Confucius针对巴铁兄弟的攻击,这次真的过分了

APT 8个月前 admin
507 0 0
Confucius针对巴铁兄弟的攻击,这次真的过分了


Confucius近期针对巴基斯坦电信、能源、军事、政府和宗教等行业的攻击活动分析

内部编号

DBAPP-LY-23101201 

关键词

APT、Confucius

发布日期

2023年10月12日

更新日期

2023年10月12日

分析团队

安恒研究院猎影实验室


Confucius针对巴铁兄弟的攻击,这次真的过分了


01

事件概述


Confucius是Palo Alto Networks于2016年披露的APT组织,该组织自2013年开始活跃,主要针对南亚及东亚地区政府、军事等进行攻击。此外,该组织还针对Android平台进行攻击。

Confucius的部分攻击手法包括:

使用InPage漏洞利用文档作为初始负载、使用商业木马WarzoneRAT、开源木马QuasarRAT 进行远控、利用Yahoo!和quora论坛作为C2服务器。

近日,安恒信息猎影实验室在在日常威胁狩猎过程中发现Confucius利用LNK文件传播C#文件窃取器的攻击活动。此活动使用巴基斯坦电信管理局发布的安全上网指南为诱饵文件,下发多阶段恶意软件,具有隐蔽的持久化驻留、文件窃密等特点。为方便跟踪,我们将Confucius在此次活动中使用的文件窃密器命名为River Stealer。


此次捕获的Confucius攻击样本特征如下:


1. 使用ZIP+LNK文件的形式作为初始攻击负载;

2. LNK文件读取自身数据并释放VBS到本地;

3. VBS脚本及后续释放的DLL文件中均含有大量无效数据填充。


此次攻击活动流程整体如下:

ZIP->LNK->VBS->PDF/DLL->River Stealer

Confucius针对巴铁兄弟的攻击,这次真的过分了


初始为ZIP文件,其中包含有伪装成PDF的LNK文件,LNK文件执行后将读取自身数据并释放VBS到本地。


VBS脚本将检查反病毒软件Avast的安装情况,并根据安装情况设置后续恶意文件存放路径,随后设置隐藏属性的计划任务,用于每5分钟启动一次DLL Loader文件。DLL Loader加载后将继续下载后续负载并执行,最终实现本机指定后缀文件的窃取与上传。


除本次捕获样本所用的诱饵外,我们还发现了其网络资产上存在的其他疑似针对政府、能源、军事和宗教等方向诱饵文件。


02

诱饵分析


此次攻击活动中,Confucius以Social-Media-Advisory.pdf为ZIP文件名,引诱用户解压运行包含在其中的LNK文件,该文件运行后释放了由巴基斯坦电信管理局发布的安全上网指南。

Confucius针对巴铁兄弟的攻击,这次真的过分了


在该组织的网络基础设施中,我们还发现了其他疑似用于攻击活动的诱饵文件。


  • 诱饵一(话题涉及宗教及电信公司)

伊斯兰工作道德的影响,奖励制度和组织环境对员工公民行为的影响 :巴基斯坦电信有限公司案例

Confucius针对巴铁兄弟的攻击,这次真的过分了


  • 诱饵二(话题涉及政治政策)

巴基斯坦2025年“一个国家,一个愿景”执行摘要(Pakistan 2025 One Nation – One Vision Executive Summary)

Confucius针对巴铁兄弟的攻击,这次真的过分了


  • 诱饵三(话题涉及电信行业)

巴基斯坦电信管理局发布的另一安全上网指南
Confucius针对巴铁兄弟的攻击,这次真的过分了


  • 诱饵四(涉及知名人士及外交官)

伊斯兰堡俱乐部-会员申请表(伊斯兰堡俱乐部是巴基斯坦许多知名人士和外交官的专属中心)

Confucius针对巴铁兄弟的攻击,这次真的过分了


  • 诱饵五(话题涉及宗教)

国家宗教间和谐和平委员会NPCIH(National Peace Committee For Interfaith Harmony)身份证件

Confucius针对巴铁兄弟的攻击,这次真的过分了
  • 诱饵六(话题涉及能源)

