概述
Transparent Tribe组织为Proofpoint于2016年2月被披露并命名的组织,也称为C-Major、ProjectM,是一个具有南亚背景的APT组织。该组织的主要攻击目标为印度政府、军队或相关组织,其利用社会工程学进行鱼叉攻击,向目标投递带有VBA的doc、xls文档,执行诱饵文档中的宏代码释放执行CrimsonRAT、PeppyRAT,窃取相关敏感资料信息。
近日,奇安信威胁情报中心红雨滴在日常的威胁狩猎发现,Transparent Tribe针对南亚地区的攻击活动近期主要以国防部会议、军事材料等为主题。根据红雨滴研究人员跟踪分析,此次的攻击活动有如下特点:
- 在此次攻击活动中,攻击者利用此前披露的透明部落组织类似攻击手法,即通过带恶意宏的文档最终释放CrimsonRAT执行。
- 未发现影响国内,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括威胁情报平台(TIP)、天眼高级威胁检测系统、NGSOC、奇安信态势感知等,都已经支持对此APT攻击团伙攻击活动的精准检测。
样本分析
样本基本信息
样本1: 以印度国防部会议记录信息为诱饵的恶意PPT文件
| - | - |
|---|---|
| 文件名 | Minutes of Meeting.ppt |
| MD5 | 70ab4a9161f0835574449c7fd3788b37 |
| 文件格式 | Microsoft Office PowerPoint |
| C2 | 167.160.166.80 |
样本2:
| - | - |
|---|---|
| 文件名 | i.docm |
| MD5 | 4a7ff92e0ea13b41a5e3410c3becfb2e |
| 文件格式 | Word Microsoft Office |
| C2 | 198.23.210.211 |
样本3: 以教师求职简历为诱饵的恶意文档
| - | - |
|---|---|
| 文件名 | - |
| MD5 | 7f1f7c5c4b6b486e5ba9340944036285 |
| 文件格式 | Microsoft Office Publisher Document |
| C2 | 66.154.112.206 |
样本4: 以印度国防学院电子图书馆更新为诱饵的恶意PPT文件
| - | - |
|---|---|
| 文件名 | NDC Updates.ppt |
| MD5 | 6c683aca669e1c448b0abce3df49fcb1 |
| 文件格式 | Microsoft Office PowerPoint |
| C2 | 185.136.169.155 |
详细分析
此次捕获的攻击活动样本整体执行流程相似,均为文档中携带恶意VBA宏代码,当受害者点击启用宏,VBA自动并释放执行恶意文件,最终释放CrimsonRAT连接C2。
本文以Minutes of Meeting.PPT样本为例。使用奇安信红雨滴在线云沙箱(https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=c1d5cf1e1afe51895d2b05100676131c4a193e70)运行样本,得到样本整体执行流程如下:
样本运行后,会弹窗提示用户启用宏代码:
启用之后,恶意宏代码将自动执行,释放恶意程序执行并展示诱饵内容,诱饵如下:
本次样本的两段VBA宏代码结构类似,第一段宏释放dihakhvartik.exe到C:\ProgramData\Hdrisair目录下,并通过shell命令执行该文件。
第二段宏代码写入诱饵内容到PowerPoint文件,保存到%USERPROFILE%目录,并打开展示该诱饵文件
释放的可执行文件信息如下:
| - | - |
|---|---|
| 文件名 | dihakhvartik.exe |
| MD5 | 2866daf2b59d9c34c891838c6bc10fb9 |
dihakhvartik.exe 执行后,先检查是否存在C:\Users\geyixian\AppData\Roaming\Microsoft\Windows\Templates\dihakhvartik.zip,存在则将其进行解压并执行
若C:\Users\geyixian\AppData\Roaming\Microsoft\Windows\Templates\dihakhvartik.zip不存在,则将创建C:\ProgramData\Hithviwia目录,并通过getWin()函数读取资源数据,并根据操作系统版本选择相应内容保存为trbgertrnion.zip文件,解压执行。
