TAG:高级可持续攻击、白象、摩诃草、Patchwork、巴基斯坦、Bozok RAT
TLP:白(报告使用及转发不受限制)
日期:2020-07-08
概述
PatchWork, 又名摩诃草、白象、hangOver、VICEROY TIGER、The Dropping Elephat。该组织组织主要针对中国、巴基斯坦等亚洲地区国家进行网络间谍活动,其中以窃取敏感信息为主。相关攻击活动最早可以追溯到2009年11月。在针对中国地区的攻击中,该组织主要针对政府机构、科研教育领域进行攻击,其中以科研教育领域为主。白象组织最早由Norman安全公司于2013年曝光,随后又有其他安全厂商持续追踪并披露该组织的最新活动,但该组织并未由于相关攻击行动曝光而停止对相关目标的攻击,相反从2015年开始更加活跃。
微步情报局近期通过威胁狩猎系统捕获到一起疑似白象APT组织利用疫情话题针对巴基斯坦的攻击活动,分析有如下发现:
– 本次攻击活动借助新冠肺炎热点投递鱼叉邮件。最终通过无文件加载技术加载商用的Bozok远控木马(版本号:1.4.1)实现监控窃密行为。Bozok RAT是一款轻量级但功能丰富的远控木马,客户端支持多种地区语言。该木马历史上曾被多个APT组织在对金融、政府方向的定向攻击活动中使用。值得注意的是,在已披露的印度背景APT组织历史攻击活动中,本次攻击活动是他们首次投入使用Bozok木马。
– 攻击过程中释放的恶意PE模块携带Accelerate Technologies Ltd公司的数字签名证书,PE描述信息为印度安全公司Quick Heal的杀软组件程序。基于该证书进行拓线关联,可关联到多个白象APT组织的攻击组件。由此推测该证书为白象组织特有资产。
– 微步在线通过对相关样本、IP和域名的溯源分析,提取相关IOC,可用于威胁情报检测。微步在线威胁检测平台(TDP)、威胁情报管理平台(TIP)、威胁情报云API、安全DNS(OneDNS)等均已支持对此次攻击事件和团伙的检测。
详情
2020年7月上旬,微步情报局监测到一起借助“新冠肺炎”热点事件的定向攻击活动。所投递的攻击载荷名为“Covid19_Guidelines.docx”,文档标题“Guidelines for Government Employees and Organizations in the wake of COVID-19 epidemic”译为:政府机构应对新冠肺炎的指导方针。通过分析诱饵文件可知本次攻击事件中攻攻击目标为巴基斯坦相关行业从业人员,具体攻击时间推测在2020年6月中旬。诱饵文档采用恶意VBA宏展开后续攻击行为。最终通过内存加载Bozok远控木马实现对目标人员PC主机的远程控制,到达情报窃取的攻击目的。攻击诱饵展示如下。
![图片[1]-疑似白象APT组织最新攻击武器分析 – 作者:Threatbook-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200713/1594634475.jpg)
样本分析
样本信息说明如下。
Table 1
|
文件名 |
Covid19_Guidelines.doc |
|
SHA256 |
2ba13a3e540229677456d1e320f682bed8e6733bf6547b89a496b8d020eea698 |
|
MD5 |
16c01b13998e96f27bd9e3aa795da875 |
|
文件大小 |
3.88 MB (4069376 bytes) |
|
说明 |
原始攻击载荷,恶意宏文档 |
释放恶意组件如下。
Table 2
|
文件名 |
MicroScMgmt.exe |
|
SHA256 |
dfe18346db405af2484064e80b5c0124bc80ca84d39b90e1aa5d5592c479a904 |
|
MD5 |
809ff867d2cfe803ef4ae4102283b45c |
|
文件大小 |
104.05 KB (106552 bytes) |
|
说明 |
Dropper模块,内存解密装载RAT模块。 |
|
文件名 |
Dwn.exe |
|
SHA256 |
21ee9bb5f2444fdf72d55109b7f823d5a5cd43d60aa1fb653764e2e5d20f2080 |
|
MD5 |
4c79583d189207ec9f138204fbb63810 |
|
文件大小 |
39.52 KB (40464 bytes) |
|
说明 |
Bozok远控木马,内存执行不落地,版本号1.4.1; C&C:185.157.78.135:4040 |
提取攻击文档VBA代码,分析可知其作用为将内嵌的base64数据拼接解码释放诱饵文档和下载器PE。
![图片[2]-疑似白象APT组织最新攻击武器分析 – 作者:Threatbook-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200713/1594634721.jpg)
分析由宏文档释放落地的Dropper程序MicroScMgmt.exe。该PE文件描述为Quick Heal公司杀软组件,并且拥有Accelerate Technologies Ltd的合法数字签名。
![图片[3]-疑似白象APT组织最新攻击武器分析 – 作者:Threatbook-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200713/1594634737.jpg)
其编译环境为GCC跨Windows平台的PE文件编译。
![图片[4]-疑似白象APT组织最新攻击武器分析 – 作者:Threatbook-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200713/1594634750.jpg)
