背景
Transparent Tribe(透明部落),在2016年2月被Proofpoint披露并命名,也被称为ProjectM、C-Major、APT36。该APT组织被广泛认为来自南亚地区某国,并且与另一个由Paloalto Unit42团队披露的Gogron Group存在一定的关系。
Transparent Tribe组织长期针对周边国家和地区的政府、军队进行定向攻击活动,擅于利用社会工程学进行鱼叉攻击,向目标投递带有VBA的doc、xls文档,执行诱饵文档中的宏代码释放执行CrimsonRAT、PeppyRAT等,窃取目标的相关资料信息。
Transparent Tribe最早活动可以追溯到2012年,一直以来,这个APT组织都在对印度军方和政府人员进行持续攻击。在2019-2020年,该组织加强了其攻击活动,开始了大规模的感染运动,开发了新工具并增加了对阿富汗的关注。2020年8月以及2021年2月,奇安信病毒响应中心移动安全团队与安全厂商卡巴先后披露了APT组织“透明部落”在移动端的攻击活动[1]。在过去的几年中,Transparent Tribe组织十分勤劳,不断的更改其初始进入机制并使用新的定制恶意软件,这表明其正在积极多样化的组合攻击方式以危害更多受害者。
概述
Transparent Tribe组织一直以来都是我们的重点关注对象。近期,奇安信威胁情报中心红雨滴团队在日常的威胁狩猎中捕获了该组织多个Crimson RAT攻击样本。在此攻击活动中,攻击者使用恶意宏文件进行鱼叉攻击,当受害者点击执行诱饵文件之后,将会在本地释放并执行一个恶意程序,恶意程序就是Transparent Tribe组织自有的远控软件Crimson RAT,在后续关联中,我们还发现了Transparent Tribe组织的USBWorm组件。
样本信息
本次捕获的初始攻击样本为xlam文件,诱饵文件名为“走私者及其同伙的详细资料”,样本基本信息如下:
- | - |
---|---|
文件名 | Details of Smuggler & their Assocaites ftr.xlam |
MD5 | 4EB0D5DC174A8D3643D60AD2047A20A7 |
文件大小 | 264986 bytes |
样本上传地 | 印度 德里 |
查看其文件属性,可以看见该诱饵文档为近期创建,创建文档的用户名为“MY PC”。
执行诱饵文件并点击启用宏后,展示的诱饵内容如下:
其宏代码有密码保护,实际功能为在% ProgramData%目录下创建‘Offise-(当前系统秒数)’的文件夹,并向其中拷贝样本副本,在embeddings目录下释放并执行Crimson RAT,随后在用户的Documents目录下拷贝并打开无害的诱饵文档,相关代码已在下图中注释标出。
Crimson RAT
近几年来,.NET编写的RAT一直被APT 组织作为首选的恶意软件,其能够进行广泛的数据盗窃和监视。其中Transparent Tribe组织的CrimsonRAT更是由 .NET 编写的多功能恶意软件,自2016年被首次发现以来一直在不断的更新。攻击者可以利用它从浏览器中窃取凭据、捕获屏幕截图、收集防病毒软件信息并列出受害者机器上正在运行的进程、驱动器和目录等。本次捕获的Crimson RAT基本信息如下。
- | - |
---|---|
文件名 | uebslplyr.exe |
MD5 | 22A8FF8EB7AA7E68C634BD7937E3B915 |
文件类型 | C# exe |
时间戳 | 626085A8 (2022/4/21 6:14:00) |
考虑上述诱饵文件的创建时间,在结合Crimson RAT的时间戳,其更改时间戳的可能性极小,由此可以判断此次攻击事件为Transparent Tribe组织最新的攻击。
之前我们在《Packer?对抗?“透明部落”正在寻求CrimsonRAT的新出路》[2]一文中曾提过,Crimson RAT使用加壳来对抗分析,而在Crimson RAT中普遍存在一种混淆机制。在函数名中拼接当前Crimson RAT的命名空间名称,并选择性的在功能函数名中随机插入字符来干扰分析。例如在注册表中建立持久化的功能函数,其实际函数名应该为set_run。
而定时回调函数实际名称应该为lookup_Dns,其功能为连接C2,执行分发指令。
定时回调函数首先连接C2,C2的IP由数字经ASCII码转换得到,连接的端口在端口列表中选取。
然后通过uebslplyrseueRisp方法从C2获取分发的指令并执行。该方法在获取指令后会进行统一指令格式的操作,推测该操作可能源于通信数据中包含的指令字符串会经过变形处理,以绕过检测。
整理指令功能如下(指令字符串去掉了“uebslplyr-“前缀),指令两两一组,每组指令名称之间只差一个字符”u“,但是执行相同的功能,并且指令中的数字5为统一指令格式时统一插入的。
- | - |
---|---|
指令名称 | 功能 |
pr5uocl pr5ocl |
获取当前所有进程信息 |
ge5utarvs ge5tarvs |
获取当前所有进程信息 |
th5uumb th5umb |
获取指定图片 |
pu5utsrt pu5tsrt |
设置注册表实现持久化 |
sc5ursz sc5rsz |
获取C2指定要截取屏幕的大小 |
cs5ucrsn cs5crsn |
设置截屏参数,截屏并回传 |
