团伙背景
蔓灵花,又名 Bitter,奇安信内部跟踪编号 APT-Q-37。该组织被普遍认为具有南亚地区背景,长期针对中国、巴基斯坦等国家进行攻击活动,定向攻击的目标包括政府、电力、军工等领域的单位,意图窃取敏感资料。
事件概述
奇安信威胁情报中心近期发现一些与蔓灵花组织相关的攻击样本,这些样本使用不同方式,最终植入一种可以从远程服务器下发任意 EXE 文件的 C# 后门。
(1)方式一:利用 xlam 文件携带的 VBA 宏释放 C#代码文件,借助受害者机器上.NET 框架的 csc.exe 和 InstallUtil.exe 完成编译与安装。
(2)方式二:使用 WinRAR 路径穿越漏洞,试图替换受害者用户目录模板库中的 Normal.dotm 文件,从而实现当受害者打开 docx 文件时,触发模板库中恶意 Normal.dotm 宏代码的执行,宏代码获取托管在远程服务器上的后门程序并运行。
详细分析
相关样本信息如下:
| - | - | - |
|---|---|---|
| MD5 | 文件名 | 说明 |
| b165b489c5f8c4e136364664502d68f1 | Nominated Officials for the Conference.xlam | 包含恶意宏 |
| 18164f7b3d320a79b6db634f718a1095 | vlcplayer.dll | 释放的 C#源码编译得到的后门程序 |
| f6f2fdc38cd61d8d9e8cd35244585967 | Provision of Information for Sectoral for AJK.rar | 带有漏洞利用的恶意 RAR 压缩包 |
| 4bedd8e2b66cc7d64b293493ef5b8942 | Normal.dotm | RAR 压缩包中包含恶意宏的文件 |
| f16f2e4317c37085cad630d41001f7c3 | winnsc.exe | 后门程序 |
攻击链一
文件 Nominated Officials for the Conference.xlam 打开后会提示启用宏,宏启用后弹出一个消息框,意为“文件解析失败,内容损坏”。这只是攻击者用来迷惑受害者的手段。
在 xlam 文件携带的宏代码中,首先 base64 解码出一份 C# 编写的后门源码数据,保存为"C:\\programdata\\cayote.log"。然后调用.NET 框架的 csc.exe 将其编译为"C:\\Programdata\\USOShared\\vlcplayer.dll",再用 InstallUtil.exe 安装。
宏代码中 periperi 函数用以实现持久化,在 Starup 目录写入 kefe.bat 文件,该 bat 文件会创建一个向"hxxps://www.keeferbeautytrends.com/d6Z2.php?rz="发起请求的计划任务。
攻击链二
攻击者还利用了 WinRAR 的路径穿越漏洞植入 C# 后门。起初我们以为攻击者利用的是 8 月份披露的 CVE-2025-8088 [1],该漏洞影响低于 7.13 版本的 WinRAR 软件。但测试发现,对于 7.12 版本的 WinRAR,恶意 RAR 无法实现路径穿越的效果,而在 7.11 版本上可以实现,因此攻击者实际利用的应该是更早的一个 WinRAR 漏洞。
恶意 RAR 中包含两个文件,一个是 Document.docx,另一个是路径中带有两层父目录的 Normal.dotm。Normal.dotm 在 Document.docx 的 alternate 数据流(ADS)中,Document.docx 本身内容只有 5 个字节。
根据压缩包中 Normal.dotm 的路径,恶意 RAR 在解压后试图覆盖当前用户原有模板库的 Normal.dotm 文件("C:\\Users\\<用户名>\\AppData\\Roaming\\Microsoft\\Templates\\Normal.dotm")。这就要求受害者在"C:\\Users\\<用户名>\\XXX"之类的目录进行解压操作才能实现覆盖,而如果受害者习惯于在下载目录("C:\\Users\\<用户名>\\Downloads")或者桌面("C:\\Users\\<用户名>\\Desktop")直接解压接收的压缩包文件,将正中攻击者下怀。
压缩包中的 Document.docx 用于诱导受害者启动 Word,当 Word 启动时,会默认加载模板库中的 Normal.dotm 文件。恶意 Normal.dotm 中的宏代码通过 net use 连接远程共享文件夹"\\\\koliwooclients.com\\templates",然后执行其中的 winnsc.exe。根据 VT 上的关联,该 exe 为相同功能的 C#后门。
C# 后门
cayote.log 后门源码自带一些注释,使用函数 gjfdkgitjkg 对字符串进行 AES 解密,一些字符串解密结果如下。
后门主体功能在一个无限循环中,首先收集一些设备信息,包括当前用户临时目录路径、操作系统版本和位数、主机名等,将信息拼接后用 POST 请求发送到 hxxps://msoffice.365cloudz.esanojinjasvc.com/cloudzx/msweb/drxbds23.php。
从上面 URL 获取的响应作为参数传入 taskprogressAsync 静态方法,该方法根据 C2 服务器的响应内容下载指定后续 EXE 文件并执行。
taskprogressAsync 的参数以"#"分隔,第 1 部分作为下载的文件名,第 3 部分的数字用来确定下载文件的保存位置。