可见可疑的资源信息。该资源数据其实为Bozok远控木马的加密二进制数据。
![图片[5]-疑似白象APT组织最新攻击武器分析 – 作者:Threatbook-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200713/1594634769.jpg)
该模块执行恶意功能之前会先遍历进程、检测杀软,检测目标包括eset、avg、bitdefender、trendmicro、norton、AvkTray、小红伞、Kaspersky 、Avast、quick heal、熊猫云杀毒、escan、Total Defense、Microsoft Windows Defender Antispyware、Check Point、F-Secure、k7tsecurity、McAfee。
![图片[6]-疑似白象APT组织最新攻击武器分析 – 作者:Threatbook-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200713/1594634798.jpg)
如果检测到ESET杀软进程,则进行各用户空间模块IAT HOOK操作,当前分析环境,挂钩失败,但是并不影响后续流程。
![图片[7]-疑似白象APT组织最新攻击武器分析 – 作者:Threatbook-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200713/1594634817.jpg)
从资源段解密rozok木马,创建自身傀儡进程,然后注入执行。
![图片[8]-疑似白象APT组织最新攻击武器分析 – 作者:Threatbook-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200713/1594634835.jpg)
![图片[9]-疑似白象APT组织最新攻击武器分析 – 作者:Threatbook-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200713/1594634847.jpg)
将自身移动到Windows目录,然后在用户自启目录创建相应的 lnk文件实现自启驻留。
![图片[10]-疑似白象APT组织最新攻击武器分析 – 作者:Threatbook-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200713/1594634861.jpg)
Dump注入模块,分析可知其为Bozok 远控木马。该模块携带伪造微软的数字签名。在资源段储存了C&C地址、互斥体名称、后续插件名称等信息。
![图片[11]-疑似白象APT组织最新攻击武器分析 – 作者:Threatbook-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200713/1594634879.jpg)
当前Bozok木马版本号为1.4.1。
![图片[12]-疑似白象APT组织最新攻击武器分析 – 作者:Threatbook-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200713/1594634895.jpg)
首次运行时,通过检测全局标志,将MicroScMgmt.exe移动到windows目录,命名为server.exe启动运行,然后退出当前进程。 该远控模块RAT分发如下。实现功能包括:远程shell执行、文件操作、进程监控、注册表监控、鼠标键盘监控、下载执行等。具体指令功能参考附件。
![图片[13]-疑似白象APT组织最新攻击武器分析 – 作者:Threatbook-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200713/1594634916.jpg)
Bozok木马采用TCP协议通信,分析过程中暂未发现其他插件下发行为。木马上线包如下。
![图片[14]-疑似白象APT组织最新攻击武器分析 – 作者:Threatbook-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200713/1594634940.jpg)
关联分析
通过本次攻击事件中的诱饵文档内容,可以基本确定本次攻击目标为巴基斯坦境内相关单位。其攻击目的为对目标人员PC主机进行情报收集。基于地缘政治以及当前APT网络战局势可推测此次攻击事件的背后组织极有可能为来自印度的APT组织。
1、样本代码指纹关联。
从样本指纹来看,本次攻击事件中所携带的指纹比较杂乱,当然也存在不少字符串指纹与印度方向的白象APT组织高度相似。
如在原始载荷中提取出的VBA代码中,关于恶意模块释放名称(microscmgmt.exe、 MSVCR71.dll、 jli.dll)这部分与白象APT组织2016年针对中国的定向攻击活动中曾用过的Bad News木马组件名称完全一致。
![图片[15]-疑似白象APT组织最新攻击武器分析 – 作者:Threatbook-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200713/1594634963.jpg)
![图片[16]-疑似白象APT组织最新攻击武器分析 – 作者:Threatbook-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200713/1594634972.jpg)
本次攻击中所用的木马为打包了Bozok木马的Dropper模块,其整体功能与白象组织历史攻击插件均存在一定差异。但是在网络连通性测试(惯用google、facebook、twitter等网站)与字符串加密处理(对模块名称、API名称进行简单的加减或异或操作)方面依然存在一定相似性。
