Kasablanka(卡萨布兰卡)组织针对中东地区政治团体和公益组织的攻击行动

APT 4个月前 admin
614 0 0


Kasablanka

2021年2月15日,一个疑似名称为Kasablanka的组织针对孟加拉国银行和包括孟加拉国警察局、伊斯兰银行在内的多个金融、政府组织发起网络攻击。研究表明,Kasablanka组织开发有自己专用的LodaRAT,利用AutoIt脚本语言编写,同时开发人员也已将Android添加为目标平台。 

近期,360高级威胁研究院在日常情报挖掘中发现并捕获到了该组织针对Windows和Android两个平台的攻击活动。Windows端利用军事经济热点事件伪装成PDF文档并使用LodaRAT发起攻击。Android端则利用钓鱼网站等针对也门政治团体或公益组织进行攻击,并且攻击工具开始使用SpyNote家族。通过对攻击活动的分析,我们推测该组织不简简单单是为了获取经济利益,其动机似乎更倾向于信息收集和间谍活动。

1. Android端


1.1 载荷投递

    

    我们在移动端发现攻击者会通过钓鱼网站进行样本的投递,另外攻击者还会使用Mediafire存储平台进行样本的存储。

钓鱼网站伪装成也门联合国儿童基金会网站,以声称提供移动端应用程序进行载荷投递,样本存储于钓鱼网站。该钓鱼网站从2021年7月开始投入使用,至今仍然活跃。

Kasablanka(卡萨布兰卡)组织针对中东地区政治团体和公益组织的攻击行动

钓鱼网站

Kasablanka(卡萨布兰卡)组织针对中东地区政治团体和公益组织的攻击行动

Mediafire存储平台链接失效


1.2 伪装对象

伪装对象除了上面提到的也门联合国儿童基金会,还包括联合国、联合国儿童基金会供应司、通话软件以及疑似也门武装部队联合行动等。通过伪装对象,我们分析受害者应该是也门的政治团体或公益组织。

Kasablanka(卡萨布兰卡)组织针对中东地区政治团体和公益组织的攻击行动


伪装对象图标


1.3 SpyNoteRAT


在此次攻击行动中移动端使用了SpyNoteRAT,这是一款功能强大的商业间谍软件,具有强大的的功能,以及管理平台。其主要功能为:

    • 文件管理

    • 短信管理

    • 通话记录管理

    • 联系人管理

    • 位置管理

    • 账号管理

    • 键盘记录

    • 手机设置

    • 拨打电话

    • 拍照、录音、录像

    • 实时录音

    • 实时录像

    • 获取应用列表

    • 执行 shell 命令

    • 聊天功能



2. Windows端

    
    在Windows端使用了三种不同的RAT,并且会使用不同的伪装对象对这些RAT进行伪装,下面将按照RAT种类进行分类介绍。

2.1 LodaRAT


2.1.1 伪装对象


Kasablanka(卡萨布兰卡)组织针对中东地区政治团体和公益组织的攻击行动


样本是AutoIt编写的RAT,通过upx加壳,最后伪装成PDF文档诱使用户点击打开。

Kasablanka(卡萨布兰卡)组织针对中东地区政治团体和公益组织的攻击行动



2.1.2 伪装文档


为了避免引起用户的怀疑,样本运行后会释放出隐藏在内部的一个正常PDF文件,让用户以为自己打开了正确的PDF文档,这个PDF文档的标题与世界新闻发展公司薪酬委员会的留存总额、世界卫生组织收到的款项总额相关,内容涉及军事特遣队的伤员人数,主要列出了也门、印度、吉哈等国家。可以看出文档经过精心设计。

Kasablanka(卡萨布兰卡)组织针对中东地区政治团体和公益组织的攻击行动


Kasablanka(卡萨布兰卡)组织针对中东地区政治团体和公益组织的攻击行动



2.1.3 LodaRAT功能分析


释放伪装文档的同时,利用AutoIt编写的LodaRAT也已经后台运行。对AutoIt文件解包反编译,可以看出Loda 结合使用字符串混淆和函数名随机化的混淆方式。下图显示了来自 Loda 的混淆代码,其中包含随机函数名称和字符串混淆。

