概述
Timitator(战术模仿者) 组织自2022年到2023年针对我国的能源、高校、科研机构及军工等行业进行攻击,主要采取鱼叉、nday等方式进行打点。
其鱼叉攻击分别投递过exe、chm、iso(img)及lnk等格式的载荷,在受害者成功执行该恶意附件后,在第一阶段时其会加载cobaltstrike并建立稳定连接,在第二阶段通过cobaltstrike加载其自定义特马,再通过探测内网确认每个失陷目标的价值,对不同的目标设计不同的后续攻击或利用方式,窃取高价值目标的数据和文件。该组织在攻击行动中常模仿其他组织的攻击战术,因此我们将该组织命名为战术模仿者(Timitator->ttps imitator),该组织也被其他友商称为apt-q-77、变异鼠,部分友商将其归因到海莲花,该组织目前归因复杂无法确定其最终背景 。
近期,深信服深瞻情报实验室捕获到Timitator组织最新的一批钓鱼样本,在这批样本中发现该组织在攻击中使用RUST特马代替CobaltStrike进行远程控制,并且发现释放到磁盘中的文件带有VMP虚拟外壳。
本次捕获到多个Timitator钓鱼样本,分析后发现:在2024-03-28之后上传的样本中,没有使用CobaltStrike作为远控工具,而是使用一个由RUST语言编写的远控工具,在文章中简称为RUST特马。
|
sha256 |
上传时间 |
type |
C2 |
|
49d3777d0d02cd2a4d1c44313c72279fee1681c1e3566535f9117d17b274424b |
2024-03-22 |
CobaltStrike |
39.104.205.68:443 |
|
acf0fb4dac33e197de3a3e142eeaa7e5a892607424e8ea8708d49c65f3703d61 |
2024-03-25 |
CobaltStrike |
64.176.58.16:80 |
|
87bfce678855fa498d85b143beaf129f9bd468ebdcc1226b2ba39780a02f3d2e |
2024-03-28 |
RUST特马 |
38.180.94.8:80 |
|
aac2cbd4cb119dec6c9a8c58f86b8bdd83d27fdaed85149bb2572599de9e32c0 |
2024-04-12 |
RUST特马 |
38.180.94.8:80 |
该组织曾多次使用白加黑技术,此次样本中使用两种白加黑利用组合。
|
Psadminagent.exe(nitrosense散热控制系统)+WTSAPI32.dll |
|
Bitdefender(杀毒软件)+Log.dll |
释放到磁盘中的恶意dll文件,则是意外地使用VMP加壳来保护程序,但因为没有合法的签名,导致免杀效果不佳。
本次制作成钓鱼样本的EXE文件,为NSIS打包而成安装程序,最新的样本中还发现带有伪造的Microsoft签名以及伪造成某国内企业的描述信息,用于伪装成正常的软件程序。
样本分析
以其中一个NSIS打包的安装程序为例,该样本的详细信息如下
|
描述 |
详细信息 |
|
名称 |
1.exe |
|
文件大小 |
17185768 bytes |
|
文件类型 |
EXE |
|
文件功能 |
Loader |
|
编译时间 |
/ |
|
开发平台及语言 |
/ |
|
是否加壳 |
否 |
|
VT首次上传时间 |
2024-04-12 07:56:11 UTC |
|
md5 |
4a2e2fe59c21cbefbbad3bb8d2852a44 |
|
Sha256 |
aac2cbd4cb119dec6c9a8c58f86b8bdd83d27fdaed85149bb2572599de9e32c0 |
文件执行后会在%temp%目录释放文件夹{739C1B82-9E37-4986-91C4-5939D63A6EE5}和3个可执行文件,然后执行setup.exe,从而加载恶意程序Log.dll。
第二阶段载荷的详细信息如下。
|
描述 |
详细信息 |
|
名称 |
Log.dll |
|
文件大小 |
7006208 bytes |
|
文件类型 |
DLL |
|
文件功能 |
Loader |
|
编译时间 |
/ |
|
开发平台及语言 |
/ |
|
是否加壳 |
VMProtect |
|
VT首次上传时间 |
2024-03-28 05:06:56 UTC |
|
md5 |
aff6cae1b461c830f6cf0efe2364101d |
|
Sha256 |
ba27c022b5e81fc719ed3097f950bb3e7613dc2c8b9b2851bbb573f7c48ae286 |
该文件原始文件名为snvmse.dll,功能与以往发现的样本一致,执行后会生成文件夹%temp%NVidiaSetupkd8812u,将计算机名和C盘信息写入到kd8812u的附加数据流。
随后使用loadlibrary加载另一个恶意程序SogouInput.dll,调用其导出函数begin。
SogouInput.dll文件信息如下。
|
描述 |
详细信息 |
|
名称 |
SogouInput.dll |
|
文件大小 |
10268160 bytes |
|
文件类型 |
DLL |
|
文件功能 |
Loader |
|
编译时间 |
/ |
|
开发平台及语言 |
/ |
|
是否加壳 |
否 |
|
VT首次上传时间 |
2024-03-28 05:06:58 UTC |
|
md5 |
9476ae68b01c0167254b3ec638e619b9 |
|
Sha256 |
6cb80b939b8de9f15726391f807b947951083da28c2647b8c8451021d559f7ee |
该组件也沿用以往的设计,截取屏幕截图保存为0_1718x926.png,收集系统信息保存为{5588ACFD-6436-411B-A5CE-666AE6A92D3D}。
随后在导出函数begin中从资源中读取出shellcode,解密后执行。
经过两个阶段的shellcode执行后,在内存中展开名为client.dll的库文件并执行其中的代码,该文件的详细信息如下:
|
描述 |
详细信息 |
|
名称 |
Client.dll |
|
文件大小 |
1684480 bytes |
|
文件类型 |
RUST |
|
文件功能 |
RAT |
|
编译时间 |
