一个针对巴勒斯坦地区进行攻击的APT组织最新活动和相关性分析 – 作者:黑鸟

        近日,checkpoint报道了一个针对中东地区进行攻击的APT组织最新活动,该组织于去年被talos报道过。

相关链接:https://blog.talosintelligence.com/2017/06/palestine-delphi.html

        该APT组织目前暂无命名,此次安全事件被checkpoint命名为大爆炸行动,下面将对该组织在此次行动中涉及的技术手段进行简单分析。

        该行动实施过程主要通过投放自解压文件的方式进行,自解压文件名为التقرير الإعلامي الشهري,意思为每月媒体报道。自解压文件中含有一个正常的文档以及恶意软件。

        正常文档打开后,可以看到一个带有巴勒斯坦政治和国家指导委员会徽标的Word文档。该文件假装是一份新闻报道,其中包含实际上从各种巴勒斯坦新闻网站复制的新闻标题。

image.png

image.png

文档属性标题的名字سيادة العقيد /عصام أبو عوكل是指导委员会办公室行政长官的名字,创建日期为3月29日,这也对应上文档名称为 29-3.doc 。

image.png

投递手法与去年具有相似性,去年该组织也是采用压缩包的形式进行投放,压缩包后缀为 r10 ,亲测该后缀的压缩包可以打开。

image.png

    此前该组织投放的恶意软件被取名为Micropsia,本次行动中,其使用的为升级版本,下面将对其中一个样本进行简单分析。

样本名为Win Graphic Driver  

    运行后会释放一个vbs脚本到桌面,用于系统驻留

image.png

 其他的样本也类似

image.png

之后便开始收集主机信息和杀软列表,并将主机名和用户名进行base64编码后,发送通讯报文格式如下

name=%s&os=%s&appname=%s&av=%s

image.png

如报文所示,其会根据接收的BMW_x[%d] ,去执行响应的操作。这里很明显是指宝马的意思

{“BMW_x5″:”False”,”BMW_x4″:”False”,”BMW_x3″:”False”,”BMW_x2″:”False”,”BMW_x1″:”False”,”BMW_x6″:”False”,”BMW_x7″:”False”,”BMW_x8″:”False”}

image.png

而一个名为Interenet Assistant,报文也是此类格式,但不同的是,这里的字段采用了电视剧《Resurrection: Ertugrul》里面的演员名字

“Penny”:”True”,”Wolowitz_Helberg”:”False”,”Celal_Al”:”False”,”runfile”:”False”,”Nayyar_Sonmez”:”False”,”Koothrappali”:”False”,”Bialik_Gokhan”:”False”,”Hofstadter”:”False”,”Parsons_Sheldon”:”False”,”Reshad_Strik”:”False”,”Pinar8″:”False”,”Mehmet7″:”False”,”Bahar6″:”False”

image.png

代码结构和触发条件也几乎一致。

image.png

下列为各个字段的含义,有的字段由于样本中没有该模块因此暂不知道作用,可以确定还有样本是支持这些模块的。

Penny 获取受感染计算机的屏幕截图并将其发送到服务器
Wolowitz_Helberg 枚举正在运行的进程,将其名称及其ID保存在“sat.txt”中,并将该文件发送到服务器
Celal_Al 发送具有特定扩展名的文档列表。扩展名为:doc,docx,odt,xls,xlsx,ppt,pptx,accdb,accde,mdb,pdf,csv
Runfile 运行文件,从服务器接收进程名称和文件类型
Nayyar_Sonmez 从给定的URL下载带有“.txt”扩展名的文件,将扩展名更改为“.exe”并运行它
Koothrappali 记录有关系统的详细信息并将其发送到服务器
Bialik_Gokhan 重新启动系统
Hofstadter 按名称终止进程
Parsons_Sheldon 从启动文件夹中删除有效内容并删除实际文件
Reshad_Strik 发送受感染计算机上找到的分区列表
Pinar8 配置文件有该字段但样本并没有这个模块
Mehmet7 配置文件有该字段但样本并没有这个模块
Bahar6 配置文件有该字段但样本并没有这个模块

而去年报告中提及的通讯报文如下

image.png

与本次攻击事件的报文进行比较,可以看出极为相似。

报告中还提及了一下攻击者的英文水平,因此我顺便将几个样本的释放路径提取后,如下所示:

C:\ProgramData\Interenet Assistant\Interenet Assistant.exe

C:\ProgramData\Win Graphic Driver\Win Graphic Driver.exe

C:\Users\admistrator\AppData\Local\Temp\DriverInstallerU.exe

        其中可以看见,Interenet Assistant具有明显的拼写错误,因此根据这个文件名,可以发现该组织另一个与其同名的样本。

        除了文件名外,还有独特的语法拼写,可以参考他们的C&C服务器首页,如,Probably the most Music Site in the world!

image.png

还有一些很迷的模板特征,[email protected], made with love ,这些实际都可以作为特征去看有哪些网站也是这个组织的人写的。

image.png

还有一个网站访问后是一个音乐播放器,会循环播放几首歌曲。

image.png

最后,报告还称该组织与APT组织Gaza Cybergang有关,然后我翻看了一下过去该组织的报告,除了文件内容和攻击目标外,并没有发现更确凿的证据指向,在此提供些许资料,抛砖引玉一下。

APT组织Gaza Cybergang,该组织在2012年首次被发现,他们改进并开发了一些定制的恶意软件比如DownExecute,、XtremeRAT、 MoleRAT以及 DustSky (NeD Worm)。除此外还会使用一些常见的远控,如Poison ivy、Nano Core、 DarkComet、Spy-Net。

而该组织最近一次行动Operation DustSky是在2016年初进行的,其攻击目标主要是以色列、埃及、沙特阿拉伯以及伊拉克,方法是一般是鱼叉式网络钓鱼活动,还有使用.NET环境下的恶意软件程序DustSky进行网络攻击。

此后,在2016年4月又开始对以色列一些新目标进行攻击。当然在这段时间里,其组织也在利用c++语言重写编写恶意软件来提高病毒程序感染能力,甚至为了躲避安全公司的检测,组织还转移了目标——由以色列转向美国。

image.png

Gaza Cybergang组织相关链接:

[0] https://securelist.com/gaza-cybergang-wheres-your-ir-team/72283/

[1] https://securelist.com/gaza-cybergang-updated-2017-activity/82765/

[2] https://www.anquanke.com/post/id/86549

Big Bang行动相关IOC

a210ac6ea0406d81fa5682e86997be25c73e9d1b

994ebbe444183e0d67b13f91d75b0f9bcfb011db

74ea60b4e269817168e107bdccc42b3a1193c1e6

511bec782be41e85a013cbea95725d5807e3c2f2

9e093a5b34c4e5dea59e374b409173565dc3b05b


C&C服务器

lindamullins[.]info

spgbotup[.]club

namyyeatop[.]club

namybotter[.]info

sanjynono[.]website

exvsnomy[.]club

ezofiezo[.]website

hitmesanjjoy[.]pro

URL格式特征

/api/serv/requests/{base64编码字符串}

相关链接:

https://research.checkpoint.com/apt-attack-middle-east-big-bang/

image.png

来源:freebuf.com 2018-07-11 00:06:35 by: 黑鸟

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论