Kasablanka(卡萨布兰卡)组织针对中东地区政治团体和公益组织的攻击行动

我们在分析中发现了两个LodaRAT的变种,一个进行了混淆,一个没有,下面通过对比混淆样本中解密出来的字符串与未混淆版本的功能。

Kasablanka(卡萨布兰卡)组织针对中东地区政治团体和公益组织的攻击行动


我们通过解密混淆版本的字符串与函数名称,可以看出混淆后的LodaRAT和未混淆版本的对比。

通过sleep干扰沙箱分析。

Kasablanka(卡萨布兰卡)组织针对中东地区政治团体和公益组织的攻击行动

图:解密函数字符串对应的功能

Kasablanka(卡萨布兰卡)组织针对中东地区政治团体和公益组织的攻击行动

图:未混淆版本的功能分析

检测是否存在杀毒软件运行

Kasablanka(卡萨布兰卡)组织针对中东地区政治团体和公益组织的攻击行动

图:解密函数字符串对应的功能

Kasablanka(卡萨布兰卡)组织针对中东地区政治团体和公益组织的攻击行动

图:未混淆版本的功能分析

屏幕截图

Kasablanka(卡萨布兰卡)组织针对中东地区政治团体和公益组织的攻击行动

图:解密函数字符串对应的功能

Kasablanka(卡萨布兰卡)组织针对中东地区政治团体和公益组织的攻击行动

图:未混淆版本的功能分析

录音

Kasablanka(卡萨布兰卡)组织针对中东地区政治团体和公益组织的攻击行动

图:解密函数字符串对应的功能

Kasablanka(卡萨布兰卡)组织针对中东地区政治团体和公益组织的攻击行动

图:未混淆版本的功能分析

计划任务自动启动,添加注册表文件并创建计划任务自动启动

Kasablanka(卡萨布兰卡)组织针对中东地区政治团体和公益组织的攻击行动

图:解密函数字符串对应的功能

Kasablanka(卡萨布兰卡)组织针对中东地区政治团体和公益组织的攻击行动

图:未混淆版本的功能分析


Filezilla信息窃取,LodaAPT尝试窃取存储在 filezilla recentservers.xml的文件内容。Xml内包含Filezilla最近连接到的IP地址、用户名、密码。

Kasablanka(卡萨布兰卡)组织针对中东地区政治团体和公益组织的攻击行动

图:解密函数字符串对应的功能

Kasablanka(卡萨布兰卡)组织针对中东地区政治团体和公益组织的攻击行动

图:未混淆版本的功能分析


版本对比


LodaRAT中一直存在一个无效的函数 QURAN。使用Windows Media Player中从流mms://live.mp3quran[.]net:9976播放《古兰经》。

Kasablanka(卡萨布兰卡)组织针对中东地区政治团体和公益组织的攻击行动

图:解密函数字符串对应的功能

Kasablanka(卡萨布兰卡)组织针对中东地区政治团体和公益组织的攻击行动

图:未混淆版本的功能分析


2.2. NanocoreRAT伪装程序


2.2.1 伪装对象


Kasablanka(卡萨布兰卡)组织针对中东地区政治团体和公益组织的攻击行动


该后门样本伪装成PDF文件。


2.2.NanocoreRAT伪装程序功能分析


主要功能如下:

    • 监控屏幕

    • 键盘记录

    • 窃取浏览器中保存的密码

    • 文件管理

    • 进程管理

    • 开启摄像头

    

    代码片段:

Kasablanka(卡萨布兰卡)组织针对中东地区政治团体和公益组织的攻击行动


2.3 njRAT


2.3.1 伪装对象

和前两种RAT的伪装对象不同,njRAT的伪装对象是伪装成Windows的server.exe程序。


2.3.2 njRAT功能分析

njRAT主要功能如下:

    • 获取目标计算机系统信息

    • 屏幕截图

    • 浏览器数据

    • 键盘记录

    • 植入其他攻击组件

    

    代码片段:

Kasablanka(卡萨布兰卡)组织针对中东地区政治团体和公益组织的攻击行动


3. 组织信息

    

