一个针对巴勒斯坦地区进行攻击的APT组织最新活动和相关性分析

近日，checkpoint报道了一个针对中东地区进行攻击的APT组织最新活动，该组织于去年被talos报道过。

相关链接：https://blog.talosintelligence.com/2017/06/palestine-delphi.html

该APT组织目前暂无命名，此次安全事件被checkpoint命名为大爆炸行动，下面将对该组织在此次行动中涉及的技术手段进行简单分析。

该行动实施过程主要通过投放自解压文件的方式进行，自解压文件名为التقرير الإعلامي الشهري，意思为每月媒体报道。自解压文件中含有一个正常的文档以及恶意软件。

正常文档打开后，可以看到一个带有巴勒斯坦政治和国家指导委员会徽标的Word文档。该文件假装是一份新闻报道，其中包含实际上从各种巴勒斯坦新闻网站复制的新闻标题。

文档属性标题的名字سيادة العقيد /عصام أبو عوكل是指导委员会办公室行政长官的名字，创建日期为3月29日，这也对应上文档名称为 29-3.doc 。

投递手法与去年具有相似性，去年该组织也是采用压缩包的形式进行投放，压缩包后缀为 r10 ，亲测该后缀的压缩包可以打开。

此前该组织投放的恶意软件被取名为Micropsia，本次行动中，其使用的为升级版本，下面将对其中一个样本进行简单分析。

样本名为Win Graphic Driver

运行后会释放一个vbs脚本到桌面，用于系统驻留

其他的样本也类似

之后便开始收集主机信息和杀软列表，并将主机名和用户名进行base64编码后，发送通讯报文格式如下

name=%s&os=%s&appname=%s&av=%s

如报文所示，其会根据接收的BMW_x[%d] ，去执行响应的操作。这里很明显是指宝马的意思

{“BMW_x5″:”False”,”BMW_x4″:”False”,”BMW_x3″:”False”,”BMW_x2″:”False”,”BMW_x1″:”False”,”BMW_x6″:”False”,”BMW_x7″:”False”,”BMW_x8″:”False”}

而一个名为Interenet Assistant，报文也是此类格式，但不同的是，这里的字段采用了电视剧《Resurrection: Ertugrul》里面的演员名字

“Penny”:”True”,”Wolowitz_Helberg”:”False”,”Celal_Al”:”False”,”runfile”:”False”,”Nayyar_Sonmez”:”False”,”Koothrappali”:”False”,”Bialik_Gokhan”:”False”,”Hofstadter”:”False”,”Parsons_Sheldon”:”False”,”Reshad_Strik”:”False”,”Pinar8″:”False”,”Mehmet7″:”False”,”Bahar6″:”False”

代码结构和触发条件也几乎一致。

下列为各个字段的含义，有的字段由于样本中没有该模块因此暂不知道作用，可以确定还有样本是支持这些模块的。

Penny	获取受感染计算机的屏幕截图并将其发送到服务器
Wolowitz_Helberg	枚举正在运行的进程，将其名称及其ID保存在“sat.txt”中，并将该文件发送到服务器
Celal_Al	发送具有特定扩展名的文档列表。扩展名为：doc，docx，odt，xls，xlsx，ppt，pptx，accdb，accde，mdb，pdf，csv
Runfile	运行文件，从服务器接收进程名称和文件类型
Nayyar_Sonmez	从给定的URL下载带有“.txt”扩展名的文件，将扩展名更改为“.exe”并运行它
Koothrappali	记录有关系统的详细信息并将其发送到服务器
Bialik_Gokhan	重新启动系统
Hofstadter	按名称终止进程
Parsons_Sheldon	从启动文件夹中删除有效内容并删除实际文件
Reshad_Strik	发送受感染计算机上找到的分区列表
Pinar8	配置文件有该字段但样本并没有这个模块
Mehmet7	配置文件有该字段但样本并没有这个模块
Bahar6	配置文件有该字段但样本并没有这个模块

而去年报告中提及的通讯报文如下

与本次攻击事件的报文进行比较，可以看出极为相似。

报告中还提及了一下攻击者的英文水平，因此我顺便将几个样本的释放路径提取后，如下所示：

C:\ProgramData\Interenet Assistant\Interenet Assistant.exe

C:\ProgramData\Win Graphic Driver\Win Graphic Driver.exe

C:\Users\admistrator\AppData\Local\Temp\DriverInstallerU.exe

其中可以看见，Interenet Assistant具有明显的拼写错误，因此根据这个文件名，可以发现该组织另一个与其同名的样本。

除了文件名外，还有独特的语法拼写，可以参考他们的C&C服务器首页，如，Probably the most Music Site in the world!

还有一些很迷的模板特征,[email protected], made with love ,这些实际都可以作为特征去看有哪些网站也是这个组织的人写的。

还有一个网站访问后是一个音乐播放器，会循环播放几首歌曲。

最后，报告还称该组织与APT组织Gaza Cybergang有关，然后我翻看了一下过去该组织的报告，除了文件内容和攻击目标外，并没有发现更确凿的证据指向，在此提供些许资料，抛砖引玉一下。

APT组织Gaza Cybergang，该组织在2012年首次被发现，他们改进并开发了一些定制的恶意软件比如DownExecute,、XtremeRAT、 MoleRAT以及 DustSky (NeD Worm)。除此外还会使用一些常见的远控，如Poison ivy、Nano Core、 DarkComet、Spy-Net。

而该组织最近一次行动Operation DustSky是在2016年初进行的，其攻击目标主要是以色列、埃及、沙特阿拉伯以及伊拉克，方法是一般是鱼叉式网络钓鱼活动，还有使用.NET环境下的恶意软件程序DustSky进行网络攻击。

此后，在2016年4月又开始对以色列一些新目标进行攻击。当然在这段时间里，其组织也在利用c++语言重写编写恶意软件来提高病毒程序感染能力，甚至为了躲避安全公司的检测，组织还转移了目标——由以色列转向美国。

Gaza Cybergang组织相关链接：

[0] https://securelist.com/gaza-cybergang-wheres-your-ir-team/72283/

[1] https://securelist.com/gaza-cybergang-updated-2017-activity/82765/

[2] https://www.anquanke.com/post/id/86549

Big Bang行动相关IOC

a210ac6ea0406d81fa5682e86997be25c73e9d1b

994ebbe444183e0d67b13f91d75b0f9bcfb011db

74ea60b4e269817168e107bdccc42b3a1193c1e6

511bec782be41e85a013cbea95725d5807e3c2f2

9e093a5b34c4e5dea59e374b409173565dc3b05b