奇安信威胁情报中心

返回 TI 主页

概述“摩诃草”APT团伙（APT-C-09），又称HangOver、VICEROY TIGER、The Dropping Elephant、Patchwork，是一个来自于南亚地区的境外APT组织，该团伙已持续活跃了超过8年时间。“摩诃草”最早由Norman安全公司于2013年曝光，该组织主要针对亚洲地区和国家进行网络间谍活动，主要攻击领域为政府军事机构、科研教育等。
奇安信威胁情报中心红雨滴团队在日常的样本跟踪分析过程中，捕获该组织多个近期针对周边国家和地区的定向攻击样本。在此次捕获的样本中，摩诃草组织采用了多种利用方式：例如伪装成南亚地区某国的网络安全协议的CVE-2017-0261漏洞利用文档，伪装成疫情防范指导指南的宏利用样本，在巴基斯坦某证券交易网站投放的伪装成java运行环境的可执行文件等。摩诃草组织利用此类结合了时事热点的恶意样本对周边国家和地区发起了多次攻击活动。
样本信息基础信息此次捕获的样本包含以疫情防范指南，网络安全政策等时事热点为诱饵的文档类样本，同时还捕获一例疑似水坑攻击样本，摩诃草组织攻陷了某国某地区证券交易网站，并在网站中放置了一个伪装成java运行环境安装程序的恶意可执行文件，相关样本信息如下。






文件名
MD5

National_Network_Security.docx
9a3c9a9c904fbae3a020be4799cd781c

Covid19_Guidelines.doc
16c01b13998e96f27bd9e3aa795da875

hmfs.exe
2e6f0c15b6ed10f5208627abcb7b568c

诱饵信息文档类样本主要以疫情，网络安全政策为诱饵，相关诱饵内容如下。
网络安全相关政策法规诱饵：
MD5：9a3c9a9c904fbae3a020be4799cd781c疫情防范指南相关诱饵信息：
MD5：16c01b13998e96f27bd9e3aa795da875样本分析CVE-2017-0261漏洞利用文档





文件名
National_Network_Security.docx

MD5
9a3c9a9c904fbae3a020be4799cd781c

最后修改时间
2020-06-14T13:38:00

利用方式
CVE-2017-0261

该样本是eps漏洞利用文档，一旦受害者点击启用样本，EPS脚本过滤器fltldr.exe就会渲染其中的恶意EPS脚本从而执行恶意代码。
与之前曝光的摩诃草eps漏洞利用样本类似，eps包含多个pe以及shellcode，较之之前的样本，pe采取了异或加密存储，在shellcode中解密执行释放，解密算法如下：
Shellcode首先检测自身权限，若权限不够则解密一个提权dll加载执行提升权限，提权dll如下。
之后解密文件释放到%programdata%Microsoft\DeviceSycn\目录下。
与摩诃草组织之前的利用方式一致，利用白文件VMwareCplLauacher.exe加载vmtools.dll.同样的vmtools采用com对象创建计划任务从而实现后门的持久化。
最终执行的后门是摩诃草组织常用的FakeJLI后门，相关信息如下。






MD5
6423fd4c8be66e6adf95f62821b9b93c

编译时间
2020:05:20 08:26:11+02:00

C2
altered.twilightparadox.com

该后门加载执行后，首先通过创建互斥量，保证只有一个实例运行
之后收集受害者计算机电脑名，操作系统版本等信息。
之后加密发送获取的基本信息，并根据c2返回数据执行不同的功能。






Token
功能

0
退出

8
上传键盘记录的文件

23
上传截屏的文件

13
上传收集的特定后缀的文件列表（（".txt",".doc",".xls",".xlsx",".docx",".xls",".ppt",".pptx",".pdf"））