/ |
|
开发平台及语言 |
/ |
|
是否加壳 |
否 |
|
VT首次上传时间 |
2023-03-08 11:05:03 UTC |
|
md5 |
d2a6b4906326311c221a77c805bdfa8a |
|
Sha256 |
4f7d2738cc40493bded2e7acca155274c67258d5072ce44220b3cc2ba4afc63c |
远程命令执行使用的是传统的重定向cmd进程的输入输出流到管道中,管道的另一边通过网络通信与攻击者的服务器连接,攻击者在服务器输入的命令都能通过管道传输到cmd中执行并回显执行结果。
文件执行时,当文件不存在,则下载文件到%temp%路径下,然后再调用ShellExecute执行文件。
远程代码执行,根据提供的文件名,将文件数据复制到可执行内存中,随后创建线程执行。
关联分析
在分析中我们发现样本中提取到的shellcode与近期友商披露的海莲花样本中使用的高度一致,下图展示的是第一阶段的shellcode,第二阶段的shellcode也是基本一致。
此外不仅是攻击时偏爱使用CobaltStrike,在提取到的CobaltStrike配置信息中的,使用的域名结构为*-*-*,cloudflare服务。
|
文件hash |
C2 |
|
4a8756b22029a88506744ab7864c9b83 |
strengthening-memories-reportsrestoration.trycloudflare.com |
友商披露的样本。
|
文件hash |
C2 |
|
064cd0afb4dc27df9d30c7f5209a8e5b |
oo-advances-computers-interests.trycloudflare.com |
|
3ada3a7ff12dbe5e129b4aec77051843 |
guilty-patricia-connecticut-pulled.trycloudflare.com |
无独有偶,这批样本并不是Timitator第一次使用特马,在2023年,我们就观测到该组织使用的golang特马。
|
sha256 |
上传时间 |
Filetype |
C2 |
|
38c815370bddf0e1d0552801de06e544c6656171b0d1435c3dc66d3ac3bcdd2a |
2023-02-15 |
ELF |
185.32.126.126:5353 |
|
6c959ea4fd3b4dcf8202237870e0782a18bfde05418157b42377c9475355d3ac |
2023-12-21 |
ELF |
129.232.134.106:443 |
|
774c9181a53d08b245a71a2cf7f55c24c4dbc7fa5e4b7e0aa39f855c74c65e55 |
2024-02-01 |
DLL |
45.131.132.146:80 |
二者都是由同一份代码编译出来的,分别运行在linux和windows平台。
在与RUST特马的字符串特征比较中,疑似出自同一位开发者。
总结
Timitator组织仍处于活跃状态仍需警惕来自该组织的定向攻击。不过此前他们多次使用CobaltStrike,而CobaltStrike本是各家安全厂商关注的重点,因此该组织正在寻求隐秘性更高的远控程序和攻击技术来应对安全软件的围追堵截,使用自定义特马是他们做出的改变。同时在钓鱼文件添加更高可信度的描述信息,带着伪装的文件签名则是为了更好地迷惑用户,增加钓鱼的成功率。
深信服蓝军高级威胁(APT)团队专注全球高级威胁事件的跟踪与分析,拥有一套完善的自动化分析溯源系统以及外部威胁监控系统,能够快速精准地对APT组织使用的攻击样本进行自动化分析和关联,同时积累并完善了几十个APT以及网络犯罪威胁组织的详细画像,成功帮助客户应急响应处置过多起APT及网络犯罪威胁组织攻击事件,未来随着安全对抗的不断升级,威胁组织会研究和使用更多新型的TTP,深信服高级威胁团队会持续监控,并对全球发现的新型安全事件进行深入分析与研究。
IOC
|
IOC类型 |
详细信息 |
|
IP:PORT |
39.104.205.68:443 |
|
IP:PORT |
38.180.94.8:80 |
|
IP:PORT |
64.176.58.16:80 |
|
IP:PORT |
207.148.71.4:443 |
|
IP:PORT |
129.232.134.106:443 |
|
IP:PORT |
45.131.132.146:80 |
|
DOMAIN |
strengthening-memories-reports-restoration.trycloudflare.com:443 |
|
SHA256 |
49d3777d0d02cd2a4d1c44313c72279fee1681c1e3566535f9117d17b274424b |
|
SHA256 |
acf0fb4dac33e197de3a3e142eeaa7e5a892607424e8ea8708d49c65f3703d61 |
|
SHA256 |
87bfce678855fa498d85b143beaf129f9bd468ebdcc1226b2ba39780a02f3d2e |
|
SHA256 |
aac2cbd4cb119dec6c9a8c58f86b8bdd83d27fdaed85149bb2572599de9e32c0 |
|
SHA256 |
6c959ea4fd3b4dcf8202237870e0782a18bfde05418157b42377c9475355d3ac |
|
SHA256 |
774c9181a53d08b245a71a2cf7f55c24c4dbc7fa5e4b7e0aa39f855c74c65e55 |
|
SHA256 |
ba27c022b5e81fc719ed3097f950bb3e7613dc2c8b9b2851bbb573f7c48ae286 |
|
SHA256 |
6cb80b939b8de9f15726391f807b947951083da28c2647b8c8451021d559f7ee |
参考链接
https://mp.weixin.qq.com/s/K-FUaffQx4g6d_hweXxCTg
原文始发于微信公众号(深信服千里目安全技术中心):【高级威胁追踪(APT)】警惕来自Timitator组织RUST特马的攻击