![图片[17]-疑似白象APT组织最新攻击武器分析 – 作者:Threatbook-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200713/1594634989.jpg)
![图片[18]-疑似白象APT组织最新攻击武器分析 – 作者:Threatbook-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200713/1594635000.jpg){kind=small}
2、释放PE数字签名证书关联。
提取MicroScMgmt.exe模块签名证书如下。
![图片[19]-疑似白象APT组织最新攻击武器分析 – 作者:Threatbook-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200713/1594635024.jpg)
通过证书进行样本关联,可拓线以下文件。
Table 3
|
Hash |
说明 |
|
66f56f29d4c23b2e79dccd3b215be7a1a352989162d48788bedc56f7ab6c7f58 |
C&C:altered.twilightparadox.com |
|
977c81bfab432eaeb119167b5342468918645636aa3dc94bdb993667c2e96693 |
C&C:altered.twilightparadox.com 与上一行中模块代码指纹基本一致 |
|
c23b098a627d1c8449fad6756007c3b2a7ae20c3e70c74bbe4154c8b1651c84e |
C&C:185.157.78.135:1515 与本次攻击中dropper模块代码指纹基本一致 |
其中c23b098a627d1c8449fad6756007c3b2a7ae20c3e70c74bbe4154c8b1651c84e与本次攻击事件中样本指纹基本一致、不赘述。分析977c81bfab432eaeb119167b5342468918645636aa3dc94bdb993667c2e96693。
通过其明文存储的URL内容可直接关联到2019年9月份白象组织对巴基斯坦军方的定向攻击活动(India makes Kashmir Dangerous Place in the World.xlsm)中的BadNews木马。
![图片[20]-疑似白象APT组织最新攻击武器分析 – 作者:Threatbook-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200713/1594635082.jpg)
该后门模块的C&C依然采用明文存储。
![图片[21]-疑似白象APT组织最新攻击武器分析 – 作者:Threatbook-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200713/1594635094.jpg)
通过证书关联的几个样本皆可关联到白象APT组织,由此可基本确认,该证书为白象组织特有资产,并且已被白象组织频繁用于定向攻击活动中。
附录
Bozok RAT
Bozok 1.4.1 RAT核心指令功能说明如下。
Table 4
|
指令 |
功能 |
|
3 |
获取PC主机磁盘卷宗信息 |
|
4 |
收集文件目录信息 |
|
9 |
连通测试 |
|
A |
shell执行 |
|
D |
文件删除 |
|
10 |
SHFileOperationW文件操作 |
|
13 |
创建目录 |
|
16 |
文件移动 |
|
19 |
通过文件名称上传相应文件数据 |
|
21 |
进程信息收集 |
|
25 |
结束进程 |
|
28 |
枚举窗口,收集信息 |
|
2C |
窗口最大化 |
|
2D |
窗口最小化 |
|
2E |
发送窗口消息 |
|
30 |
枚举服务 |
|
44 |
枚举注册表 |
|
4D |
文件是否存在 |
|
4E |
C&C连通测试 |
|
50 |
写文件 |
|
64 |
断开连接 |
|
65 |
启动服务 |
|
66 |
发送服务控制码 |
|
6E |
监视鼠标移动 |
|
6F |
监视鼠标点击 |
|
70 |
监视键盘输入 |
|
71 |
创建管道通信 |
|
72 |
结束进程 |
|
73 |
管道写入 |
|
7C |
下载执行 |
|
80 |
收集文件目录信息 |
|
81 |
文件移动 |
|
82 |
文件上传 |
C2
185.157.78.135:1515
185.157.78.135:4040
altered.twilightparadox.com
Malware
dfe18346db405af2484064e80b5c0124bc80ca84d39b90e1aa5d5592c479a904
66f56f29d4c23b2e79dccd3b215be7a1a352989162d48788bedc56f7ab6c7f58
977c81bfab432eaeb119167b5342468918645636aa3dc94bdb993667c2e96693
c23b098a627d1c8449fad6756007c3b2a7ae20c3e70c74bbe4154c8b1651c84e
2ba13a3e540229677456d1e320f682bed8e6733bf6547b89a496b8d020eea698
21ee9bb5f2444fdf72d55109b7f823d5a5cd43d60aa1fb653764e2e5d20f2080
数字证书
2b48363d587b11f2726d343e0ed1d76a2e4adbc4a383c30cdae41ade0006b224
来源:freebuf.com 2020-07-13 18:14:14 by: Threatbook
请登录后发表评论
注册