getWin()函数首先获取操作系统版本,判断“wia07”和“wia08”文件是否存在,若存在则将其删除,然后从资源文件“Resources.data”读取数据保存为data.zip,并解压到C:\Users\geyixian\AppData\Roaming\Microsoft\Windows\Templates,再根据操作系统版本读取相应的文件内容
解压出的文件信息如下:
| - | - |
|---|---|
| 文件名 | trbgertrnion.exe |
| MD5 | 7166fef6f67c86b0325f9e714ceb79ed |
| C2 | 167.160.166.80 |
trbgertrnion.exe执行后先进行一些初始化操作:
初始化C2 IP和端口:
设置注册表实现持久化:
完成初始化操作之后便开始与C2通信:
获取控制命令:
C2命令分发,根据命令执行相应功能:
C2命令含义如下表所示:
| - | - |
|---|---|
| C2命令 | 含义 |
| trbgertrnion-pr3ocl | 枚举进程 |
| trbgertrnion-en3dpo | 结束指定进程 |
| trbgertrnion-sc3rsz | 设置截屏参数 |
| trbgertrnion-cs3crdn | 屏幕截图 |
| trbgertrnion-di3rs | 枚举驱动 |
| trbgertrnion-fi3lsz | 获取指定文件的信息 |
| trbgertrnion-do3wf | 从C2服务器获取文件并写入指定位置 |
| trbgertrnion-cn3ls | 参数设置 |
| trbgertrnion-sc3ren | 获取屏幕截图 |
| trbgertrnion-th3umb | 获取指定位置图片信息 |
| trbgertrnion-pu3tsrt | 设置注册表值实现开机自启 |
| trbgertrnion-ud3lt | 更新自身 |
| trbgertrnion-de3lt | 删除指定文件 |
| trbgertrnion-fi3le | 获取指定文件内容发送C2 |
| trbgertrnion-in3fo | 获取用户信息 |
| trbgertrnion-ru3nf | 执行指定文件 |
| trbgertrnion-af3ile | 读取指定文件信息 |
| trbgertrnion-li3stf | 根据指定后缀搜索文件 |
| trbgertrnion-do3wr | 下载文件 |
| trbgertrnion-fl3es | 查找指定路径下的文件 |
| trbgertrnion-fl3dr | 查找指定路径下的子目录 |
溯源与关联
奇安信威胁情报中心分析人员通过对此次捕获样本所带的恶意宏代码、释放的木马文件进行分析后,判断本次攻击活动的幕后黑手为Transparent Tribe APT组织。依据如下:
- 此次捕获样本所带恶意宏代码与之前被披露的Transparent Tribe组织样本中的宏代码基本一致
- 样本运行后将释放Crimson RAT,与之前公开披露的Crimson RAT功能完全一致。且Crimson RAT为Transparent Tribe独有的远程控制木马。
总结
此次捕获的样本主要针对南亚地区开展攻击活动,暂未发现影响国内用户,但防范之心不可无,奇安信红雨滴团队提醒广大用户,切勿打开社交媒体分享的来历不明的链接,不点击执行未知来源的邮件附件,不运行夸张的标题的未知文件,不安装非正规途径来源的APP。做到及时备份重要文件,更新安装补丁。
若需运行,安装来历不明的应用,可先通过奇安信威胁情报文件深度分析平台(https://sandbox.ti.qianxin.com/sandbox/page)进行简单判别。目前已支持包括Windows、安卓平台在内的多种格式文件深度分析。
目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等,都已经支持对此类攻击的精确检测。
IOCS
MD5
2866daf2b59d9c34c891838c6bc10fb9
70ab4a9161f0835574449c7fd3788b37
7166fef6f67c86b0325f9e714ceb79ed
4a7ff92e0ea13b41a5e3410c3becfb2e
54d5743efcc5511368c6c04bf6840a59
C2
167.160.166.80
198.23.210.211
datacyncorize[.]com
参考链接
https://ti.qianxin.com/blog/articles/Disclosure-of-recent-mobile-activities-by-TransparentTribe/