APT-C-56(透明部落)部署Android系统RlmRat、Linux系统波塞冬新型组件披露

APT 1年前 (2023) admin
755 0 0
APT-C-56
  透明部落
APT-C-56(透明部落)是南亚一个具有政府背景的高级持续性威胁组织,其长期针对周边国家和地区的军队和政府机构实施定向攻击,目的是收集各类情报。
近期,360烽火实验室与360高级威胁研究院在追踪一起针对印度的移动端攻击活动中发现了分别针对Android系统和Windows系统、Linux系统的新型攻击工具,通过分析本次攻击活动的攻击手法和攻击对象,以及对Windows系统攻击工具进行溯源关联,我们将本次攻击活动归因于透明部落组织
在本次攻击活动中,透明部落组织使用伪装成印度国家奖学金门户、印度陆军福利教育学会等的钓鱼页面窃取特定用户信息。同时借助Android和Windows、Linux三个系统的新型攻击工具进行信息窃取活动,其中Windows系统包括两个版本。

 一、攻击活动分析  

1.攻击流程分析  

我们将攻击活动按照平台类型分为两类,一类是针对移动端的攻击活动,另一类是针对PC端的攻击活动。

在移动端上,攻击者使用钓鱼网站进行载荷投递,投递的载荷属于新型的Android RAT样本,样本除了具备RAT的功能外,在运行时会通过加载钓鱼页面窃取用户ID信息。         

APT-C-56(透明部落)部署Android系统RlmRat、Linux系统波塞冬新型组件披露

图1 移动端流程

在PC端上,攻击者首先使用和移动端类似的钓鱼页面诱导用户输入ID信息,然后向用户投递Windows系统、Linux系统的新型数据泄露工具,进而进行数据窃取活动。

APT-C-56(透明部落)部署Android系统RlmRat、Linux系统波塞冬新型组件披露

图2 PC端流程

2.载荷投递分析  

本次攻击活动中,两个平台均使用了钓鱼网站进行样本的投递。Android样本的投递使用了伪装成印度国家奖学金门户的钓鱼网站。钓鱼网站打开后会弹出“重要提示”提示框,诱导用户下载ScholarshipPortal.apk安装包文件,该文件即为Android系统新型RAT工具。

APT-C-56(透明部落)部署Android系统RlmRat、Linux系统波塞冬新型组件披露

图3 虚假印度国家奖学金门户网站

PC端样本的投递使用了伪装成印度陆军福利教育学会的钓鱼网站。该钓鱼网站打开后和伪装成印度国家奖学金门户的钓鱼网站类似,同样会弹出一个“重要提示”提示框,不同的是用户点击后会进入一个提交Studient ID的钓鱼页面,提交ID后会出现三个文件下载的按钮,下载的文件对应该组织新开发的Windows系统LimePad组件以及Linux系统的波塞冬组件。

APT-C-56(透明部落)部署Android系统RlmRat、Linux系统波塞冬新型组件披露

图4 虚假印度陆军福利教育学会网站

APT-C-56(透明部落)部署Android系统RlmRat、Linux系统波塞冬新型组件披露

图5 投递PC端样本

3.攻击样本分析  

Android系统  

针对Android系统的攻击样本属于新型的RAT家族,我们将其命名为RlmRat,之前虽有厂商进行过披露,但是并没有提到家族的归属。本次发现的该家族样本通过伪装成奖学金门户应用进行传播,基本信息如下:

样本MD5

b155c5b5e34fe9a74952ed84d6986b48

包名

com.example.batman

应用名

Scholarship Portal

下载地址

https://www.govscholarships[.]in/ScholarshipPortal.apk

样本运行后会使用WebView加载hxxps://govscholarships[.]in/cfm.php页面,该页面会收集用户Student ID信息,输入Student ID并点击提交,页面会向该钓鱼地址发送GET请求“https://govscholarships.in/cfm.php?search=【Student ID】&submit=”从而泄露用户信息。

