返回 TI 主页

一、团伙背景

摩诃草,又名Patchwork、白象、Hangover、Dropping Elephant等,奇安信内部跟踪编号APT-Q-36。该组织被普遍认为具有南亚地区背景,其最早攻击活动可追溯到2009年11月,已持续活跃10余年。该组织主要针对亚洲地区的国家进行网络间谍活动,攻击目标包括政府、军事、电力、工业、科研教育、外交和经济等领域的组织机构。


二、事件概述

Spyder恶意软件与摩诃草组织存在关联 [1],主要功能是下载并运行C2服务器下发的可执行文件。奇安信威胁情报中心观察到自7月以来,Spyder至少经过了两轮更新,并发现攻击者借助Spyder向目标主机植入Remcos木马。根据捕获的恶意样本,相关攻击活动有如下特点:

(1) Spyder下载器中一些关键字符串不再以明文形式出现,而是经过异或加密处理,以避开静态检测,同时恶意软件与C2服务器的通信数据格式也做了调整;

(2) 植入的Remcos木马采用的都是当时能获取到的最新版;

(3) 通过Spyder样本的名称和配置信息,可以推测受害者包括巴基斯坦、孟加拉国、阿富汗等国的目标。


三、详细分析

捕获到的Spyder和Remcos样本基本信息如下:

- - - -
MD5 创建时间 数字签名时间戳 类型
05e59dcc5f4b657696a92fd2b3eac90d 2023-07-09 17:05:45 UTC 2023-07-11 07:14:37 UTC Spyder v1
2491942d8cd5807cd4615a07ad26a54a 2023-08-11 13:57:16 UTC 2023-08-14 09:59:22 UTC Spyder v2
6699190f7f6574029432b2678e1f40ac 2023-09-09 18:49:44 UTC 2023-09-20 07:59:23 UTC Spyder v3
bc743f1b24e8e585e889d77099ad0ac2 2023-10-09 08:26:21 UTC 2023-10-11 06:42:28 UTC Spyder v3
656b523031d9ffda7b8b1740542b653c 2023-10-09 08:26:21 UTC 2023-10-11 07:08:13 UTC Spyder v3
57b805f4c496c5d25acbe45bfaf7ee11 2023-06-24 16:04:14 UTC 2023-07-04 07:12:16 UTC Remcos v4.8.0 Pro
5eae3dee275dbca878d145817707597f 2023-06-15 17:58:26 UTC 2023-08-31 10:27:56 UTC Remcos v4.9.1 Pro

以上样本使用的数字签名有3个:

- -
签名者名称 序列号
GREATIV LIMITED 3B D9 2C E9 98 70 95 F7 46 23 D7 C3 7E 8D 34 4E
SYNTHETIC LABS LIMITED 19 66 BC 76 BD A1 A7 08 33 47 92 DA 9A 33 6F 69
RUNSWITHSCISSORS LTD 42 4F 08 5F 42 16 FD 91 7A 4B 0B E9 69 82 A4 D9


(一)Spyder的更新

version2

与版本1相比,版本2将一些明文字符串(比如API名称和收集主机信息的格式化字符串)进行了异或加密。

(1) API名称

(2) 收集主机信息的格式化字符串

Spyder在回传收集的主机信息前,会与C2服务器进行第一次交互,如果响应数据为”1”,版本1进入休眠死循环,而版本2改为退出进程。

此外,版本2在POST请求的数据末尾添加”&ver=2”。下面是Spyder样本根据C2指令部署后续可执行文件时,版本1和版本2构造请求数据所用的格式化字符串。

- - -
Spyder v1 Spyder v2
获取C2指令 hwid=%s&deploy=1 hwid=%s&deploy=1&ver=2
获取下载文件信息 hwid=%s&deploy=%d&bakmout=1 hwid=%s&deploy=2&type=%d&ver=2
部署完成 hwid=%s&deploy=0 hwid=%s&deploy=3&type=%d&ver=2

