CTF导航 CTF导航

TA402 针对中东目标持续发起攻击

APT 2年前 (2022) admin
661 0 0
2021 年底,Proofpoint 分析人员发现了一个针对中东政府、外交智库和国有航空公司的复杂攻击行动。Proofpoint 将攻击行动归因于 TA402 组织,该组织围绕巴勒斯坦的利益展开攻击。
在 2021 年 6 月攻击被披露后,TA402 一度销声匿迹。但根据 Proofpoint 的持续跟踪,TA402 持续更新恶意软件和投递交付方式。TA402 会使用名为 NimbleMamba 和 BrittleBush 的恶意软件,且依托地理围栏和复杂攻击链干扰分析人员。

TA402 针对中东目标持续发起攻击

最近发现的攻击行动中,TA402 使用包含恶意文件下载链接的鱼叉邮件。

自有域名(2021 年 11 月)

在 2021 年 11 月的攻击行动中,TA402 部署了虚假的 Quora 网站。攻击者通过自有的 Gmail 账户发送带有恶意 URL(https[:]//www[.]uggboots4sale[.]com/news15112021.php)的钓鱼邮件,访问被地理围栏限定在特定国家内。如果访问 IP 地址来自特定区域,用户将会被重定向下载 TA402 最新开发的 NimbleMamba 样本文件。如果是区域外的访问,用户将会被重定向到合法的新闻网站。

TA402 针对中东目标持续发起攻击

Dropbox URL(2021 年 12 月)

2021 年 12 月,TA402 发送了多种主题的钓鱼邮件,包括医疗主题和政治敏感信息等。TA402 继续使用攻击者控制的 Gmail 账户,但转用 Dropbox 部署的 URL 来投递 NimbleMamba 样本。但这种方式,攻击者不能再控制地理围栏。TA402 不仅滥用 Dropbox 服务作为投递渠道,也作为 C&C 信道。

WordPress 重定向(2022 年 1 月)

TA402 在攻击链中调整了攻击者控制的 WordPress URL,地理围栏内的 IP 访问会下载 NimbleMamba 样本,之外的 IP 会重定向到阿拉伯语的新闻网站。

TA402 针对中东目标持续发起攻击

NimbleMamba

TA402 的攻击链中都包含名为 NimbleMamba 的恶意样本,该样本要取代之前使用的 LastConn 木马。NimbleMamba 和 LastConn 有一些相似之处,都是用 C# 编写、C&C 通信使用 base64 编码、使用 Dropbox API 作为 C&C 信道等,但两者之间几乎没有代码级的相似。除此之外,TA402 也常常使用名为 BrittleBush 的木马。
NimbleMamba 的设计良好,且攻击者仍然在积极开发中。
SHA256 编译时间 攻击行动
c61fcd8bed15414529959e8b5484b2c559ac597143c1775b1cec7d493a40369d 2021-11-07 00:02:28 2021年11月
430c12393a1714e3f5087e1338a3e3846ab62b18d816cc4916749a935f8dab44 2021-11-20 23:13:29 2022年1月
NimbleMamba 使用 C# 编写,且使用第三方混淆工具进行混淆处理,通过判断虚拟环境逃避虚拟机分析。

地理围栏

NimbleMamba 使用多种机制确保恶意软件只能在目标机器上运行,通过以下服务确定 IP 地址的位置进行检测逃避:

  • api[.]ipify[.]com (https://www.ipify.org)

  • myexternalip[.]com (https://myexternalip.com)

  • ip-api[.]com (https://ip-api.com)

  • api[.]ipstack[.]com (https://ipstack.com)

如果恶意软件在封闭的网络环境中无法连接到这些服务,将会处于无限循环中。

只有 IP 所在位置位于以下列表或者主机安装了阿拉伯语言包时,恶意软件才会继续执行。

TA402 针对中东目标持续发起攻击

配置

NimbleMamba 的配置是通过 JustPasteIt 获取的。NimbleMamba 通过在线服务确定当前时间戳,避免修改时间配置的计算机在感染后出现问题,再根据时间戳生成一个 JustPasteIt URL,算法如下所示:

TA402 针对中东目标持续发起攻击

有内容时,如下所示:

TA402 针对中东目标持续发起攻击

数据通过 # 以及 = 进行分割:

Key Value
ACSS IFK641c5_RQj32p_HvJF14U3eu3iQIl1vYncq-5-g4aMKQAAAAAAAAAAQ6MoiJpHT88KFIEQQ2SH5
OOOO 40,1ckZnB3a45mMpRTTYplNiNmZ
ACSS 中包含用于 C&C 通信的 Dropbox API 密钥,恶意软件将外部 IP 地址、用户名、计算机名写入逗号分隔的字符串,base64 编码再反转字符串,该字符串用作文件夹名称。

TA402 针对中东目标持续发起攻击

恶意软件与 Dropbox 进行通信获取 RAR 文件与其他诱饵文件,诱饵文件通常是办公文档或者 PDF 文件。RAR 文件的压缩密码为 OOOO 参数中逗号分隔的第二个字符串,文件中包含两个可执行文件(一个 NimbleMamba 样本、一个屏幕截图的可执行文件)。