APT-C-56(透明部落)部署Android系统RlmRat、Linux系统波塞冬新型组件披露

图6 样本运行截图

APT-C-56(透明部落)部署Android系统RlmRat、Linux系统波塞冬新型组件披露

图7 加载钓鱼页面的代码

该家族样本常使用Pastebin服务来获取真实的C&C地址,如果无法从Pastebin获取C&C,它会选择硬编码的地址。但是,本次分析的样本没有使用Pastebin服务,而是直接使用的硬编码的IP地址。

APT-C-56(透明部落)部署Android系统RlmRat、Linux系统波塞冬新型组件披露

图8 使用硬编码的IP地址

样本具备远控功能,可以从受害者的设备中窃取敏感数据,例如联系人、通话记录、短信、位置、外部存储中的文件、录制音频等。恶意包结构和相关功能如下:

APT-C-56(透明部落)部署Android系统RlmRat、Linux系统波塞冬新型组件披露

图9 恶意包结构

指令对照表:

指令

功能

y#0T5$, f%R7!2, Nw39Jf, 8$R%j1

获取文件目录

j*7e@4, i1$r@5, v^3w%2, u6%y@1

拍照

bx$@81, u4Q&0#

搜索文件

5w$I!7, 9$g1E@

获取文件

D%r6t*

获取短信

s%7n@2

获取联系人

i*g4#3

获取通话记录

O@y7J&

录音

1^R$4t

获取WhatsApp文件

*%12gT

获取位置信息

Windows系统   

从钓鱼网站我们分别下载到了Windows、Linux两个系统的样本,可以看出透明部落针对多平台的攻击能力。下面我们逐一分析各个平台的相关功能。

Windows系统样本由Python脚本编写,用PyInstaller编译并打包的恶意二进制文件保存在VHDX格式中的,我们发现的VHDX文件大于60MB。

Windows系统的RAT包含两个版本,一个版本文件保存在VHDX格式中,一个版本的样本由压缩包保护,破解压缩包密码后我们发现两个版本的代码基本相同,主要区别是对于RAT的命名不同,以及使用C&C不同,我们的分析以VHDX版本进行。

APT-C-56(透明部落)部署Android系统RlmRat、Linux系统波塞冬新型组件披露

APT-C-56(透明部落)部署Android系统RlmRat、Linux系统波塞冬新型组件披露

图10 VHDX版本的RAT

APT-C-56(透明部落)部署Android系统RlmRat、Linux系统波塞冬新型组件披露

图11 RAR版本的RAT

打包的Python脚本被命名为LimePad,后门主要的功能是窃取中招用户机器上的指定后缀名文件,它通过Sqlite数据库记录、同步窃取文件的列表,数据库中的字段保存了上传、修改文件的最新时间记录,确保所有重要文件都被及时、有效的上传。

LimePad进行初始化:

APT-C-56(透明部落)部署Android系统RlmRat、Linux系统波塞冬新型组件披露

APT-C-56(透明部落)部署Android系统RlmRat、Linux系统波塞冬新型组件披露

通过controls文件中保存的配置信息初始化:

字段

含义


VERSION

0.1-18

版本号

STARTDATA

Startup\Limepads

通过启动项持久化

ROOTDATA

APPDATA\Limepads


USERFILE

Limepads.db

本地 SQLite 数据库的名称

LOGFILE

Limepads.log


TEMP_UPLOAD_FOLDER

APPDATA\Limepads\tup


LOCKDOORS

‘URL=file:///’ + sys.executable

 

互联网快捷方式

DOORS

‘.dll’, ‘.url’

Windows URL 快捷方式

SERVERS

142.93.212.219


DUSSEN

696E646961

包含india字符串的十六进制编码,用于判断时区

SERVER_PUBKEY

与C&C通信判断C&C是否依然可用:

APT-C-56(透明部落)部署Android系统RlmRat、Linux系统波塞冬新型组件披露

向服务器上的bind.php页面发送GET请求。判断服务器是否运行:

APT-C-56(透明部落)部署Android系统RlmRat、Linux系统波塞冬新型组件披露

将用户名和密码向服务器上的页面information.php发送POST请求:

