据观察,高级持久威胁(APT-C-35)小组总部设在印度,据观察,他们使用鱼叉式网络钓鱼电子邮件瞄准了巴基斯坦的政府和军事人员。该威胁组织已经存在了好几年,对南亚的政治和军事实体进行情报行动。这是APT演员对巴基斯坦政府发起的新一轮攻击。鉴于该地区与印度之间的历史紧张关系以及最近的地缘政治紧张局势加剧,对巴基斯坦政府的网络攻击继续发生也就不足为奇了。该小组还展示了在过去的运营中针对手机用户的能力。该组织在针对巴基斯坦商人时冒充了巴基斯坦国家银行。
但是,这并不是针对巴基斯坦组织的唯一攻击。最近,发现SideWinder小组针对巴基斯坦和中国的Windows机器和移动设备。Rewterz威胁情报还于4月发布了针对巴基斯坦政府官员的SideWinder的详细分析。
属性 | 值 |
---|---|
文件名 | 项目管理 |
文件类型 | XLS |
文件信息 | MS Excel电子表格 |
文件大小 | 155.00 KB(158720字节) |
MD5 | 4428912F168F3F1F0554126DE7B4ECED |
SHA-1 | b958b4fc7a8bbc0b598df67cb47b04b9efe8f63f |
SHA-256 | c3ccf4fc47d67afeb30728c67800ad9ff5727bb191ec9838b16cd63d450258a9 |
病毒总分 | 30/61 |
混合分析得分 | 风险因素超过50% |
Rewterz观察到由APT-C-35小组发起的鱼叉式网络钓鱼活动。我们的威胁情报团队获取了鱼叉式网络钓鱼电子邮件,并发现该电子邮件包含描绘为合法项目管理文档的附件(Microsoft Excel文档)。
根据对Excel文件的详细分析,可以发现Excel包含20个不同的工作表和嵌入的恶意宏代码。还观察到,当受害者打开文档时,将执行一个宏(workbook_open),该宏向受害者显示一个消息框,表明“ Microsoft Excel停止工作”(在宏中进行硬编码)。然后,它并行执行批处理文件(名为s.bat),其中包含创建文件夹和文件“ Temp”和“ Appdata”(在代码中进行了硬编码)的逐步说明。创建后,它将隐藏文件和文件夹,并将计算机名保存在攻击者在Appdata文件夹中创建的另一个文件名(agnia)中。一旦完成文件和文件夹的创建,并且攻击者隐藏了文件的属性,则它将在创建的目录(Appdata文件夹)中提取名为“ sqmap.dll”的实际有效负载dll。
经过分析,发现sqmap.dll包含一个名为“ calldll”的函数,该函数包含一个CnC服务器地址。然后,攻击者通过Rundll32.exe(用于执行dll的Microsoft Windows本机二进制文件)及其子函数作为dll的参数(sqmap.dll)执行sqmap.dll。它通过在保加利亚托管的HTTP端口80向其CnC服务器发起一个get请求连接,以执行其进一步的活动(目标操作)。当前,发现受感染的系统对CnC服务器发起的请求在URL参数中包含多个参数,并且CnC服务器当前以404错误(未找到页面)进行响应。所有活动都是通过包含逐行指令的批处理脚本执行的,并且嵌入在宏中,该宏在'APPDATA'目录中创建了名为's.bat'的批处理文件。
以下是受害者调用或打开时在Excel文档中观察到的特征。
在搜索VBA脚本时,我们还发现“本工作簿”工作表包含某种脚本,这些脚本在以下几点中逐一定义:
A)首先,我们提取了在“此工作簿”工作表的宏中运行的脚本,我们发现该脚本正在创建一个带有故意消息的消息框,即“ Microsoft Excel已停止工作”。
B)在脚本中还定义了“ S.bat”和“ S”文件应放在某些文件夹中。
C)在最后一行中,已声明s.bat可以启动https请求,然后应使用vbhide函数隐藏自身。
在浏览完主表之后,我们将主XLS文件分解为原始字符串,然后在以下几点找到了另一种脚本:
A)在查看脚本时,已观察到存在于“%USERPROFILE%\ Files \ Shared \ Web \”目录中的gapdat.exe文件的计划任务,该目录似乎不合法,因此似乎gapdat.exe充当已在此目录中创建的依赖文件。
B)在excel文件脚本的原始字符串的第一行中观察到了“ s”文件的移动,该文件已从%AppData%移动到目录“%USERPROFILE%\ Viewer \ Information \ Policy”,并且在移动后,发现尝试将文件“ s”重命名为“ Sqmap.dll”,如下所示:
C)可以注意到在其中发现了gapdat.exe和sqmap.dll文件的文件夹的属性修改。根据脚本语言,用于更改属性的三个标志分别位于“ + a”,“ + h”,“ + s”之后,这三个标志用于归档,隐藏和使文件夹成为DOS操作的一部分。
D)已观察到另一个计划任务创建,该XLS文件正在使用rundll32.exe进程调用sqmap.dll,该进程存在于另一个异常目录“%USERPROFILE%\ Viewer \ Information \ Policy”中。
[注意:从sqmap.dll的原始格式中发现了相同的内容]
以下是恶意软件代码中已观察到的依赖性以及执行所需的用户交互。
以下是此攻击的完整流程图。
以下是此恶意软件的行为:
•C:\ User \ XYZ \ Users \ AppData \ Roaming。
•文件名是“ s”和“ s.bat”
请访问我们的IoC威胁建议。
为了对此进行补救,以下定义了以下几点:
谨防网络犯罪分子采用的社会工程技术(包括用于仿冒电子邮件,假冒电话以及欺诈性企业和域名的策略)有效应对可疑的妥协。
以上分析是在Rewterz威胁情报实验室的受控环境中执行的。如果您有任何需要分析的恶意软件样本和二进制文件,请与我们联系。
分析后得出结论,示例excel文件充当信标。它使用Microsoft Excel的宏功能建立与命令和控制服务器的连接。由于宏允许脚本编写,因此需要启用触发器,如果用户在打开此excel文档时意外或有意启用了这些宏,它将开始启动对命令和控制服务器的调用。但是,在数据包捕获中未观察到来自命令和控制服务器的响应。