奇安信威胁情报中心

返回 TI 主页

团伙背景肚脑虫，又名 Donot，奇安信内部跟踪编号 APT-Q-38。该组织主要针对巴基斯坦、孟加拉国、斯里兰卡等南亚地区国家，对政府机构、国防军事、外交部门以及商务领域重要人士实施网络间谍活动，窃取敏感信息。肚脑虫组织具有 Windows 与 Android 双平台攻击能力，在以往攻击活动中经常通过携带 Office 漏洞或者恶意宏文档的鱼叉邮件和安卓 APK 传播恶意代码。

事件概述奇安信威胁情报中心近期发现肚脑虫组织利用 PDF 文档作为攻击活动的诱饵，可能影响巴基斯坦、孟加拉国等南亚地区的国家。攻击者使用攻击手法具体有两种：第一种是将恶意 EXE 文件直接用 PDF 图标伪装，使受害者误以为是 PDF 文档从而打开运行；另一种方式相对要繁琐一些，诱饵 PDF 文档中内置获取恶意 PPT 的钓鱼链接，恶意 PPT 被受害者下载并启动后将执行宏代码。第二种攻击方式除了在最初阶段使用 PDF 诱饵，其余环节与之前的肚脑虫直接投递恶意宏文档的攻击活动一致。
诱饵 PDF 文档故意模糊内容，并通过伪造的提示信息告诉受害者，如果想查看文档内容，需要点击“下载”联网获取。一旦受害者按照指示点击 PDF 中的指定区域，则会触发网络访问，链接最终会重定向到下载恶意PPT的网页。

伪装为PDF的EXE直接伪装为 PDF 文档的 EXE 恶意程序基本信息如下，在进行详细分析前先借助奇安信情报沙箱（https://sandbox.ti.qianxin.com/sandbox/page）获取该样本的初步信息。


-
-


奇安信情报沙箱报告链接
https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AZT5fv50h6wn_HCy8ts6\

样本文件名
-

样本MD5
893561ff6d17f1e95897b894dde29a2a

样本类型
PE32 EXE

样本大小
1.85 MB (1942112字节)


沙箱分析将该样本上传到奇安信情报沙箱分析后，沙箱基于智能的恶意行为综合判断给出了10分的恶意评分。
行为异常部分显示样本的一些可疑行为，包括向 totalservices[.]info 发送 POST 请求，释放名为 djkggosj.bat 的 BAT 文件，并用 cmd.exe 执行。
样本为 EXE，但使用 PDF 图标，显然攻击者想以此作为伪装。此外，样本的文件元数据使用游戏程序相关信息，并携带名为 "Ebo Sky Tech Inc" 的数字签名。
沙箱运行结果的主机行为部分可以看到样本进程派生 cmd.exe 子进程执行 BAT 文件，而 BAT 文件存放在样本创建的 FROX 目录中。样本进程的释放文件列表和删除文件列表均出现该 BAT 文件，表明 BAT 文件在执行后会被删除。
网络行为显示样本与远程服务器 totalservices[.]info 产生 HTTPS 通信，发送 POST 请求。

详细分析样本中出现大量 01 字符串，这些字符串实际由原始字符串中每个字符的 ASCII 码二进制形式组成。
以这种方式编码的字符串其中一部分是用于异或解密的 key，这些 key 被用来还原样本导入的 API 名称等字符串。
样本首先创建 "%LocalAppdata%\\TEMP\\FROX\\" 目录，在该目录中释放 djkggosj.bat。BAT 文件中的代码设置名为 PerformTaskMaintain 的计划任务，实现样本自身的持久化。
然后创建互斥量 "08808"，并收集设备信息，包括：CPU型号、操作系统产品名称和 build number、用户名、主机名、CPU 的 ProcessorID、安装的软件列表。
收集的信息经过 AES 加密和 Base64 编码处理，拼接到 "batac=" 之后，作为 POST 请求的数据，发送到 "hxxps://totalservices.info/WxporesjaTexopManor/ptomekasresdkolertys"
恶意软件根据 C2 服务器的响应决定是否下载后续载荷。后续载荷名称为 socker.dll，与标识受害者ID的字符串（由用户名、主机名、ProcessorID 组成）拼接并加密后，作为 POST 请求 "data" 字段的数据。下载后续的 URL为 "hxxps://totalservices.info/vrptpvabkokamekastra/N1/SA"。
下载的 DLL 保存为 "%LocalAppdata%\\moshtmlclip\\socker.dll"，释放另一个 BAT 文件 "%LocalAppdata%\\Temp\\FROX\\sfs.bat" 创建计划任务用于启动 socker.dll。计划任务名称为 MicrosoftVelocity，执行 socker.dll 的导出函数 "?ejjwed@@YAHXZ"。
由于暂未捕获到 socker.dll，目前无法对后续载荷功能展开进一步的分析。