APT-C-56(透明部落)部署Android系统RlmRat、Linux系统波塞冬新型组件披露

将文件发送到C&C的指定页面adjustfile.php:

APT-C-56(透明部落)部署Android系统RlmRat、Linux系统波塞冬新型组件披露

上传文件之前,文件匹配规则还会先筛除一些无用的后缀名文件以及隐藏文件:

APT-C-56(透明部落)部署Android系统RlmRat、Linux系统波塞冬新型组件披露

针对HOME、FIXED和REMOVABLE驱动器配置了一组不同的文件扩展名规则,用来上传文件。上传的文件包括文档格式、电子邮件本地数据库(DBX)和各种AutoCAD绘图文件和计算机辅助设计矢量图(DWG、DXF)。

SYNC_RULES_CONFIG

*.pdf

*.txt

*.doc*

*.xls*

*.ppt*

*.mdb*

*.dwg

*.dxf

*.dbx

操作Sqlite数据库对文件记录进行保存同步:

APT-C-56(透明部落)部署Android系统RlmRat、Linux系统波塞冬新型组件披露

数据库的字段同样保存在controls中配置:

数据库字段

含义

path

路径

filename

名称

size

大小

state

状态

modified

修改时间

created

创建时间

queuepriority

队列

defertill

rpath

Linux系统  

此次我们新发现Linux系统的样本,同样是由python脚本编写,用PyInstaller编译并打包的恶意二进制文件。这疑似是透明部落首次开始针对Linux系统开发新型武器库组件。

APT-C-56(透明部落)部署Android系统RlmRat、Linux系统波塞冬新型组件披露

针对Linux系统,首先打开钓鱼网站的confirmationID.pdf文件,伪装成印度陆军福利教育学会的id生成页面,欺骗用户。

APT-C-56(透明部落)部署Android系统RlmRat、Linux系统波塞冬新型组件披露

图12 伪装文档

随后创建share目录,创建mycron文件夹作为log日志,周期性的记录登录名。

从恶意网站下载bosshelp文件并运行。下载后的bosshelp文件是开源渗透框架神话的二进制组件。

其在神话框架的波塞冬组件上增加了xgb库来与Linux协议进行通信。

APT-C-56(透明部落)部署Android系统RlmRat、Linux系统波塞冬新型组件披露

组件的主要功能如下:

功能列表

屏幕捕获

键盘记录

上传和下载文件

持久保存

记录击键

注入

截屏

远程管理

 二、基础设施分析  

在我们分析钓鱼网站过程中,发现了一些或许能够证明透明部落组织真实归属的线索,现进行披露,仅供安全研究人员参考。

域名

注册厂商

注册日期

解析IP

govscholarships.in

NameSilo, LLC

2022-09-28

153.92.220.48

awesaps.in

NameSilo, LLC

2022-09-19

153.92.220.48

动端和PC端的钓鱼网站域名解析的IP地址均为153.92.220[.]48,且两个域名的注册商均是NameSilo, LLC,钓鱼网站证书的有效期都只有三个月。通过这些信息的启发,我们依据153.92.220[.]48这个IP地址,在排除一些噪点后发现了一批可疑的域名。

可疑域名汇总:

域名

注册厂商

注册日期

kavach-apps.com

NameSilo, LLC

2022-08-06

ksboard.in

NameSilo, LLC

2022-08-18

desw.in

NameSilo, LLC

2022-07-27

rodra.in

NameSilo, LLC

2022-08-18

kavach-app.in

NameSilo, LLC

2021-12-13

supremo-portal.in

NameSilo, LLC

2021-11-08

csd-india.in

NameSilo, LLC

2022-02-15

kavach-mail.in

NameSilo, LLC

2022-04-18

rsipune.in

NameSilo, LLC

2021-12-29

wellingtongymkhanaclub.in

NameSilo, LLC

2021-11-26

通过对抓取的可疑域名进行相关扩线分析,我们将域名分为四组:

