APT-C-09(摩诃草)组织针对巴基斯坦最新攻击活动

APT 2个月前 admin
259 0 0
APT-C-09
  摩诃草

APT-C-09(摩诃草)(又称白象、Patchwork、Dropping Elephant)是一个疑似具有南亚国家背景的APT组织,从2015年至今,该组织一直处于活跃状态,长期保持着针对巴基斯坦等周边国家的政府、医疗、军事、科研等领域的网络攻击活动。

该组织善于抓住热点事件及政府工作会议作为诱饵,并采用鱼叉式网络攻击手段投递攻击载荷,本次捕获的样本以“2022年总理赈灾基金”和“跨部门研讨会 - AML/CFT报名表格”为诱饵,释放“BADNEWS”最新变种木马程序进行窃密行动。
此外,本次攻击活动主要以巴基斯坦为攻击目标,载荷加入了巴基斯坦时区校验以及更可靠的加密方式,并且ShellCode加入反调试手段。

一、攻击活动分析

1.攻击流程分析

本次攻击中,该组织投递带有CVE-2017-11882漏洞的恶意RTF文档,并携有伪装内容,其中两个文档的伪装内容如下图所示:
APT-C-09(摩诃草)组织针对巴基斯坦最新攻击活动APT-C-09(摩诃草)组织针对巴基斯坦最新攻击活动
打开该恶意文档都会释放mcods.exe和McVsoCfg.dll两个PE文件,最后执行mcods.exe以加载McVsoCfg.dll,从而执行恶意功能。
APT-C-09(摩诃草)组织针对巴基斯坦最新攻击活动

2.恶意文档分析

以其中某恶意文档样本为例进行分析,样本信息如下:

文件名称

ContributionStatus.doc

文件大小

1.56 MB(1635712 KB)

MD5

236b62124c862664c4cb179b4b3b844a

恶意文档内嵌公式编辑器OLE对象,通过触发公式编辑器组件漏洞(CVE-2017-11882)执行指定的ShellCode,漏洞部分不在详述。Shellcode首先通过PEB(进程环境块)的BeingDebugged属性进行反调试,然后动态获取LoadLibraryA,CreateFileA等API函数地址,接着在C:ProgramDataMicrosoftDeviceSync 目录下释放McVsoCfg.dll和mcods.exe。
APT-C-09(摩诃草)组织针对巴基斯坦最新攻击活动
然后在注册表HKEY_CURRENT_USERSoftwareMicrosoftWindows\CurrentVersion\Run路径下创建一个名为OneDriver、值为C:ProgramDataMicrosoftDeviceSyncmcods.exe的键以实现持久化驻留。
APT-C-09(摩诃草)组织针对巴基斯坦最新攻击活动
最后,通过ShellExecuteEx启动mcods.exe。
APT-C-09(摩诃草)组织针对巴基斯坦最新攻击活动

3.攻击组件分析

文件名

mcods.exe

文件大小

607136 字节

MD5

327ab2061b7965f741ac10ffcf4dcc86

本次攻击使用的是DLL侧加载,mcods.exe程序实为McAfee VirusScan文件,执行时会加载恶意的McVsoCfg.dll。
APT-C-09(摩诃草)组织针对巴基斯坦最新攻击活动
其签名信息为“5Y TECHNOLOGY LIMITED”,目前为止,该证书已经被吊销。
APT-C-09(摩诃草)组织针对巴基斯坦最新攻击活动
加载的McVsoCfg.dll是BADNEWS变种木马,该木马也带有“5Y TECHNOLOGY LIMITED”签名信息,其编译时间为2022-09-02。