5
上传本地文件到服务器

33
从一个url中提取exe链接并下载执行

宏利用样本





文件名
Covid19_Guidelines.doc

MD5
16c01b13998e96f27bd9e3aa795da875

最后修改时间
2020:06:25 06:23:00

利用方式
宏

该样本以疫情防范指南为诱饵，当受害者执行该文档时，仅显示模糊的内容，同时提醒用户启用宏以查看完整内容。
一旦受害者启用宏后，恶意宏代码将被执行，宏代码中包含一个正常的诱饵文档，经base64编码后分段存储在宏代码中，执行后将会写入到temp路径下然后进行显示。
释放展示的诱饵内容为巴基斯坦政府关于疫情防卫的指导，从而迷惑受害者。
宏代码中包含三个经过分解编码的可执行文件，但其中两个被注释未使用，只解码释放了其中一个文件到C:\Users\xxxx\AppData\Roaming\Microsoft\MicroScMgmt.exe执行。






文件名
MicroScMgmt.exe

MD5
809FF867D2CFE803EF4AE4102283B45C

签名信息
Accelerate Technologies Ltd

该样本带有带有一个无效的签名。
字符串多采用简单加密处理，执行过程中，将通过简单的异或对这些加密字符串进行解密操作。
样本被加载起来后，首先通过遍历当前进程，从而判断受害者计算机中是否存在杀软。
判断的杀软进程对应杀软列表如下。






进程
对应杀软

ekrn.exe，egui.exe
ESET NOD32

Avg, AVGUI
Avg

Bdagent, gziface, bitdefender_isecurity.exe
Bitdefender

uiSeAgnt.exe
趋势科技

ccSvcHst.exe, Norton, nis.exe, ns.exe
诺顿

AvkTray, AVKTray
GData

apvui.exe, avp
卡巴斯基

AvastUI
Avast

onlinent.exe
Quick Heal AntiVirus

PSUAMain.exe
Panda Security

escanmon.exe，escanpro.exe
eScanAV

MsMpEng.exe, MpCmdRun.exe, NisSrv.exe
Windows Defender

zatray.exe, AkSA.exe
Check Point ZoneAlarm

fshoster32.exe
F-Secure

K7SysMon.exe, k7tsecurity.exe
K7TotalSecurity

McUICnt.exe, ModuleCoreService.exe
McAfee

若不存在杀软，则尝试提升自身权限。
之后在内存中解密一个可执行文件。
之后创建一个新的傀儡进程，将解密的可执行文件注入执行。
之后通过访问en.wikipedia.org检查网络连通性进行一些延时。
之后继续检测是否存在杀软，若不存在，则将自身拷贝到C:\ProgramData\ProgramDataUpdate\ MSBuld.exe,并在启动项目录创建MSBuld.lnk用启动MSBuld.exe从而实现自启动。






文件名
内存注入加载的dll

MD5
03F4CEA14CB8114DF74E0CE2E5AF6D7C

该DLL疑似是Bozok RAT,加载执行后，首先从资源中获取配置信息，包括互斥量，c2,解密插件密钥等。
创建互斥量，保证只有一个实例运行。
之后尝试连接C2。
若成功连接则获取受害者计算机相关信息发送到C2服务器。
之后会从远程服务器获取命令执行。
部分指令功能如下表：






指令(16进制)
功能

3
获取磁盘类型

4
获取文件列表

9
以隐藏窗口的方式启动指定文件

A
执行指定文件

D
删除指定文件

10
使用SHFileOperationW对指定文件进行操作

16
移动指定文件

19
上传指定文件

21
获取进程列表

25
结束指定进程

5C
解密插件DLL,插件具有键盘记录，VNC远程操作等功能

7C
下载执行

疑似水坑攻击





文件名
hmfs.exe

MD5
2e6f0c15b6ed10f5208627abcb7b568c

样本来源
http://hmfs.com.pk/hmfs.exe

编译时间
2019:07:19 12:02:12+02:00

签名
Accelerate Technologies Limited

奇安信红雨滴团队分析人员发现 ，在某国某证券交易网站上存在摩诃草组织恶意样本(http://hmfs.com.pk/hmfs.exe)。
该网站首页如下：
该网站首页中被插入了一个iframe,指向摩诃草组织域名dailypakistan[.]info，但目前已无法获取数据，猜测该iframe会判断用户IP等信息，若是目标用户则下发木马给受害者。
而获取的样本伪装成Java安装环境，运行后，首先在%appdata%目录下释放执行正常得java安装程序。
执行正常安装程序如下，迷惑受害者。
之后将在%Roaming% Microsoft\Windows\Update\目录下释放执行Rasdial.exe。






