返回 TI 主页

概述

奇安信威胁情报中心曾在2021年曾经发表过《Operation Magichm:浅谈蔓灵花组织的CHM文件投放与后续操作》一文,时隔一年我们发现蔓灵花团伙(APT-Q-37)在四月份最新的攻击活动中使用了新的攻击手法和样本,除此之外文末还会对摩耶象(APT-Q-41)近期的钓鱼活动和响尾蛇(APT-Q-39)今年以来的基础设施进行分享。

从南亚方向近两年的攻击活动来看,各个组织仍然处于“吃老本”的状态,没有推陈出新的倾向,存在针对11882和8570等古董漏洞的路径依赖,在木马免杀方向也非常不理想,往往被天擎查杀四五次后还未到达免杀状态。这令我们感到失望。我们推测产生这种现象的原因可能与南亚地区的安全环境有关。

与之前的文章类似,本文内容也仅仅是对在过去一段时间内攻击手法做一个分享。文末会分享相关组织历史或未启用的基础设施。


APT-Q-37(蔓灵花)

邮件分析

蔓灵花组织仿冒军贸客户(孟加拉海军)以维修船体声纳为主题向军工企业投递的带有chm附件的钓鱼邮件。

除了chm,蔓灵花还投递了带有DDE auto的文档作为附件。仿冒军工企业以推销反无人机系统为主题向军贸客户(孟加拉空军)投递钓鱼邮件。

攻击者拿到军贸客户的邮箱权限后,会在正常来往邮件中新增的一个恶意的DDE附件,以此来提高钓鱼的成功率。

正常PDF如下:

使用可信邮箱向列表全员发送带有新年祝福的SFX样本。

投递带有宏文档的钓鱼邮件


诱饵分析

DDE AUTO

由于Chm过于常见,故这里不做分析,DDE文档如下

- - -
文件名 MD5 类型
Technical Proposal of Portable Anti-Drone System.docx 54ea5083ad67b15a249e07bb1a4fb3e0 DDE AUTO
China Great Wall Industry Corp (CGWIC) Profile and POC.docx 54ea5083ad67b15a249e07bb1a4fb3e0 DDE AUTO
Payment Detail.docx 54ea5083ad67b15a249e07bb1a4fb3e0 DDE AUTO
Invitation to Visit Bangladesh(Officials of Chinaship).docx 54ea5083ad67b15a249e07bb1a4fb3e0 DDE AUTO
REPAIR,REPLACEMENT OF SPARES FOR HULL MOUNTED SONAR (ESS-2)-BNS NISHAN.docx 54ea5083ad67b15a249e07bb1a4fb3e0 DDE AUTO

文档内容为空,故上述诱饵MD5均相同,只是投递对象略有不同。

DDE信息如下:

执行远程服务器上的msi文件,与chm诱饵文件下发的msi相同,值得一提的是DDE的手法与之前我们在《Operation(विक्रान्त)Vikrant:屹立于精神内景中的钢铁巨象》一文中披露的APT-Q-42腾云蛇组织相同,我们猜测可能是不同组织间武器共享或者组织人员间进行了合并。


SFX(JPG、DOC)

投递的SFX样本信息如下:

- - -
文件名 MD5 类型
2323orvttes.docx .exe 4069d394ff1e55fa9dde2f81567d681e SFX
医疗保险报销单-样表和空白表.xls.zip f69fa2d07e1ad0625af8a5ec44db327d SFX
greetings.jpg.exe dc269726626de55214f6f49f39ebc33a SFX
APSCO Distance Training on “Satellite Constellations.docx.exe 6d6e144c182a0f0e43593e05dd990239 SFX

可以看到SFX中的内容出现了明显的变化,将exe文件替换为了chm,主要目的是为了免杀,诱饵内容如下:

诱饵1

诱饵2

诱饵3


宏文档

宏文档投递数相对较少。

- - -
文件名 MD5 类型
XX业务培训制度.rar c44567e2b4b3c92dc871159481894917

内容如下:

主要功能为创建计划任务

除了上述的手法,还会使用带有CVE-2018-0798的xlsx进行投递,相关内容如下

PDF文件如下:

鉴于友商之前已经披露,且VT上有大量相似的样本,故不再赘述。


样本分析

最近我们观察到蔓灵花正在修改MSI木马,新型的MSI样本如下:

- -
MD5 类型
9790ef74625b4f9b67bc64aa7eff0e4b MSI
5be886f7a6cbc23a0a00bdb2153f435b MSI

MSI中仅包含了一个名为Scan.vbs的恶意脚本

VBS脚本内容如下,与宏样本中的代码同源,创建计划任务。

今年以来我们捕获到的基于ArtraDownloader后台下发的插件

- - - -
文件名 MD5 类型 功能
iexplorer 3268b2aeb16be4bb9b953257af74b805 VC++ 键盘记录模块
stdrcl3 71e1cfb5e5a515cea2c3537b78325abf
058cff1c34118fe46a641286b4cdfc92
.net 轻量化远控
mthost2.exe
mtstimuli
msstimuli
a9ed771d128a6ccf67097b6ecd136885
c66a35a9c1778ab162e3718afbd8c3ac
a70cb6a15e03284d59c0ae4e33324448
.net 下载者
sthost.exe dbf780ef27a421211c69698837986738 .net 文件收集模块
sysmgrnew.exe
sysmgr.exe
asmsN
asmsy
asmsNN
lsapip
a16d12819fc03a3b9f0b63786f26a4c7
ade9a4ee3acbb0e6b42fb57f118dbd6b
b63e9710cb67f4a649a83929ed9f0322
ff2905648780aea95f578d11def872c4
f505ef12881fa57fcdd12ac59cf55fd8
660a678cd7202475cf0d2c48b4b52bab
VC++ 文件收集模块