从 hxxps://msoffice.365cloudz.esanojinjasvc.com/cloudzx/msweb/drdxcsv34.php 获取指定文件名的文件数据。
下载的文件数据添加{0x4D 0x5A} DOS 头修复 EXE,然后校验 EXE 是否合法,再执行 EXE。执行 EXE 的静态方法虽然与解密字符串方法同名,但不带任何参数。
最后将 EXE 执行是否成功的 code 回传到 hxxps://msoffice.365cloudz.esanojinjasvc.com/cloudzx/msweb/drxcvg45.php。
恶意 RAR 压缩包植入的 winnsc.exe 具有同样的功能。
使用的 URL 如下。
| - | - |
|---|---|
| URL | 说明 |
| hxxps://teamlogin.esanojinjasvc.com/teamesano/drivers/teamzid.php | 回传收集的设备信息,获取下载的 EXE 文件信息 |
| hxxps://teamlogin.esanojinjasvc.com/teamesano/drivers/teamidcrz/<下载文件名> | 获取指定 EXE 的文件数据 |
| hxxps://teamlogin.esanojinjasvc.com/teamesano/drivers/teamsid.php | 回传表示 EXE 是否执行成功的 code |
溯源关联
上述两种攻击方式最终使用了同一种 C# 后门,并且后门通信的 C&C 服务器均指向今年 4 月才注册的 esanojinjasvc.com 域名的子域名,因此可以认为这批样本来自于同一个攻击团伙。
我们将攻击样本归属于蔓灵花组织,源于攻击过程中均出现了蔓灵花组织的网络基础设施。xlam 文件宏代码建立持久化时生成 kefe.bat 脚本出现蔓灵花相关域名 www.keeferbeautytrends.com,且脚本命令与蔓灵花常用命令格式相同 [2]。下图是之前披露的蔓灵花样本(MD5:7452fb632fd824f882fa12f9bebd7aa7)中出现的命令。
恶意 RAR 中 Normal.dotm 连接的远程服务器 koliwooclients.com 也在 8 月被安全研究人员披露与蔓灵花攻击活动有关 [3]。
总结
以上样本表明蔓灵花组织除了常用手段,还在尝试新的攻击手法,并扩充新的攻击武器。攻击者借用受害者机器的工具编译后门源码避免了二进制文件的哈希值固定,利用 WinRAR 漏洞实现文件覆盖进而触发恶意宏代码执行。不过这些样本的顺利运行对受害者的设备环境和操作习惯有一定要求,意味着攻击者可能通过前期的信息收集已经获取到了相关信息,但也有可能这些样本是攻击者在验证手法可行性阶段的测试样本。最终在受害者机器上植入的新型 C#后门为部署其他攻击武器提供了入口。
防护建议
奇安信威胁情报中心提醒广大用户,谨防钓鱼攻击,切勿打开社交媒体分享的来历不明的链接,不点击执行未知来源的邮件附件,不运行标题夸张的未知文件,不安装非正规途径来源的 APP。做到及时备份重要文件,更新安装补丁。
若需运行,安装来历不明的应用,可先通过奇安信威胁情报文件深度分析平台(https://sandbox.ti.qianxin.com/sandbox/page)进行判别。目前已支持包括 Windows、安卓平台在内的多种格式文件深度分析。
目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信 NGSOC、奇安信态势感知等,都已经支持对此类攻击的精确检测。
IOC
MD5
b165b489c5f8c4e136364664502d68f1
18164f7b3d320a79b6db634f718a1095
f6f2fdc38cd61d8d9e8cd35244585967
4bedd8e2b66cc7d64b293493ef5b8942
f16f2e4317c37085cad630d41001f7c3
C&C
keeferbeautytrends.com
koliwooclients.com
esanojinjasvc.com
URL
hxxps://msoffice.365cloudz.esanojinjasvc.com/cloudzx/msweb/drxbds23.php
hxxps://msoffice.365cloudz.esanojinjasvc.com/cloudzx/msweb/drdxcsv34.php
hxxps://msoffice.365cloudz.esanojinjasvc.com/cloudzx/msweb/drxcvg45.php
hxxps://teamlogin.esanojinjasvc.com/teamesano/drivers/teamzid.php
hxxps://teamlogin.esanojinjasvc.com/teamesano/drivers/teamidcrz/
hxxps://teamlogin.esanojinjasvc.com/teamesano/drivers/teamsid.php
参考链接
[1]. https://www.welivesecurity.com/en/eset-research/update-winrar-tools-now-romcom-and-others-exploiting-zero-day-vulnerability/
[2]. https://x.com/RedDrip7/status/1962415190051573781
[3]. https://x.com/suyog41/status/1952990924210094369