文件名
Rasdial.exe

MD5
8b282ef8f441ccceb707a9ee04a5413e

该样本与宏利用样本释放文件基本一致，这里不再赘述。
溯源关联与摩诃草的关联CVE-2017-0261利用样本与2019年末摩诃草组织使用样本基本类型，且解密后续恶意软件密钥相同，均为16082019。
且后续恶意Payload为摩诃草组织常用的FakeJLI后门。
同时在宏利用样本中释放的MicroScMgmt.exe中的字符串” ouemm/emm!!!!!!!!!!!!!” 曾出现在摩诃草组织badnews后门中。
拓展据分析发现，宏利用样本释放的MicroScMgmt.exe与水坑样本均带有Accelerate Technologies Ltd公司签名：
同时MicroScMgmt.exe的PE描述信息伪装为南亚安全公司Quick Heal的杀软组件进行伪装，通过签名信息可关联到多个摩诃草组织样本。
综上所述，此次攻击活动应出自摩诃草组织之手，奇安信威胁情报平台已支持相关样本检测。
总结摩诃草组织是一个长期活跃的组织，其攻击武器较为丰富，此次捕获的攻击活动也可以看出该组织攻击手法灵活多变，是攻击能力较强的APT团伙。
奇安信威胁情报中心再次提醒各企业用户，加强员工的安全意识培训是企业信息安全建设中最重要的一环，如有需要，企业用户可以建设态势感知，完善资产管理及持续监控能力，并积极引入威胁情报，以尽可能防御此类攻击。
目前，基于奇安信威胁情报中心的威胁情报数据的全线产品，包括威胁情报平台（TIP）、天眼高级威胁检测系统、NGSOC、奇安信态势感知等，都已经支持对此APT攻击团伙攻击活动的精准检测。
IOCs文件MD5：
16c01b13998e96f27bd9e3aa795da875
809FF867D2CFE803EF4AE4102283B45C
23EAFB7DC1130641CF816D11DC7BCE10
4c79583d189207ec9f138204fbb63810
f85a94ef1e9c0dca48dbecb5c8399e07
C2：
185.157.78.135:1515
185.157.78.135:4040
185.29.10.115
恶意URL：
http://feed43.com/6021628058817160.xml
http://shopsdestination.weebly.com/contact.html
https://coffeemesmarisingmoments.wordpress.com/
https://raw.githubusercontent.com/petrov1alexzender/readme/master/xml.xml
http://185.29.10.115/00fc577294c34e0b28ad28394359/L034asgf3fdsa3g4/d3423qrasf34fsd.php
http://5.254.98.68/mtzpncw/gate.php
whgt.steelhome.cn/xml.xml
wgeastchina.steelhome.cn/xml.xml
wxycgc.steelhome.cn/xml.xml
www.itpub.net/thread-2055123-1-1.html
wxkysteel.steelhome.cn/xml.xml
www.webrss.com/createfeed.php?feedid=48771
feed43.com/0236014816401653.xml
raw.githubusercontent.com/Vldir/readme/master/xml.xml
muzik79.wordpress.com/2016/10/10/muzik-shakes-y0u/
“摩诃草”团伙的Github账户：
johnhenery12
petrov1alexzender
Vldir
红雨滴团队（RedDrip Team）奇安信旗下的高级威胁研究团队红雨滴（前天眼实验室），自2015年成立以来持续运营至今，目前团队跨部门整合了奇安信威胁情报中心和APT实验室的分析力量，构成奇安信在高级威胁攻防领域的核心主力。
目前，红雨滴团队拥有资深而全面的专业分析师和相应的数据运营和平台开发人员，覆盖威胁情报运营的各个环节：公开情报收集、自有特色数据处理、恶意代码分析、网络流量解析、线索发现挖掘拓展、追踪溯源，实现安全事件分析的全流程运营。团队对外输出机读威胁情报数据和检测模块，支持奇安信自有和第三方的检测类安全产品，实现高效的威胁发现、损失评估及处置建议提供，同时也为公众和监管方输出事件和深度高级威胁分析报告。
依托全球领先的安全大数据能力、多维度多来源的安全数据和专业分析师的丰富经验，红雨滴团队自2015年持续发现多个包括海莲花在内的APT组织（APT-C-00，OceanLotus）在中国境内的长期活动，发布了首个在国内造成巨大影响的组织层面APT事件全揭露报告，开创了国内APT攻击类高级威胁体系化揭露的先河，相关的研究已经成为国家级网络攻防的焦点。
团队LOGO：
关注二维码：