di5urs di5rs |
获取所有磁盘名称 |
fi5ulsz fi5lsz |
获取指定文件属性信息 |
ru5upth ru5pth |
获取RAT的文件路径 |
en5udpo en5dpo |
终止指定进程 |
de5ult de5lt |
删除指定文件 |
af5uile af5ile |
检测是否存在指定路径文件,并回传文件内容 |
li5ustf li5stf |
在指定目录下搜索具有指定扩展名的文件 |
st5uops st5ops |
停止截图 |
sc5uren sc5ren |
开始截图,截屏并回传 |
cn5uls cn5ls |
设置操作标志位 |
ud5ult ud5lt |
删除用户,关闭与C2的连接 |
fi5ule fi5le |
获取指定文件内容 |
in5ufo in5fo |
获取感染主机相关信息和RAT版本信息 |
ru5unf ru5nf |
执行指定路径的文件 |
fl5ues fl5es |
枚举指定目录下的文件 |
do5uwr do5wr do5uwf do5wf |
下载文件保存到指定路径 |
fl5udr fl5dr |
枚举指定目录下可访问的子目录 |
关联分析
通过对同类型的样本进行溯源关联分析,我们从样本库中关联出另一例Transparent Tribe近期的USBWorm攻击样本,使用文件夹图标进行伪装,相关样本信息如下:
- | - |
---|---|
文件名 | ravgdvirbs.exe |
MD5 | EDA714CB2DD474BB4607710A6E9BAC61 |
文件大小 | 3627010 bytes |
创建时间 | 2022-03-15 22:53:18 |
C2 | 104.129.42.102 |
文件图标 |
该样本的上传地为印度普纳,可见Transparent Tribe组织持续针对印度,旨在对印度进行情报刺探或信息获取。
该样本首先创建%ProgramData%Samsung目录,并在其中释放vmeperform.zip,解压出vmeperform.exe并执行。
随后执行感染功能,首先遍历所有驱动器,选取出可移动存储设备,如软盘驱动器或USB闪存驱动器 ,然后在驱动器根目录中创建文件夹‘New Folder’,将目录属性更改为“隐藏”,然后将副本拷贝其中并命名为‘New Folder.scr’,并且列出USB驱动器中的所有目录。然后,对于每个目录,它使用相同的目录名称在驱动器根目录中创建名为‘New Folder.scr’的副本,这导致所有实际目录都有恶意软件副本。
后续将窃取存储在设备上的文件,并复制扩展名与预定义列表匹配的文件:感兴趣的文件扩名包括.pdf、.doc、.docx、.xls、.xlsx、.ppt、.pptx、.pps、.ppsx、.txt。
寻找到待窃取的文件后,它将文件复制到通常命名为“data”的本地目录,并且在%ProgramData%Samsung目录下创建usbflsm文件,并写入被窃取文件的完整路径。
释放的vmeperform.exe其功能实际为删减版的Crimson RAT,使用的ip为104.129.42.102,包含6278、8891、16862、21584、28184这5个端口。
总结
透明部落一直以来持续针对多个目标进行活动。在过去几个月中,我们观察到针对军事和外交目标的广泛行动,使用广泛的基础设施来支持他们的行动并不断改进他们的武器库。该组织持续不断的开发Crimson RAT、USBWorm、基于Pyinstaller打包的EXE等,以执行情报活动和监视敏感目标。
一直以来网络被认为是政治的延伸领域,大国之间的网络冲突也异常激烈,在混乱的局势中,通过网络攻击活动占领情报先机,维护国家安全也显示越发重要。
虽然本次捕获的样本仅涉及南亚地区,但是我们要防患于未然。因此,奇安信红雨滴团队在此提醒广大用户,切勿打开社交媒体分享的来历不明的链接,不点击执行未知来源的邮件附件,不运行夸张标题的未知文件,不安装非正规途径来源的APP。做到及时备份重要文件,更新安装补丁。
若需运行,安装来历不明的应用,可先通过奇安信威胁情报文件深度分析平台(https://sandbox.ti.qianxin.com/sandbox/page)进行判别。目前已支持包括Windows、安卓平台在内的多种格式文件深度分析。
目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等,都已经支持对此类攻击的精确检测。
IOCs
MD5
4EB0D5DC174A8D3643D60AD2047A20A7
22A8FF8EB7AA7E68C634BD7937E3B915
EDA714CB2DD474BB4607710A6E9BAC61
7A195036865FDBFD31C555FD78EE60C9
EF94D698E4995FED1873F60D3C986BA9
IP
66.63.162.16:
104.129.42.102:
参考链接
[1] https://ti.qianxin.com/blog/articles/Disclosure-of-recent-mobile-activities-by-TransparentTribe/
[2] https://ti.qianxin.com/blog/articles/Confuser-packed-weapon-of-TransparentTribe/