    鉴于LodaRAT为Kasablanka组织的特有攻击武器,因此我们将此次攻击活动归属于Kasablanka组织。同时,我们总结了本次攻击活动的如下新发现:

(1)LodaRAT为Kasablanka组织的特有攻击武器,主要包括Windows和Android两个平台。但在这次攻击活动中,两个平台均使用了不同的攻击武器。在Windows端使用了NanocoreRAT、njRAT以及LodaRAT。在Android端则变换成了只使用SpyNote间谍软件。
(2在伪装对象上看,两个平台针对的对象都涉及也门相关团体或组织。
(3Windows和Android样本的网络基础设施存在重合。 


总结

在之前的孟加拉银行攻击行动中,Kasablanka组织似乎不仅仅是因为经济利益攻击孟加拉国,其一直针对孟加拉国政府、组织有特定的攻击活动来搜集信息并进行间谍活动,此次利用伪装成也门公益组织的钓鱼网站也证明其不简简单单是为了经济目的,LodaRAT的开发人员也已将Android添加为目标平台并使用多种攻击武器,更说明该组织在某种程度上具备了APT的部分特性。

特定组织针对特定国家的攻击行动不止局限于政治、军事,各国的经济活动也被囊括其中,包括孟加拉国银行被窃案,金融系统的木马钓鱼事件一直不断发生,我们提醒广大用户、单位应该提升安全防护意识,增强安全基础设施建设,加大安全投入力度,才能更好的防范网络安全攻击。


附录 IOC


PC:

01ab5e91c2e4ef44a680f064a27a016e

81fe09e259f52c540236504a20fe3f42

8f9aaf6a4e2ec8da766f60b5783160ff

c4901685e46e0978a75242e3e9ed647d

0ad9c373aee990066897c60e1109acff

bd2cf787b6037a845fbdd9dec7280985

64d1e1b3135ef4462e91f01e13b018a0

7687ytuyt78gfg.ddns.net

134.35.0.63


移动:


74a18d75d49631547d379e4cfbd11f63

96e6681047ff51a1838108532ccc7796

59cbac62d7fe3096c4b439c9f9c01d39

118de819a23fa9369815cea2752b0907

02fa9da5856aaae9cfd864a33cbf3af7

879df7eb62239ab2c9ac59aceb5f06bc

59faf2be1c266bdf7e04c9125f97e5e6

1b2223bf514e8446e7d07f1a31f4ce4b

1acc44c1ebe70864bea0407678df1d39

476b5ef5172eb0a6466471a9204d1790

http://unicexyemen.herokuapp.com/unjobs.apk?*

https://download2264.mediafire.com/q4ibbjmh8lug/l2334au6t0ddvt5/%D8%AA%D9%88%D8%A7%D8%B5%D9%84+%D8%A7%D9%84%D8%B9%D9%85%D9%84%D9%8A%D8%A7%D8%AA+%D8%A7%D9%84%D9%85%D8%B4%D8%AA%D8%B1%D9%83%D8%A9.apk

https://download947.mediafire.com/tdk2amcmzn6g/acchmwcqus8msdm/%D9%85%D9%86%D8%B8%D9%85%D8%A9+%D8%A7%D9%84%D9%8A%D9%88%D9%86%D8%B3%D9%81-%D8%A7%D9%84%D9%8A%D9%85%D9%86.apk







360高级威胁研究院

360高级威胁研究院是360政企安全集团的核心能力支持部门,由360资深安全专家组成,专注于高级威胁的发现、防御、处置和研究,曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击,独家披露多个国家级APT组织的高级行动,赢得业内外的广泛认可,为360保障国家网络安全提供有力支撑

原文始发于微信公众号(360威胁情报中心):Kasablanka(卡萨布兰卡)组织针对中东地区政治团体和公益组织的攻击行动

版权声明:admin 发表于 2022年8月17日 下午6:01。
转载请注明:Kasablanka(卡萨布兰卡)组织针对中东地区政治团体和公益组织的攻击行动 | CTF导航

相关文章

暂无评论

暂无评论...