APT组织RANCOR最新活动分析,工具包新增PLAINTEE和DDKONG家族木马 – 作者:黑鸟

RANCOR是一个被Unit 42最新披露的APT组织,其专注于东南亚进行活动,重点对象为柬埔寨和新加坡。该组织在去年针对柬埔寨发起了攻击,投放的木马为KHRAT家族,并也成功入侵了柬埔寨的政府服务器。    

而就在今年,该组织在其攻击工具包中新增了两类家族DDKONG和PLAINTEE。

同样,攻击过程中涉及的恶意载体均与政治信息相关,例如

  • Activity Schedule.pdf (活动时间表)

  • អ្នកនយោបាយក្បត់លើក្បត (政治家背叛背叛)

通过对该组织的资产信息进行关联查询,可以找到该组织在某个阶段的样本,以下为一个hta文件,可以很明显的看出该脚本会去请求下载更多的恶意软件。

image.png

       该脚本在最后会用默认浏览器加载一个facebook的内容分发网址,然后会显示一张图片,描述与柬埔寨的一个政府敌对党派相关。

image.png

除此之外,该组织的一个DLL文件会去下载

 http://dlj40s.jdanief[.]xyz/images/1.pdf

文档具体内容为反动派将举行追悼会,以便纪念1997年的一次反对派集会上遭受手榴弹袭击的受害者。

image.png

由此可以看出,该组织对政治问题拿捏十分准确,对政府的痛点具有一定的了解,具有较强的社会工程能力。

命令同源特征比较

该组织的样本所执行的命令,无论是宏、DLL和HTA,都具有一定的特征,如下图,释放loader的路径都偏爱于

“\system32\spool\drivers\color\” &“\AppData\Local\Microsoft\” 

image.png

DDKONG家族分析

该家族有三个导出函数

image.png

ServiceMain将该DLL作为服务加载。如果这个函数被成功加载,它将通过调用Rundll32.exe最终产生一个新的Rundll32Call导出实例。

Rundll32Call首先创建一个名为“RunOnce”的命名事件。

image.png

此事件确保在指定时间只执行一个DDKong实例,用来判断是否当前环境只有一个实例运行,若否,则程序退出。

DDKong使用0xC3的单字节异或密钥来解密配置。解密后,会将访问配置文件中的域名,下面为本次事件中涉及到的DDKONG的配置域名信息。

microsoft.authorizeddns.us

www.google_ssl.onmypc.org

goole.authorizeddns.us

msdns.otzo.com

www.microsoft.https443.org

ftp.chinhphu.ddns.ms

当访问域名后并发送一个长度为32的头部和一个可选的有效载荷的数据包后。DDKong需要0x4或0x6的响应命令。

这两个响应都会指示恶意软件下载并加载远程插件。在0x4的情况下,DDKong会加载InitAction函数。如果指定0x6,则会加载KernelDllCmdAction函数。在下载插件之前,其会创建一个缓冲区指向的文件路径。

特征如下:

C:\Users\MS\Desktop\RS-ATTV3\PluginBin

C:\Users\MS\Desktop\RS-ATTV3\ZConfig

该插件主要提供列出文件列表,上传与下载功能。

PLAINTEE家族分析

该家族启动后优先进行系统驻留

image.png

此后,当该样本创建完互斥量和使用CoCreateGuid()创建GUID后,其会开始收集受害者主机信息。并发向解码后或内嵌的域名或IP发送第一个数据包。本次事件相关的域名或IP如下

goole.authorizeddns.us

199.247.6.253

45.76.176.236

103.75.189.74

131.153.48.146

然后PLAINTEE通过自定义UDP协议发送主机的相关信息到上述C&C,

当接受到0x66660002命令后,该样本会启动多个线程,并带有不同的Command参数,用来接收并执行新的插件。

接收的插件为DLL文件,类似于反弹shell,攻击者连接上就可以随意进行命令发送了。

下面为发现的一些有趣的东西。

1、在其中一个PLAINTEE样本中,发现存在一个往内网地址发包的行为,因此怀疑该样本很有可能已经在内网中被投放。

image.png

2、下列代码可以可以很明显看出,该家族具有一系列helloworld的特征。

image.png

image.png

3、该家族某些部分还试图将攻击行为嫁祸给美国。 

image.png

以上为该新披露的Rancor组织最新的攻击事件,下篇将对该组织其他样本的通讯协议进行详细分析。 

相关文章链接

内均附ioc

[1] https://researchcenter.paloaltonetworks.com/2017/08/unit42-updated-khrat-malware-used-in-cambodia-attacks/

[2] https://researchcenter.paloaltonetworks.com/2018/06/unit42-rancor-targeted-attacks-south-east-asia-using-plaintee-ddkong-malware-families/

欢迎关注我的微信公众号 ” 黑鸟 ” ,微信公众号搜索或者扫码即可

image.png

来源:freebuf.com 2018-07-02 01:20:54 by: 黑鸟

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论