version3

版本3最大的变动是以JSON字符串的形式表示与C2服务器交互的数据,并且在其中添加version为3的信息。

JSON字符串再经过base64编码,拼接在字符串”data=”后,作为POST请求的数据。


(二)Remcos木马

在请求C2服务器的指令循环中,Spyder除了根据下发的指令部署后续可执行文件,还会在循环一开始从配置数据中的URL拉取一个可执行文件。

我们观察到有两个Spyder样本通过这种方式下载了Remcos木马。

- - -
Spyder MD5 05e59dcc5f4b657696a92fd2b3eac90d 2491942d8cd5807cd4615a07ad26a54a
下载URL hxxp://mfaturk.com/backup/inc.php hxxp://mfaturk.com/hing9/dmw.php
Remcos MD5 68f4f27219840b4ba86462241f740bbd 5eae3dee275dbca878d145817707597f

两个Remcos木马加载的方式相同。首先重新在内存中映射kernel32.dll和ntdll.dll的.text段,解除防护软件对这两个模块中的函数的监控。

向”www[.]wingtiptoys.com”发送HTTP请求以混淆真实通信流量。

加载资源数据,进行RC4解密,得到Remcos木马的文件数据,然后内存加载执行。使用的解密密钥如下:

iXTYbfqt4v4xaFkXYrgP5gRNWEsttg1QKM6TNuP4hGG8T2TCcWSUtkNTgjA9LuFfKbiPjxajei8kFXeqgcS2O68bsZ

Remcos木马的C2配置信息如下:

以0x1E为分隔符,共有3组,不过后面两个域名目前没有对应的解析IP,所以实际上有效的只有morimocanab.com。

morimocanab\.com:443
grand123099ggcarnivol\.com:443
Omeri12oncloudd\.com:443

四、总结

在短短几个月时间内,Spyder下载器已经历了数次更新,由此可见攻击团伙为避开安全防护软件检测,完成情报窃取任务的决心。从功能上看,Spyder作为通用下载器,可以用来在受害者主机上部署任意可执行文件,此次发现的Spyder被用于投递Remcos木马可能只是涉及该下载器组件的攻击链的冰山一角,奇安信威胁情报中心将持续关注相关APT组织的攻击活动。


五、防护建议

奇安信威胁情报中心提醒广大用户,谨防钓鱼攻击,切勿打开社交媒体分享的来历不明的链接,不点击执行未知来源的邮件附件,不运行标题夸张的未知文件,不安装非正规途径来源的APP。做到及时备份重要文件,更新安装补丁。

若需运行,安装来历不明的应用,可先通过奇安信威胁情报文件深度分析平台(https://sandbox.ti.qianxin.com/sandbox/page)进行判别。目前已支持包括Windows、安卓平台在内的多种格式文件深度分析。

目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等,都已经支持对此类攻击的精确检测。


六、IOC

MD5

(Spyder)

05e59dcc5f4b657696a92fd2b3eac90d

2491942d8cd5807cd4615a07ad26a54a

6699190f7f6574029432b2678e1f40ac

bc743f1b24e8e585e889d77099ad0ac2

656b523031d9ffda7b8b1740542b653c

(Remcos)

57b805f4c496c5d25acbe45bfaf7ee11

68f4f27219840b4ba86462241f740bbd

5eae3dee275dbca878d145817707597f

C&C

mfaturk.com

firebasebackups.com

morimocanab.com:443

grand123099ggcarnivol.com:443

omeri12oncloudd.com:443

URL

hxxp://mfaturk.com/backup/manage.php

hxxp://mfaturk.com/backup/inc.php

hxxp://mfaturk.com/hing9/includes.php

hxxp://mfaturk.com/hing9/dmw.php

hxxp://mfaturk.com/hailo/stick.php

hxxp://mfaturk.com/hailo/dmw.php

hxxp://firebasebackups.com/hailo/load_img.php

hxxp://firebasebackups.com/hailo/pakart.php


七、参考链接

[1]. https://ti.qianxin.com/blog/articles/Suspected-Patchwork-Utilizing-WarHawk-Backdoor-Variant-Spyder-for-Espionage-on-Multiple-Nations-CN/

APT-Q-36 SPYDER REMCOS