插件功能与之前类似,样本PDB信息如下:

- -
PDB
g:\Projects\cn_stinker_34318\feb22\renewedstink\renewedstink\obj\Release\stimulies.pdb
g:\Projects\cn_stinker_34318\feb22\renewedstink\renewedstink\obj\Release\stimulies.pdb
C:\Users\Window 10 C\Desktop\COMPLETED WORK\stdrcl\stdrcl\obj\Release\stdrcl.pdb

除了ArtraDownloader的后台外,我们意外发现了基于CHM的后台。

由于请求时会在后面接机器名和用户名,所以通过Opendir可以看到后台页面为每台受害者都创建了一个目录。

攻击者通过FTP的方式向指定受害者目录下上传msi文件,实现木马的下发。

MuuyDownLoader在去年发布的《Operation Magichm 浅谈蔓灵花组织的CHM文件投放与后续操作》一文中命名,被认为是ArtraDownloader的替代品。

新活动的样本如下:

- -
MD5 类型
6e4b4eb701f3410ebfb5925db32b25dc VC++

与去年的样本执行流程类似,经过两层循环与服务器认证完成后通过/JvQKLsTYuMe/xAexyBbnDxW/fFsw47e5ss/目录下发插件。

我们不清楚MuuyDownLoader与ArtraDownloader是否有着完全相同的后台页面。但我们从MuuyDownLoader获取的插件与ArtraDownloader下发的插件是完全相同的。

基于奇安信大数据平台,蔓灵花组织在二月底至三月初时间段内利用.net节点疯狂下发插件,在我们没有更新天擎特征库的情况下,插件反复被杀,相关人员到达现场后发现了如下壮观的一幕。

这意味着攻击者的免杀水平有待提升。


APT-Q-41(摩耶象)

摩耶象投递的钓鱼邮件如下:

攻击者通过投递html或者压缩包中带有html的方式诱导受害者双击html。通过这种方式能够绕过针对eml内嵌URL检测

最终会跳转到钓鱼页面。输入账号密码后跳转到PDF文件,近期该团伙钓鱼使用的诱饵文件如下:

诱饵文件1

诱饵文件2

诱饵文件3

诱饵文件4

诱饵文件5

诱饵文件6


APT-Q-39 (响尾蛇)

响尾蛇组织在过去的一段时间内仍利用11882等古董漏洞和带有Lnk的压缩包进行鱼叉攻击。

近期友商公布了该组织最新的攻击手法,在报告中提到响尾蛇团伙仅仅针对上层释放流程进行了修改,释放的木马仍然是老架构,我们会在文末分享近期疑似响尾蛇针对巴基斯坦进行攻击的基础设施,但不排除这些基础设施在未来会攻击其他地区。


总结

目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等,都已经支持对此类攻击的精确检测。


IOC

APT-Q-37(蔓灵花)

MD5:

54ea5083ad67b15a249e07bb1a4fb3e0

4069d394ff1e55fa9dde2f81567d681e

f69fa2d07e1ad0625af8a5ec44db327d

dc269726626de55214f6f49f39ebc33a

6d6e144c182a0f0e43593e05dd990239

c44567e2b4b3c92dc871159481894917

9790ef74625b4f9b67bc64aa7eff0e4b

5be886f7a6cbc23a0a00bdb2153f435b

3268b2aeb16be4bb9b953257af74b805

71e1cfb5e5a515cea2c3537b78325abf

058cff1c34118fe46a641286b4cdfc92

a9ed771d128a6ccf67097b6ecd136885

c66a35a9c1778ab162e3718afbd8c3ac

a70cb6a15e03284d59c0ae4e33324448

dbf780ef27a421211c69698837986738

a16d12819fc03a3b9f0b63786f26a4c7

ade9a4ee3acbb0e6b42fb57f118dbd6b

b63e9710cb67f4a649a83929ed9f0322

ff2905648780aea95f578d11def872c4

f505ef12881fa57fcdd12ac59cf55fd8

660a678cd7202475cf0d2c48b4b52bab

6e4b4eb701f3410ebfb5925db32b25dc

C2:

rurushophoogtypnl.com

botanoolifeapp.net

maildataserver.com

deliverymailserver.com

ekoconect.com

pnptrafcroutsvc.net

epapbuizhost.net

svc2mcxwave.net

URL:

http:// 193.142.58.186/UihbywscTZ/45Ugty845nv7rt.php


APT-Q-39 (响尾蛇)

C2:

docuserve.ltd

doken.xyz

fdn-mac.net

gov-pk.net

filedownload.work

trik.live

norter.xyz

paf-gov.net

dawnpk.org

pak-gov.net

afg-refugee.net

slap-games.club

ministry-pk.net

nationpk.org

cssc.info

mofa-pk.co

paf-mail.com

pakgov.org

docuserve.cc

brwse.co

cvix.live

pakgov.net

kpt-pk.net

crclab-bahria.org

pkrepublic.org

mod-pk.com

watch-earn.live

civix.live

paknavy.live

南亚地区 APT 蔓灵花 摩耶象 响尾蛇