讨论巴基斯坦可再生能源的前景

Confucius针对巴铁兄弟的攻击,这次真的过分了


  • 诱饵七(话题涉及电力行业)

国家电力监管局-听证通知书,关于能源部(电力部门)提出的有关 K-Electric 消费者终端电价建议和统一季度调整政策指南

Confucius针对巴铁兄弟的攻击,这次真的过分了


  • 诱饵八(话题涉及政府、军事)

巴基斯坦政府内政部(全巴基斯坦武器许可证)

Confucius针对巴铁兄弟的攻击,这次真的过分了

以上诱饵文件结合攻击者后续下发的恶意软件,我们推测与此次攻击活动相关的Confucius活动还涵盖了针对电信、能源、军事、政府和宗教等行业以及相关人士的信息窃取。以上目标与Confucis的历史攻击目标保持了一致。


03

样本分析


LNK文件

LNK文件包含的指令将查找自身数据 “MLdfi67D47NdfjeS69N.*”,并将匹配内容输出至 “%tmp%Ldsfer.vbs”,随后通过wscript执行位于%temp%目录中的 “Ldsfer.vbs” 脚本文件。

Confucius针对巴铁兄弟的攻击,这次真的过分了


VBS脚本

VBS脚本中包含大量填充数据,在去除填充数据,对脚本进行分析后,我们发现该脚本的主要功能如下:


1. 检查本机是否安装Avast反病毒软件,并根据安装情况设置文件路径变量:如果Avast已安装,它会将某些文件操作路径更改为适应Avast的安装目录 “C:Program FilesAvast Software” 。如果Avast未安装,则会继续使用默认的路径。

Confucius针对巴铁兄弟的攻击,这次真的过分了


2. 创建名为 “Adode Check” 的计划任务,该计划任务的属性被设置为隐藏,创建者被设置为 “Administrator”,描述被设置为 “To check upcoming details”,用于每5分钟执行一次Powershell指令。

Confucius针对巴铁兄弟的攻击,这次真的过分了


该Powershell指令用于加载NdsfkjhewriWsau.dll文件,然后创建一个对象并调用其Helloworld()函数。


3. 从指定URL下载DLL以及PDF文件,并打开保存在本地的PDF文件

Confucius针对巴铁兄弟的攻击,这次真的过分了


下载地址及本地保存路径如下:


URL

本地保存路径

hxxps://redcrocodilepuppet.online/JSdfjweuisdfjhg/Apple.gkl

C:NdsfkjhewriWsau.dll 或 C:ProgramDataNdsfkjhewriWsau.dll

hxxps://redcrocodilepuppet.online/JSdfjweuisdfjhg/Hello1.pdf

C:Program FilesAdvisory.pdf


下载并打开的PDF文件是由PTA(Pakistan Telecommunication Authority)巴基斯坦电信管理局发布的安全上网指南

Confucius针对巴铁兄弟的攻击,这次真的过分了


DLL文件

NdsfkjhewriWsau.dll DLL文件使用与VBS脚本相似的数据填充方式,主要功能为获取网络资源(二进制数据),通过反射加载程序指定方法

Confucius针对巴铁兄弟的攻击,这次真的过分了


其中下载地址如下,后续获取的Carret.bbw/rockgoled.bbw资源同样为C#语言编译,下载到本地的文件名为GoiuhkNvhgfkuy.dll


URL

描述

hxxps://redcrocodilepuppet.online/JSdfjweuisdfjhg/rockgoled.bbw

主要下载地址

hxxps://bluechillyboo.site/Bfweuysdfkhw/Carret.bbw

备用下载地址


GoiuhkNvhgfkuy.dll DLL文件使用与上述相同的数据填充方式,主要功能为:


1. 获取C盘的卷序列号(Volume Serial Number)


Confucius针对巴铁兄弟的攻击,这次真的过分了


2. 将C盘卷序列号拼接”__” + machineName + “__” + userName “.txt”请求C2服务器,以获取该用户已上传至服务器的文件Hash