文件名	MD5
National_Network_Security.docx	9a3c9a9c904fbae3a020be4799cd781c
Covid19_Guidelines.doc	16c01b13998e96f27bd9e3aa795da875
hmfs.exe	2e6f0c15b6ed10f5208627abcb7b568c


文件名	National_Network_Security.docx
MD5	9a3c9a9c904fbae3a020be4799cd781c
最后修改时间	2020-06-14T13:38:00
利用方式	CVE-2017-0261


MD5	6423fd4c8be66e6adf95f62821b9b93c
编译时间	2020:05:20 08:26:11+02:00
C2	altered.twilightparadox.com


Token	功能
0	退出
8	上传键盘记录的文件
23	上传截屏的文件
13	上传收集的特定后缀的文件列表（（".txt",".doc",".xls",".xlsx",".docx",".xls",".ppt",".pptx",".pdf"））
5	上传本地文件到服务器
33	从一个url中提取exe链接并下载执行


文件名	Covid19_Guidelines.doc
MD5	16c01b13998e96f27bd9e3aa795da875
最后修改时间	2020:06:25 06:23:00
利用方式	宏


文件名	MicroScMgmt.exe
MD5	809FF867D2CFE803EF4AE4102283B45C
签名信息	Accelerate Technologies Ltd


进程	对应杀软
ekrn.exe，egui.exe	ESET NOD32
Avg, AVGUI	Avg
Bdagent, gziface, bitdefender_isecurity.exe	Bitdefender
uiSeAgnt.exe	趋势科技
ccSvcHst.exe, Norton, nis.exe, ns.exe	诺顿
AvkTray, AVKTray	GData
apvui.exe, avp	卡巴斯基
AvastUI	Avast
onlinent.exe	Quick Heal AntiVirus
PSUAMain.exe	Panda Security
escanmon.exe，escanpro.exe	eScanAV
MsMpEng.exe, MpCmdRun.exe, NisSrv.exe	Windows Defender
zatray.exe, AkSA.exe	Check Point ZoneAlarm
fshoster32.exe	F-Secure
K7SysMon.exe, k7tsecurity.exe	K7TotalSecurity
McUICnt.exe, ModuleCoreService.exe	McAfee


文件名	内存注入加载的dll
MD5	03F4CEA14CB8114DF74E0CE2E5AF6D7C


指令(16进制)	功能
3	获取磁盘类型
4	获取文件列表
9	以隐藏窗口的方式启动指定文件
A	执行指定文件
D	删除指定文件
10	使用SHFileOperationW对指定文件进行操作
16	移动指定文件
19	上传指定文件
21	获取进程列表
25	结束指定进程
5C	解密插件DLL,插件具有键盘记录，VNC远程操作等功能
7C	下载执行


文件名	hmfs.exe
MD5	2e6f0c15b6ed10f5208627abcb7b568c
样本来源	http://hmfs.com.pk/hmfs.exe
编译时间	2019:07:19 12:02:12+02:00
签名	Accelerate Technologies Limited


文件名	Rasdial.exe
MD5	8b282ef8f441ccceb707a9ee04a5413e

摩诃草 APT