Confucius针对巴铁兄弟的攻击，这次真的过分了

Confucius是Palo Alto Networks于2016年披露的APT组织，该组织自2013年开始活跃，主要针对南亚及东亚地区政府、军事等进行攻击。此外，该组织还针对Android平台进行攻击。

近日，安恒信息猎影实验室在在日常威胁狩猎过程中发现Confucius利用LNK文件传播C#文件窃取器的攻击活动。此活动使用巴基斯坦电信管理局发布的安全上网指南为诱饵文件，下发多阶段恶意软件，具有隐蔽的持久化驻留、文件窃密等特点。为方便跟踪，我们将Confucius在此次活动中使用的文件窃密器命名为River Stealer。

此次捕获的Confucius攻击样本特征如下：

1. 使用ZIP+LNK文件的形式作为初始攻击负载；

2. LNK文件读取自身数据并释放VBS到本地；

3. VBS脚本及后续释放的DLL文件中均含有大量无效数据填充。

此次攻击活动流程整体如下：

ZIP->LNK->VBS->PDF/DLL->River Stealer

初始为ZIP文件，其中包含有伪装成PDF的LNK文件，LNK文件执行后将读取自身数据并释放VBS到本地。

VBS脚本将检查反病毒软件Avast的安装情况，并根据安装情况设置后续恶意文件存放路径，随后设置隐藏属性的计划任务，用于每5分钟启动一次DLL Loader文件。DLL Loader加载后将继续下载后续负载并执行，最终实现本机指定后缀文件的窃取与上传。

除本次捕获样本所用的诱饵外，我们还发现了其网络资产上存在的其他疑似针对政府、能源、军事和宗教等方向诱饵文件。

此次攻击活动中，Confucius以Social-Media-Advisory.pdf为ZIP文件名，引诱用户解压运行包含在其中的LNK文件，该文件运行后释放了由巴基斯坦电信管理局发布的安全上网指南。

在该组织的网络基础设施中，我们还发现了其他疑似用于攻击活动的诱饵文件。

• 诱饵一（话题涉及宗教及电信公司）

伊斯兰工作道德的影响，奖励制度和组织环境对员工公民行为的影响 ：巴基斯坦电信有限公司案例

• 诱饵二（话题涉及政治政策）

巴基斯坦2025年“一个国家，一个愿景”执行摘要（Pakistan 2025 One Nation – One Vision Executive Summary）

• 诱饵三（话题涉及电信行业）

• 诱饵四（涉及知名人士及外交官）

伊斯兰堡俱乐部-会员申请表（伊斯兰堡俱乐部是巴基斯坦许多知名人士和外交官的专属中心）

• 诱饵五（话题涉及宗教）

国家宗教间和谐和平委员会NPCIH（National Peace Committee For Interfaith Harmony）身份证件

• 诱饵六（话题涉及能源）

讨论巴基斯坦可再生能源的前景

• 诱饵七（话题涉及电力行业）

国家电力监管局-听证通知书，关于能源部（电力部门）提出的有关 K-Electric 消费者终端电价建议和统一季度调整政策指南

• 诱饵八（话题涉及政府、军事）

巴基斯坦政府内政部（全巴基斯坦武器许可证）

以上诱饵文件结合攻击者后续下发的恶意软件，我们推测与此次攻击活动相关的Confucius活动还涵盖了针对电信、能源、军事、政府和宗教等行业以及相关人士的信息窃取。以上目标与Confucis的历史攻击目标保持了一致。

LNK文件包含的指令将查找自身数据 “MLdfi67D47NdfjeS69N.*”，并将匹配内容输出至 “%tmp%Ldsfer.vbs”，随后通过wscript执行位于%temp%目录中的 “Ldsfer.vbs” 脚本文件。

VBS脚本中包含大量填充数据，在去除填充数据，对脚本进行分析后，我们发现该脚本的主要功能如下：

1. 检查本机是否安装Avast反病毒软件，并根据安装情况设置文件路径变量：如果Avast已安装，它会将某些文件操作路径更改为适应Avast的安装目录 “C:Program FilesAvast Software” 。如果Avast未安装，则会继续使用默认的路径。

2. 创建名为 “Adode Check” 的计划任务，该计划任务的属性被设置为隐藏，创建者被设置为 “Administrator”，描述被设置为 “To check upcoming details”，用于每5分钟执行一次Powershell指令。

该Powershell指令用于加载NdsfkjhewriWsau.dll文件，然后创建一个对象并调用其Helloworld()函数。

3. 从指定URL下载DLL以及PDF文件，并打开保存在本地的PDF文件

下载地址及本地保存路径如下：

下载并打开的PDF文件是由PTA（Pakistan Telecommunication Authority）巴基斯坦电信管理局发布的安全上网指南

NdsfkjhewriWsau.dll DLL文件使用与VBS脚本相似的数据填充方式，主要功能为获取网络资源（二进制数据），通过反射加载程序指定方法

其中下载地址如下，后续获取的Carret.bbw/rockgoled.bbw资源同样为C#语言编译，下载到本地的文件名为GoiuhkNvhgfkuy.dll

GoiuhkNvhgfkuy.dll DLL文件使用与上述相同的数据填充方式，主要功能为：

1. 获取C盘的卷序列号（Volume Serial Number）

2. 将C盘卷序列号拼接”__” + machineName + “__” + userName “.txt”请求C2服务器，以获取该用户已上传至服务器的文件Hash

请求地址如下

3. 遍历主机中的文档、下载、桌面、图片、视频、音乐目录及子目录，以及所有除C盘外的可用磁盘目录及子目录，查找指定后缀文件。

该恶意软件尝试获取的完整文件后缀列表如下

4. 计算文件Hash，并根据文件Hash判断文件是否已被上传

5. 若查找到的文件未被上传至C2服务器，则将文件和数据上传至C2服务器，其中数据包括计算机名称、用户名、文件路径的目录名以及文件Hash

上传地址及内容如下

Confucius此次攻击活动与我们发现的2022年攻击活动如下相似性：

1. 均包含根据反病毒软件确定后续文件释放路径的行为；

2. 均通过Powershell指令加载C# Loader文件，由Loader文件进一步下载文件窃密器到本；

3. 均设置有备用下载链接以更改攻击路径；

4. 最后的文件窃密器均包含上传主机名及用户名machineName + “__” + userName至服务器、收集主机指定后缀文件并上传文件及文件Hash。

此次攻击活动尚未对国内用户造成直接影响，但我们仍然建议所有用户保持警惕，猎影实验室提醒广大用户朋友，避免打开来自未知来源的电子邮件附件。

如有需要鉴别的未知来源样本，可以投递至安恒云沙箱查看判别结果后再进行后续操作。猎影实验室将持续对全球APT组织进行持续跟踪，专注发现并披露各类威胁事件。