1.针对印度进行的信息窃取攻击 

域名

注册厂商

注册日期

kavach-apps.com

NameSilo, LLC

2022-08-06

ksboard.in

NameSilo, LLC

2022-08-18

desw.in

NameSilo, LLC

2022-07-27

rodra.in

NameSilo, LLC

2022-08-18

通过查询开源情报,我们得知这四个域名涉及到2022年发生的一起攻击者对印度进行的旨在窃取敏感信息的攻击活动。攻击者使用钓鱼网站收集印度国防人员的信息,这种做法和本次透明部落组织通过钓鱼页面收集Student ID信息的做法有很大的相似性。

2.透明部落组织Windows系统攻击活动   

域名

注册厂商

注册日期

kavach-app.in

NameSilo, LLC

2021-12-13

supremo-portal.in

NameSilo, LLC

2021-11-08

kavach-app[.]in域名属于透明部落组织的已知网络资产,曾在公开报告中被披露。

supremo-portal[.]in域名也曾被安全人员以推文的形式披露,需要注意的是,透明部落组织和SideCopy组织具有很强的关联性,两者可能属于同一组织或有较大关联。

APT-C-56(透明部落)部署Android系统RlmRat、Linux系统波塞冬新型组件披露

图13 开源情报

3.透明部落组织的多平台钓鱼攻击活动  

域名

注册厂商

注册日期

伪装对象

wellingtongymkhanaclub.in

NameSilo, LLC

2021-11-26

https://wellingtongymkhanaclub.co.in/(为驻扎在惠灵顿的驻军提供娱乐和放松的俱乐部)

Wellingtongymkhanaclub[.]in域名伪装成印度惠灵顿健身俱乐部官网,该俱乐部为驻扎在惠灵顿的驻军提供娱乐和放松等服务。

此钓鱼网站打开后的形式和本次发现的分别针对移动和PC端的钓鱼网站相似,也是弹出“重要提示”提示框,点击后会进入一个提交会员号的钓鱼页面。因此该域名也应该属于本次透明部落组织的多平台钓鱼攻击活动。

APT-C-56(透明部落)部署Android系统RlmRat、Linux系统波塞冬新型组件披露

图14 虚假惠灵顿健身俱乐部网站

APT-C-56(透明部落)部署Android系统RlmRat、Linux系统波塞冬新型组件披露

图15 钓鱼页面

4.其它疑似钓鱼域名   

域名

注册厂商

注册日期

伪装对象

csd-india.in

NameSilo, LLC

2022-02-15

https://csdindia.gov.in/(食堂商店部是印度政府下属的国防部组织)

kavach-mail.in

NameSilo, LLC

2022-04-18

https://kavach.mail.gov.in(Kavach为用户访问其政府电子邮件服务提供双重身份验证)

rsipune.in

NameSilo, LLC

2021-12-29

https://www.rsipune.org/(浦那的Rajendra Sinhji军队会议和研究所(RSAMI))

这些域名虽然没有样本与之关联,也没有开源情报记录,但是其伪装的对象极具针对性,全部都是针对的印度政府和军队相关人员。

 三、归属研判   

能够将本次同时针对多个平台的新型攻击活动归属于透明部落组织,主要有两个方面的原因。首先主要是基于对Windows系统相关攻击样本的分析溯源。其次是基于对攻击者使用的攻击手法和攻击对象以及基础设施的分析。

2022年11月3日,国外安全厂商Zscaler披露了APT-C-56(透明部落)使用新的TTPs和新工具来瞄准印度政府组织。其报告中分析的新工具和我们本次捕获的Windows系统相关攻击工具均为LimePad组件,且应该属于同一起攻击事件。

APT-C-56(透明部落)部署Android系统RlmRat、Linux系统波塞冬新型组件披露

图16 Zscaler披露的LimePad组件

APT-C-56(透明部落)部署Android系统RlmRat、Linux系统波塞冬新型组件披露

APT-C-56(透明部落)部署Android系统RlmRat、Linux系统波塞冬新型组件披露

图17 本次发现的LimePad组件

在本次攻击活动中攻击者使用钓鱼网站对印度军方人员实施定向攻击,其攻击手法和攻击对象均和透明部落组织相符。并且钓鱼网站的域名解析的IP地址也曾被透明部落历史攻击活动中使用的域名解析过。综合以上信息,我们将本次攻击活动归属于透明部落组织。