PDF钓鱼攻击链肚脑虫组织利用 PDF 诱饵的另一种攻击手法是借助 PDF 包含的钓鱼链接投递带恶意宏的 PPT，相关样本信息如下。


-
-
-


MD5
文件名
说明

5af77f4a63089011563bd3fcd02d56e0
NDC-Course.pdf
PDF，包含下载恶意PPT的链接

eb5d23a6a200016ba9b2d0085e58b586
Assets 2024.pdf
PDF，包含下载恶意PPT的链接

0f4f32b97c7bde0824b0fd27fe3ec4b0
NDC-Course.ppt
PPT，带恶意宏

d3ff126dc3e69d7f2d660a504b499cc4
-
PPT，带恶意宏

a0dbb4f8dbc5df628f03d60ed4a79d29
Assets 2024.ppt
PPT，带恶意宏

bcc0f690f330be4321365f6fd1330d95
PLAIN.dll
DLL，向C&C服务器回传收集的信息，以及下载后续载荷

2c2176d9a74851dd30525a87bf0794ca
PLAIN.dll
DLL，向C&C服务器回传收集的信息，以及下载后续载荷

bdc40a26cd02e33e5b83a9573125793e
PLAIN.dll
DLL，向C&C服务器回传收集的信息，以及下载后续载荷

8e91d5ab926daca6f4db41ba8a918ffd
PLAIN.dll
DLL，向C&C服务器回传收集的信息，以及下载后续载荷

fa6cd1543db5156e7063db87b3241f26
PLAIN.dll
DLL，向C&C服务器回传收集的信息，以及下载后续载荷

df2ef826d0a398772f2373cd7303d58b
PLAIN.dll
DLL，向C&C服务器回传收集的信息，以及下载后续载荷

以样本 Assets 2024.pdf（MD5：eb5d23a6a200016ba9b2d0085e58b586）为例，其中包含的下载 PPT 的链接为 "hxxps://sharetobijoy.buzz/2024/filez/uploadz/invite25.php?id=19112"。
PPT 中的恶意宏根据是否为 64 位系统执行不同 shellcode。
Shellcode 为肚脑虫常用的两阶段下载器，以 32 位 shellcode 为例，第一阶段 shellcode 从 "hxxp://diffgrinder.info/PNubW5l8DVqKlNbo/zFsDitREUBbsbeB815VkWnKpuXN4bhXUg3MFC7txkrV5beqf.png" 获取后续，解密后作为第二阶段 shellcode 执行。
第二阶段 shellcode 再从 "hxxp://diffgrinder.info/PNubW5l8DVqKlNbo/zFsDitREUBbsbeB815VkWnKpuXN4bhXUg3MFC7txkrV5beqf.mp3" 下载后续，将其保存为 "%temp%\\meaBRlIGkgtELpU\\ksHWqKqg.dll"。然后写入 "4D 5A 90 00" 四字节修复 DOS 头，接着将该 DLL 加载进内存中，调用其导出函数 "LOPP"。
ksHWqKqg.dll（MD5：2c2176d9a74851dd30525a87bf0794ca）具有 LOPP 和 VelocitySpeed 两个导出函数，DLL 功能与上面描述的直接伪装为 PDF 的 EXE 程序恶意行为一致。
(1) LOPP
该函数主要负责持久化操作。释放 cross.bat 文件，创建 PerformTaskMaintain 计划任务，执行 "%temp%\\FROX\\PLAIN.dll" 的导出函数 VelocitySpeed，并将 DLL 文件自身复制为 "%temp%\\FROX\\PLAIN.dll"。
(2) VelocitySpeed
该函数负责与 C&C 服务器的交互并获取后续载荷。收集感染设备的信息（CPU型号、操作系统产品名称和 build number、用户名、主机名、CPU 的 ProcessorID、安装的软件列表），加密后发送到 C&C 服务器。AES 加密使用的 IV 和 key 如下所示，与 EXE 样本一致。
服务器响应如果符合条件，则继续从 C&C 服务器获取后续载荷 socker.dll，保存为 "%LocalAppdata%\\moshtmlclip\\socker.dll"，释放 sfs.dat 创建计划任务，用于启动 socker.dll。

溯源关联以 PDF 文档诱饵开始的钓鱼攻击链与肚脑虫组织以往的攻击手法[1]高度一致，相似之处包括 shellcode 的代码特点、获取后续载荷的 URL 格式、字符串采用 01 编码、通过 BAT 文件设置计划任务运行其他组件。
伪装为 PDF 的 EXE 与 PLAIN.dll 两者在代码和恶意行为上几乎一模一样，而 EXE 中还保留了 "PLAIN.dll" 的 01 编码，并且 EXE 的编译时间和数字签名时间在 PLAIN.dll 投入攻击活动之后。因此可以认为该 EXE 由 PLAIN.dll 改写而来，攻击者直接用 EXE 伪装为 PDF，可能是简化攻击流程、改变攻击手法的一种尝试。