文件名

McVsoCfg.dll

文件大小

519584 字节

MD5

5fc1d8fa666a60c65d74b6a4dbf10413

该样本首先判断时区是否为巴基斯坦标准时区,如不是,则程序不执行主要功能进而退出,可见此次攻击活动仅限巴基斯坦地区。
APT-C-09(摩诃草)组织针对巴基斯坦最新攻击活动
通过WMI接口获取uuid信息,
APT-C-09(摩诃草)组织针对巴基斯坦最新攻击活动
收集多种系统信息,其中包括进程列表、安装的应用程序列表、网络适配器信息、DNS解析缓存信息、服务列表、以及计算机及操作系统信息,并将收集到的信息保存到系统临时目录下的RTYgjfdg.sys文件内。
APT-C-09(摩诃草)组织针对巴基斯坦最新攻击活动
随后向地址51.89.251.8:443/vwnykzjzy2si478c7a2w/terncpx8yr2ufvisgd2j/x8jb9g97kkexor5ihnbq/d91ng62l00hc4vgaxkf.php发起post请求传输收集到的信息,并采用AES-CBC-256算法模式加密信息。
APT-C-09(摩诃草)组织针对巴基斯坦最新攻击活动
加密流程具体如下:
首先,通过特定的字符串解密算法解密出“POST”和“Content-Type: application/x-www-form-urlencoded”两个字符串,然后读取临时目录下的RTYgjfdg文件,最后以每段0x4000大小发送。
APT-C-09(摩诃草)组织针对巴基斯坦最新攻击活动
POST内容主要分3个部分,“qadc=”对应的是加密之后的uuid,“ghjk=”对应的是加密之后的命令号,“edcaa=”对应的是加密之后的获取到的信息内容。其中uuid加密方式是,使用Base64算法编码,然后AES加密,最后再使用Base64算法将其编码。
APT-C-09(摩诃草)组织针对巴基斯坦最新攻击活动
其中AES算法中秘钥Key为“b14ca5898a4e4133bbce2ea2315a191”(31字节,末尾会自动添加0x00),IV向量为“1234567891234567”,下图是UUID加密数据使用AES解密过程。
APT-C-09(摩诃草)组织针对巴基斯坦最新攻击活动
接着创建线程将键盘记录保存到atapi.sys文件。
APT-C-09(摩诃草)组织针对巴基斯坦最新攻击活动
根据请求返回的结果对其进行解析得到相应指令,来完成后续的攻击行动,相关指令功能如下。

C2指令

功能

1

文件上传

2

截图并加密上传

3

直接退出

4

下载保存为TGJdbkds.exe 并执行

5

读取ghjgd,并发送

6

键盘记录文件atapi.sys加密并上传

7

命令执行

8

下载TGJdbkds,并解密

二、技战法变化

1. 本次首次加入了时区校验,使得攻击行动更具针对性。

2. 与以往相比,本次样本在URL字段的命名上没有使用易于理解的字符串,而是使用了模糊不明确的命名方式。

APT-C-09(摩诃草)组织针对巴基斯坦最新攻击活动
APT-C-09(摩诃草)组织针对巴基斯坦最新攻击活动
3. 获取的信息较之前样本略有更新,且本次主要通过Windows命令行进行信息获取,之前部分信息是根据注册表获取信息。
APT-C-09(摩诃草)组织针对巴基斯坦最新攻击活动
APT-C-09(摩诃草)组织针对巴基斯坦最新攻击活动
4. 攻击者在本次攻击中使用了AES-CBC-256算法对数据进行加密,前期攻击中也使用过AES-CBC-128、RC4等不同算法,可以看到该组织在数据加密算法上一直在下功夫。

总结

APT-C-09(摩诃草)组织从2013年被披露后,从未停止相关攻击活动,长期针对巴基斯坦等周边国家进行攻击,并且攻击目标和目的也都未发生改变,这也体现出幕后组织意志的坚定性,此次攻击样本加入时区校验,更说明攻击行动具有针对性。
此外,本文披露的相关恶意代码、C&C只是摩诃草组织部分攻击过程中使用的最新武器,该组织不会因为一次攻击行动的暴露而停止活动,反而会持续更新其载荷,后期我们也将持续关注该组织的攻击武器。


附录 IOC
MD5:
236b62124c862664c4cb179b4b3b844a
5fc1d8fa666a60c65d74b6a4dbf10413
43e2a8601a4f70897d73353c4908f224
53dd49f39b0f8d41756edc2787473b67
C2:
51.89.251.8:443
125.209.76.62:8443
192.227.174.165:80






360高级威胁研究院
360高级威胁研究院是360政企安全集团的核心能力支持部门,由360资深安全专家组成,专注于高级威胁的发现、防御、处置和研究,曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击,独家披露多个国家级APT组织的高级行动,赢得业内外的广泛认可,为360保障国家网络安全提供有力支撑。

原文始发于微信公众号(360威胁情报中心):APT-C-09(摩诃草)组织针对巴基斯坦最新攻击活动

版权声明:admin 发表于 2022年11月23日 下午4:01。
转载请注明:APT-C-09(摩诃草)组织针对巴基斯坦最新攻击活动 | CTF导航

相关文章

暂无评论

暂无评论...