总结

透明部落组织一直是南亚地区比较活跃的APT组织,其主要针对印度军事人员、政府人员进行定向攻击。本次发现的针对多个平台的攻击活动,均使用了新型的攻击工具,且擅长利用钓鱼网站,说明了他们的攻击武器库在不断更新,攻击平台在逐渐增加,网络资产也在不断增加。


附录 IOC

Android:
b155c5b5e34fe9a74952ed84d6986b48
173.249.38.99:3617
https://govscholarships.in/cfm.php
https://www.govscholarships.in

https://www.govscholarships.in/ScholarshipPortal.apk

PC:
61dcf97244ab770fec9688cd11f3ddff
3a142299eb85e60c0e52d34068d605ca
548a0309e5fa3fc1beb83e68a70aaa45
ac3f2c8563846134bb42cb050813eac8
dc79801505b3663cd157ffbe53b0678b
142.93.212.219
139.59.23.88
https://www.awesaps.in/cfm.php
https://www.awesaps.in/confirmationslip.zip
https://www.awesaps.in/Confirmation_ID.rar
https://www.awesaps.in/Confirmation_id.vhdx

参考

1)https://blog.cyble.com/2022/01/28/indian-army-personnel-face-remote-aC&Cess-trojan-attacks/

2)https://infosecwriteups.com/operational-methodologies-of-cyber-terrorist-organization-transparent-tribe-3389bdc1db3e

3)https://cloudsek.com/whitepapers_reports/malicious-clones-of-indian-army-apps-used-in-espionage-campaign-targeting-army-personnel/

4)https://www.manavmitra.co.in/?p=16188

5)https://www.divyabhaskar.co.in/local/gujarat/ahmedabad/news/after-the-partition-of-india-pakistan-the-family-stayed-in-pakistan-the-young-man-joined-hands-with-the-isi-to-meet-the-family-130369978.html

6)https://ahmedabadmirror.com/alleged-spy-got-people-pak-visas-via-diplomatic-contact/81845617.html

7)https://www.secrss.com/articles/39368

8)https://blog.talosintelligence.com/2022/03/transparent-tribe-new-campaign.html

9)https://mobile.twitter.com/JVPv5sIM3eFmGyi/status/1547480724806447104

10)https://www.zscaler.com/blogs/security-research/apt-36-uses-new-ttps-and-new-tools-target-indian-governmental-organizations







360烽火实验室

360烽火实验室致力于移动恶意软件分析、移动灰黑产研究、移动威胁预警、移动APT的发现与追踪等移动安全领域的深入研究。作为全球顶级移动安全生态研究实验室,360烽火实验室在全球范围内不仅首发了多篇具备国际影响力的移动安全生态研究成果,并且成功狩猎了蔓灵花、拍拍熊等多个APT组织针对我国及境外重要目标的攻击活动。实验室在为360手机卫士、360手机助手、360加固保等公司产品提供核心安全数据的同时,也为科研单位、手机厂商、应用商店及上百家国内外合作伙伴提供了移动应用安全检测服务,全方位守护移动安全







360高级威胁研究院

360高级威胁研究院是360数字安全集团的核心能力支持部门,由360资深安全专家组成,专注于高级威胁的发现、防御、处置和研究,曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击,独家披露多个国家级APT组织的高级行动,赢得业内外的广泛认可,为360保障国家网络安全提供有力支撑。

原文始发于微信公众号(360威胁情报中心):APT-C-56(透明部落)部署Android系统RlmRat、Linux系统波塞冬新型组件披露

版权声明:admin 发表于 2023年3月7日 下午6:16。
转载请注明:APT-C-56(透明部落)部署Android系统RlmRat、Linux系统波塞冬新型组件披露 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...