TA402 针对中东目标持续发起攻击

JustPasteIt 用户 Nefaty Benet 可能是为了冒充以色列总理 Naftali Bennett,根据平台信息显示,NimbleMamba 可能在 2021 年 8 月就开始活跃了,这与 VirusTotal 上分析 NimbleMamba 样本的编译时期处在同一时间范围。

功能

NimbleMamba 很可能是设计用于初始访问,可以获取失陷主机的屏幕截图和进程信息。

BrittleBush

RAR 文件还提供了一个名为 BrittleBush 的木马程序(2E4671C517040CBD66A1BE0F04FB8F2AF7064FEF2B5EE5E33D1F9D347E4C419F),该样本与 easyuploadservice.com 进行通信且以 base64 编码的 JSON 结构接收命令。

TA402 针对中东目标持续发起攻击

归因

2021 年 12 月的攻击行动与卡巴斯基在 2015 年披露的 TA402 攻击有着显著的相似之处。

TA402 针对中东目标持续发起攻击

根据分析,LastConn 和 NimbleMamba 几乎肯定是由同一个攻击组织使用的,Dropbox 的安全团队调查也封禁了所有相关账户。
NimbleMamba 围绕巴勒斯坦的利益进行攻击,且针对讲阿拉伯语的人士和计算机。

结论

TA402 仍然是一个活跃的攻击者,以中东为目标不断发起攻击。日后,TA402 也将继续更新恶意软件和基础设施对抗分析与发现。

IOC

430c12393a1714e3f5087e1338a3e3846ab62b18d816cc4916749a935f8dab44c61fcd8bed15414529959e8b5484b2c559ac597143c1775b1cec7d493a40369d925aff03ab009c8e7935cfa389fc7a34482184cc310a8d8f88a25d9a89711e862e4671c517040cbd66a1be0f04fb8f2af7064fef2b5ee5e33d1f9d347e4c419fuggboots4sale.comeasyuploadservice.com

Yara

rule Proofpoint_Molerats_TA402_NimbleMamba {     meta:         description = "Detects .NET written NimbleMamba malware used by TA402/Molereats"         author = "Proofpoint Threat Research"         disclaimer = "Yara signature created for hunting purposes - not quality controlled within enterprise environment"         hash1 = "430c12393a1714e3f5087e1338a3e3846ab62b18d816cc4916749a935f8dab44"         hash2 = "c61fcd8bed15414529959e8b5484b2c559ac597143c1775b1cec7d493a40369d" 
    strings:         $dotnet = "#Strings" ascii         $dropbox = "dropboxapi.com" ascii wide         $justpaste = "justpaste.it" wide         $ip_1 = "api.ipstack.com" wide         $ip_2 = "myexternalip.com" wide         $ip_3 = "ip-api.com" wide         $ip_4 = "api.ipify.com" wide         $vm_1 = "VMware|VIRTUAL|A M I|Xen" wide         $vm_2 = "Microsoft|VMWare|Virtual" wide 
    condition:         uint16be(0) == 0x4D5A and $dotnet and $dropbox and $justpaste and any of ($ip_*) and any of ($vm_*) }






原文始发于微信公众号(威胁棱镜):TA402 针对中东目标持续发起攻击
版权声明:admin 发表于 2022年3月3日 上午11:30。
转载请注明:TA402 针对中东目标持续发起攻击 | CTF导航

相关文章

利用神经网络挖掘共同特征发现未知的APT
admin
762
다양한 주제의 보도자료를 사칭한 Kimsuky 공격시도
admin
677
鲨鱼的狂欢 — APT-C-55 Kimsuky组织近期BabyShark组件披露
admin
844
Evasive Panda APT group delivers malware via updates for popular Chinese software
admin
590
新型恶意软件iLOBleed Rootkit首次针对惠普iLO固件发起攻击(下)
admin
716
filesyncshell.dll劫持?APT-C-24响尾蛇最新攻击活动简报
admin
1,056

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...

相关文章

APT-C-28(ScarCruft)组织利用恶意LNK文件投递RokRat攻击的活动分析
0
乌克兰曝光俄罗斯APT44针对其关键基础设施的网络攻击
0
海莲花(APT-Q-31)组织数字武器Rust加载器技术分析
0
New Xagent Mac Malware Linked with the APT28
0
APT分析 │ VPN安装包“引狼入室”:疑似金眼狗(APT-Q-27)团伙的窃密行动
0
首篇报告!APT组织SideWinder(响尾蛇)积极对其后门武器WarHawk进行迭代重构
0
第90篇:美国APT的全球流量监听系统(Turmoil监听与Turbine涡轮)讲解与分析
0
朝鲜APT Lazarus利用AppLocker零日漏洞部署rootkit
0
liblzma后门疑似国家级APT
0
朝鲜APT 积极利用JETBRAINS TEAMCITY 缺陷
0