总结本次捕获的攻击样本属于肚脑虫组织攻击流程前期阶段的组件，从 C&C 服务器获取的后续载荷（如 socker.dll）很可能执行进一步的情报收集工作。以 PDF 作为诱饵在该组织以往的攻击活动中并不多见，不过此次活动的攻击过程依然延续了肚脑虫组织的惯用手法，从整体上看变化不大，这也侧面说明了这套攻击链在肚脑虫实施网络间谍活动的过程中屡试不爽。

防护建议奇安信威胁情报中心提醒广大用户，谨防钓鱼攻击，切勿打开社交媒体分享的来历不明的链接，不点击执行未知来源的邮件附件，不运行标题夸张的未知文件，不安装非正规途径来源的APP。做到及时备份重要文件，更新安装补丁。
若需运行或安装来历不明的应用，可先通过奇安信威胁情报文件深度分析平台（https://sandbox.ti.qianxin.com/sandbox/page）进行判别。目前已支持包括Windows、安卓平台在内的多种格式文件深度分析。
目前，基于奇安信威胁情报中心的威胁情报数据的全线产品，包括奇安信威胁情报平台（TIP）、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等，都已经支持对此类攻击的精确检测。

IOCMD5
(EXE)
893561ff6d17f1e95897b894dde29a2a
(PDF)
eb5d23a6a200016ba9b2d0085e58b586
5af77f4a63089011563bd3fcd02d56e0
(PPT)
0f4f32b97c7bde0824b0fd27fe3ec4b0
d3ff126dc3e69d7f2d660a504b499cc4
a0dbb4f8dbc5df628f03d60ed4a79d29
(DLL)
bcc0f690f330be4321365f6fd1330d95
2c2176d9a74851dd30525a87bf0794ca
bdc40a26cd02e33e5b83a9573125793e
8e91d5ab926daca6f4db41ba8a918ffd
fa6cd1543db5156e7063db87b3241f26
df2ef826d0a398772f2373cd7303d58b
C&C
bijoyshare.buzz
sharetobijoy.buzz
diffgrinder.info
totalservices.info
theoyservices.info
URL
hxxps://bijoyshare.buzz/2024/filez/uploads/invite25.php?id=10515
hxxps://sharetobijoy.buzz/2024/filez/uploadz/invite25.php?id=19112
hxxp://diffgrinder.info/PNubW5l8DVqKlNbo/zFsDitREUBbsbeB815VkWnKpuXN4bhXUg3MFC7txkrV5beqf.
hxxp://diffgrinder.info/4us2rZQSxKVHgbyW/iAILc6MjCh4QEXTJWmKyY8r4DaoKRwkQ3yjlf0evOOO9vIdh.
hxxps://totalservices.info/WxporesjaTexopManor/ptomekasresdkolertys
hxxps://totalservices.info/WxporesjaTexopManor/vrptpvabkokamekastra/N1/SA
hxxps://theoyservices.info/WxporesjaTexopManor/ptomekasresdkolertys
hxxps://theoyservices.info/WxporesjaTexopManor/vrptpvabkokamekastra/N1/SA

参考链接[1]. https://ti.qianxin.com/blog/articles/Heavy-Shadows:Summary-of-Recent-Attack-Techniques-Used-by-Donot-Group-CN/

-	-
奇安信情报沙箱报告链接	https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AZT5fv50h6wn_HCy8ts6\
样本文件名	-
样本MD5	893561ff6d17f1e95897b894dde29a2a
样本类型	PE32 EXE
样本大小	1.85 MB (1942112字节)

-	-	-
MD5	文件名	说明
5af77f4a63089011563bd3fcd02d56e0	NDC-Course.pdf	PDF，包含下载恶意PPT的链接
eb5d23a6a200016ba9b2d0085e58b586	Assets 2024.pdf	PDF，包含下载恶意PPT的链接
0f4f32b97c7bde0824b0fd27fe3ec4b0	NDC-Course.ppt	PPT，带恶意宏
d3ff126dc3e69d7f2d660a504b499cc4	-	PPT，带恶意宏
a0dbb4f8dbc5df628f03d60ed4a79d29	Assets 2024.ppt	PPT，带恶意宏
bcc0f690f330be4321365f6fd1330d95	PLAIN.dll	DLL，向C&C服务器回传收集的信息，以及下载后续载荷
2c2176d9a74851dd30525a87bf0794ca	PLAIN.dll	DLL，向C&C服务器回传收集的信息，以及下载后续载荷
bdc40a26cd02e33e5b83a9573125793e	PLAIN.dll	DLL，向C&C服务器回传收集的信息，以及下载后续载荷
8e91d5ab926daca6f4db41ba8a918ffd	PLAIN.dll	DLL，向C&C服务器回传收集的信息，以及下载后续载荷
fa6cd1543db5156e7063db87b3241f26	PLAIN.dll	DLL，向C&C服务器回传收集的信息，以及下载后续载荷
df2ef826d0a398772f2373cd7303d58b	PLAIN.dll	DLL，向C&C服务器回传收集的信息，以及下载后续载荷

APT 南亚地区 DONOT APT-Q-38