Confucius针对巴铁兄弟的攻击,这次真的过分了


请求地址如下


URL

描述

hxxp://riverelephent.site/User_Hash/

获取已上传的文件Hash


3. 遍历主机中的文档、下载、桌面、图片、视频、音乐目录及子目录,以及所有除C盘外的可用磁盘目录及子目录,查找指定后缀文件。


Confucius针对巴铁兄弟的攻击,这次真的过分了


该恶意软件尝试获取的完整文件后缀列表如下


文件后缀

.txt、.TXT、.pdf、.PDF、.png、.PNG、.jpg、.JPG、.DOC、.doc、.XLS、.xlm、.XLM、.xls、.odp、.ODP、.ods、.ODS、.odt、.ODT、.rtf、.RTF、.ppt、.PPT、.xlsx、.XLSX、.xlsm、.XLSM、.docx、.DOCX、.pptx、.PPTX、.docm、.DOCM、.jpeg、.JPEG


4. 计算文件Hash,并根据文件Hash判断文件是否已被上传


Confucius针对巴铁兄弟的攻击,这次真的过分了


5. 若查找到的文件未被上传至C2服务器,则将文件和数据上传至C2服务器,其中数据包括计算机名称、用户名、文件路径的目录名以及文件Hash


Confucius针对巴铁兄弟的攻击,这次真的过分了


上传地址及内容如下


URL

描述

hxxp://riverelephent.site/VueWsxpogcjwq1.php

上传数据

hxxp://riverelephent.site/HprodXprnvlm1.php

上传文件


04

归因关联

Confucius此次攻击活动与我们发现的2022年攻击活动如下相似性:


1. 均包含根据反病毒软件确定后续文件释放路径的行为;

2. 均通过Powershell指令加载C# Loader文件,由Loader文件进一步下载文件窃密器到本;

3. 均设置有备用下载链接以更改攻击路径;


Confucius针对巴铁兄弟的攻击,这次真的过分了


4. 最后的文件窃密器均包含上传主机名及用户名machineName + “__” + userName至服务器、收集主机指定后缀文件并上传文件及文件Hash。


Confucius针对巴铁兄弟的攻击,这次真的过分了


05

总结


此次攻击活动尚未对国内用户造成直接影响,但我们仍然建议所有用户保持警惕,猎影实验室提醒广大用户朋友,避免打开来自未知来源的电子邮件附件。


如有需要鉴别的未知来源样本,可以投递至安恒云沙箱查看判别结果后再进行后续操作。猎影实验室将持续对全球APT组织进行持续跟踪,专注发现并披露各类威胁事件。

防范建议

1. 及时备份重要数据。

2. 不随意打开来源不明的程序。

3. 不访问未知安全性的网站等。

4. 使用合格的安全产品

5. 定期检查系统日志中是否有可疑事件

6. 重要资料的共享文件夹应设置访问权限控制,并进行定期离线备份, 关闭不必要的文件共享功能

7.不要轻信不明邮件,提高安全意识

安恒信息产品已集成能力

针对该事件中的最新IoC情报,以下产品的版本可自动完成更新,若无法自动更新则请联系技术人员手动更新:


  1. AiLPHA分析平台V5.0.0及以上版本

  2. AiNTA设备V1.2.2及以上版本

  3. AXDR平台V2.0.3及以上版本

  4. APT设备V2.0.67及以上版本

  5. EDR产品V2.0.17及以上版本

安恒云沙盒已集成了海量威胁情报及样本特征。用户可通过云沙盒:https://sandbox.dbappsecurity.com.cn/ 对可疑文件进行威胁研判并下载分析报告。或用沙箱打开不明来源的未知文件,在虚拟环境中进行内容预览,免于主机失陷、受到木马或病毒文件攻击。

Confucius针对巴铁兄弟的攻击,这次真的过分了

安恒云沙箱反馈与合作请联系:[email protected]

Confucius针对巴铁兄弟的攻击,这次真的过分了


往期推荐








原文始发于微信公众号(网络安全研究宅基地):Confucius针对巴铁兄弟的攻击,这次真的过分了

版权声明:admin 发表于 2023年10月16日 上午11:30。
转载请注明:Confucius针对巴铁兄弟的攻击,这次真的过分了 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...