent_tribe_8.png

4、其他选项卡

音频监视:恶意软件使用NAudio库与麦克风进行交互并管理音频流。该库存储在服务器端,攻击者使用特殊命令推送到受害者的计算机上。
发送消息:攻击者可以向受害者发送消息。
键盘记录器:收集键盘数据,包括受害者使用的进程名称和键盘记录,可以保存数据或清除远程缓存。
密码记录器:该恶意软件包括窃取浏览器凭据的功能。
进程管理器:攻击者可以获得特定进程列表,并将其终止。
命令执行:该选项卡允许攻击者在计算机上执行任意命令。

Crimson Server version “B”

此版本与先前的版本非常相似,在“B”版本中,图形用户界面是不同的。

sl_transparent_tribe_09.png

Update Bot选项卡中缺少“Update USB Worm”,因此不提供USB Worm功能。

sl_transparent_tribe_10.png

USBWorm

分析表明,USBWorm不仅仅是USB感染器。实际上,攻击者可以使用它来完成:

下载并执行Crimson“thin客户机”
使用USBWorm本身的副本感染可移动设备
从可移动设备(例如USB Stealer)窃取感兴趣的文件

默认情况下,该程序充当下载程序,感染程序和USB窃取程序。通常,该组件由Crimson“main客户端”安装,在启动时会检查其执行路径是否为配置中指定的执行路径,以及系统是否已感染了Crimson。如果满足这些条件,它将开始监视可移动设备。

感染过程中将列出所有目录,在每个目录中,它会使用相同的目录名称在驱动器根目录中创建其自身的副本,并将目录属性更改为“隐藏”。USBWorm会模仿Windows目录图标,诱使用户执行恶意软件。

USBWorm图标:

sl_transparent_tribe_16.png

数据盗窃过程会列出设备上存储的所有文件,并复制扩展名与预定义列表匹配:

感兴趣的文件扩展名:.pdf,.doc,.docx,.xls,.xlsx,.ppt,.pptx,.pps,.ppsx,.txt

攻击方式

去年1月开始调查Transparent Tribe发起网络攻击活动,攻击始于恶意Microsoft Office文档,这些文档通过钓鱼邮件发送给受害者。

sl_transparent_tribe_12.png

这些文档通常嵌入了恶意VBA代码,有时还会使用密码保护。

sl_transparent_tribe_13.png

宏将ZIP文件放到在%ALLUSERPROFILE%下创建的新目录中,并在同一位置提取内容。 目录名称可以不同,具体取决于示例:

%ALLUSERSPROFILE%\Media-List\tbvrarthsa.zip
%ALLUSERSPROFILE%\Media-List\tbvrarthsa.exe

VBA代码:

sl_transparent_tribe_14.png

可执行文件是Crimson的“thin客户端”,攻击者可以获取受感染机器的基本信息,收集屏幕截图,操纵文件系统,下载或上传任意文件。

目标分析

感染目标分布:

sl_transparent_tribe_20.png

检测组件种类分布:

sl_transparent_tribe_21.png

Top5国家感染情况(2019-2020):

sl_transparent_tribe_22.png

IoC

5158C5C17862225A86C8A4F36F054AE2 – Excel document – NHQ_Notice_File.xls

D2*07C07CB5DC103CD112804455C0DE – Zip archive – tbvrarthsa.zip

76CA942050A9AA7E676A8D553AEB1F37 – Zip archive – ulhtagnias.zip

08745568FE3B*2564A9FABD2A9D189F – Crimson Server Version “A”

03DCD4A7B5FC1BAEE75F9421DC8D876F – Crimson Server Version “B”

075A74BA1D3A5A693EE5E3DD931E1B56 – Crimson Keylogger

1CD5C260*F402646F88C1414ADB16 – Crimson Keylogger

CAC1FFC1A967CD428859BB8BE2E73C22 – Crimson Thin Client

E7B32B1145EC9E2D55FDB1113F7EEE87 – Crimson Thin Client

F5375CBC0E6E8BF10E1B8012E943FED5 – Crimson Main Client

4B733E7A78EBD2F7E5306F39704A86FD – Crimson Main Client

140D0169E302F5B5FB4BB3633D09B48F – Crimson USB Driver

9DD4A62FE9513E925EF6B6D795B85806 – Crimson USB Driver

1ED98F70F618097B06E6714269E2A76F – Crimson USB Worm

F219B1CDE498F0A02315F69587960A18 – Crimson USB Worm

64.188.25.206 – Crimson C2

173.212.192.229 – Crimson C2

45.77.246.69 – Crimson C2

newsbizupdates.net – Crimson C2

173.249.22.30 – Crimson C2

uronlinestores.net – Crimson C2

参考链接

securelist

来源:freebuf.com 2020-08-26 09:15:31 by: Kriston

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论