奇安信威胁情报中心

返回 TI 主页
背景近日，奇安信威胁情报中心在发布《Gorgon黑客组织再显新招：通过在线网盘发起“三重奏”攻击》https://mp.weixin.qq.com/s/7PlBz6j8ATFsKUOUYhfyjw的分析报告后，在对该南亚组织的进一步追踪发现，该组织除了使用Blogspot+pastebin的在线网盘获取木马payload的模式进行攻击外，其还会使用DropBox下载Payload，从伪装的MP3或JPG文件获取最终木马的方式进行攻击。
样本分析本次投递的DownLoader是一个docx文档，打包时间2018年8月22号，上传VirusTotal的时间是2019年8月26日，使用模板注入的方式从DropBox下载后续payload，后续payload是一个RTF文件，内嵌了8个带有宏的Excel OLE对象。启用宏之后会从C&C下载VBS脚本并执行，VBS经过解密执行PS脚本从C&C下载两个payload，并解密最后通过注入器将njrat注入到MSBuild.exe进程中。
DownLoader样本分析






文件名
Reserva Ricargo Bago.docx

MD5
de2eea6519b4150800b2122300809948

时间
2019-08-22 19:11:00

模板注入，打开文档时会从
hxxps://www.dropbox.com/s/0m29532jztadbda/bsuPQI87aopY.doc?dl=1下载RTF文件并打开
bsuPQI87aopY.doc样本信息：






文件名
bsuPQI87aopY.doc

MD5
5287c2873d1a28be773a2457b6f1f4c9

时间
2019-08-22 21:06:00

该RTF文件内嵌了8个带有旧版宏警告的Excel ole对象
当打开该RTF文档时，会弹出Excel表格，并显示旧版宏警告，如果点击禁用，则会弹出下一个Excel，一直持续8次，该技术Carrie Roberts在其博客上[1]有详细的描述。
Excel中的宏会从172.105.68.75/pirata.txt下载VBS脚本，保存名为MTServices.vbs
调用Wscript执行MTServices.vbs，
VBS会调用Powershell执行脚本
Powershell最中会解密并执行最后的ps脚本
从hxxp://www.m9c.net/uploads/15647132812.mp3和hxxp://www.m9c.net/uploads/15647132811.jpg下载后续payload和脚本，15647132811.jpg内容如下，解密后的15647132811.jpg一个是C#编写的远控木马：
15647132812.mp3内容如下，执行脚本解密出一个C#编写的注入器：
PS脚本通过调用注入器的GFG类中的exe方法，将njrat注入到MSBuild.exe中：
经过分析，被注入的C#程序，互斥量为EDFRWFGH-vJoGYkaB6OOZ的njrat远控木马
链接的域名为duckapp.duckdns.org，IP地址为141.255.145.208:5552
同源分析通过开源情报可知，Gorgon组织曾利用hxxp://www.m9c.net域名发起攻击,最早可以追溯到6月份，该组织通过hxxps://pastebin.com进行payload的投放，最后释放的依然是一个njrat，远控域名：queda212.duckdns.org
经过溯源发现相似样本






文件名
DADOS_CONFIRMAÇÃO_DE_RESERVA_IDAZA.doc

MD5
a77c33fe1d7112eeba2d9653aba67218

时间
2019-07-17 04:37:00

打开文档界面如下：
同样是模板注入从hxxp://bit.ly/2JD9Tlr下载RTF文档：
RTF文档信息：






文件名
tabela.doc

MD5
83bbe5e2a5242de93eb546e4ef22c6fc

时间
2019-07-17 01:20:00

该RTF同样内嵌了带有旧版宏警告的Excel ole对象，启用宏之后会从
hxxp://refugiovistaserrana.com.br:80/novosite2/HNSUSbFuYM48DATA16072019.mp3
下载VBS脚本，如图所示，此处的混淆方法在上一篇报告中也有所提及。
“للظال”和“!의있을모!”是Gorgon组织常用混淆，VBS调用PS脚本
Base64解密后
从hxxps://refugiovistaserrana.com.br/novosite/tt.mp3，下载Payload解密并执行，payload同样为njrat，远控域名依然是duckapp.duckdns.org，IP及端口141.255.147.151:5555
至此，本篇可作为上篇关于Gorgon组织系列分析的延伸，仅供参考。
总结Gorgon，一个被认为来自南亚某国家的黑客组织，其目标涉及全球政府，外贸等行业，且目的不纯粹为了金钱，还可能与政治相关。
而从本次活动中，Gorgon仍在使用一些传统木马进行攻击，例如njrat这类“旧时代”木马，但也足以证明，在注重诱饵变更，以及投递手法的创新，在Payload获取的路子上做文章，将会是目前大多数黑客组织常使用的手段，但也是最节省成本，最有效的手段。
目前奇安信集团全线产品，包括天眼、SOC、态势感知、威胁情报平台，支持对涉及Gorgon组织的攻击活动检测，并且奇安信安全助手支持对该组织的样本进行拦截。
IOC文件Hash：
de2eea6519b4150800b2122300809948
7fe468b10d95cc993a499abc6a2760a41024f7fe
300c9b54a3747925d7dc5457cbfb93f2f8c2a4ee
7fa6b8a902a46cf7678a3ea225a3a661f37c8ea5
2ab26f82b54ebd841019b6dcc6b92027ae97fd15
b09dbb9ba2c95019bb34e12010be81140ea6a96a
08212a083f7c969132e0e7f6ff0dfe2a713eb2a1
b3b79e5f8893b1eec4171e473716636146845e3c
925be2c3a80370a5f6d1786d7efcd3e51043662a
97b779463c494544fc698d7ca08725e0d41e37bb
C&C：
141.255.147.151:5555
141.255.145.208:5552
172.105.68.75
URL:
www.dropbox.com/s/0m29532jztadbda/bsuPQI87aopY.doc?dl=1
172.105.68.75/pirata.txt
www.m9c.net/uploads/15647132812.mp3
www.m9c.net/uploads/15647132811.jpg
bit.ly/2JD9Tlr
duckapp.duckdns.org
refugiovistaserrana.com.br:80/novosite2/HNSUSbFuYM48DATA16072019.mp3
refugiovistaserrana.com.br/novosite/tt.mp3

文件名	Reserva Ricargo Bago.docx
MD5	de2eea6519b4150800b2122300809948
时间	2019-08-22 19:11:00

文件名	bsuPQI87aopY.doc
MD5	5287c2873d1a28be773a2457b6f1f4c9
时间	2019-08-22 21:06:00

文件名	DADOS_CONFIRMAÇÃO_DE_RESERVA_IDAZA.doc
MD5	a77c33fe1d7112eeba2d9653aba67218
时间	2019-07-17 04:37:00

文件名	tabela.doc
MD5	83bbe5e2a5242de93eb546e4ef22c6fc
时间	2019-07-17 01:20:00
GORGON APT