蔓灵花(BITTER),国外著名APT组织,因该组织常用的特种木马数据包头部为“BITTER”而得名,近一两年持续针对我国重点行业单位进行钓鱼攻击,其中攻击方式较多样,横跨PC端到移动端。
BITTERAPT组织是一个长期针对中国、巴基斯坦等国家进行攻击活动的APT组织,该APT组织为目前活跃的针对境内目标进行攻击的境外APT组织之一。该组织主要针对政府、军工业、电力、核等单位进行攻击,窃取敏感资料,具有强烈的政治背景。该组织最早在2016由美国安全公司Forcepoint进行了披露,并且命名为“BITTER”。
SECUINFRAFalcon团队分析了最近由南亚高级持续性威胁组织“Bitter”发起的攻击。该运动专门针对孟加拉国的(军事)组织。通过恶意文档文件和中间恶意软件阶段,攻击者通过部署远程访问木马进行间谍活动。
SECUINFRAFalcon团队发现了最近的一次攻击,该攻击是由高级持续威胁组织“Bitter”(也称为T-APT-17)发起的针对孟加拉国的活动。
Bitter使用恶意文档文件作为诱饵,其中包含所谓的“方程式编辑器漏洞”的不同实现,以下载后续的恶意软件阶段。
第二阶段包括一个加载程序,它收集有关受感染系统的信息并从远程服务器检索第三阶段。
Bitter攻击的第三阶段可以包含不同类型的恶意软件,例如键盘记录程序、窃取程序或远程访问木马(RAT)。研究人员分析了一种较新使用的RAT,研究人员将其称为“AlmondRAT”。
据说,BitterAPT组织至少从2013年就开始活跃,2016年Forcepoint实验室首次报道了该组织,当时它主要针对巴基斯坦。该威胁组织被怀疑位于亚洲南部。甚至在那个时候,该组织就在使用鱼叉式钓鱼电子邮件来利用MicrosoftOffice(例如CVE-2012-0158)并下载其他恶意软件,因此与他们今天的攻击相比,他们的作案手法根本没有改变。正如BitDefender在2020年报道的那样,它们有时还会针对带有远程访问木马的Android设备。
2019年2月,PaloAltoNetworks使用名为“ArtraDownloader”的第二阶段下载器记录了Bitter攻击,该下载器自2017年以来一直在使用。中国和沙特阿拉伯组织也被添加到目标列表中。
正如Cyble和卡巴斯基在2021年发现的那样,Bitter组织不仅能够利用旧的Office漏洞利用,例如滥用零日漏洞,如Windows内核漏洞(CVE-2021-1732)和Windows桌面窗口管理器中的漏洞(CVE-2021-28310)用于权限提升。
2022年5月,CiscoTalos分享了对从2021年10月到2022年2月期间针对孟加拉国用户的新Bitter活动的分析,其中包含一个名为“ZxxZ”的新的第二阶段下载器。
本报告以Forcepoint实验室发布的调查结果为基础,涵盖了可能在2022年5月中旬进行的一次攻击。
在本报告发布前不久,奇安信威胁情报中心发布了一份关于近期针对孟加拉国军事部门活动的报告。他们还提到了这篇博文中分析的RAT样本。
7月4日,@c3rb3ru5d3d53c发布了一份关于针对巴基斯坦活动的报告。除了与研究人员的方法相匹配的许多分析步骤之外,还演示了如何将ZxxZ下载器与自定义C2服务器一起使用。
恶意Excel文档(1bf615946ad9ea7b5a282a8529641bf6)样本是通过公共Any.Run沙盒服务获取的。与之前由Bitter进行的活动一样,该文件很可能是通过鱼叉式网络钓鱼电子邮件传播的,而该电子邮件无法用于分析。SimonKenin(k3yp0d)在Twitter上之前提及过这个样本。
该文件的文件名为“Repairofdifferentcsoccstc,chinasupplysystem–BNSBIJOY.xls”。缩写csoc和cstc可能分别代表“ChinaShipbuilding&OffshoreInternationalCo.Ltd”和“ChinaShipbuildingTradingCo.Ltd”,BNSBijoy是一艘“城堡级导弹护卫舰”(小型军舰)的名称。
该文档不包含文件名所暗示主题的可读内容,仅包含白色矩形图像和unicode字符,这应该提醒受害者它不是合法文档。打开文件后,识别为CVE-2018-0798的公式编辑器漏洞就会执行。
Excel文档的可见内容
在不以任何方式提醒用户的情况下,方程式编辑器在后台启动并用于下载下一个恶意软件阶段并执行它。通过使用ProcMon跟踪进程树,研究人员可以看到下载的二进制文件已写入C:$Drwfsutil.exe并由Windows资源管理器执行。
方程式编辑器的过程树
为了从Maldoc中提取信息,研究人员首先选择了动态方法。通过gflags.exe(WindowsSDK的一部分)为EquationEditor可执行文件注册调试器,研究人员可以在打开Excel文档后将x32dbg附加到进程。
为EquationEditor注册一个调试器
由于Excel正在等待公式编辑器退出,研究人员的调试会话将在固定时间后结束,并显示以下错误消息,因此研究人员必须以不同的方式处理它。
调试公式编辑器时出现错误对话框
使用DidierStevens开发的著名oledump工具,研究人员可以查看Excel文件中的数据流。在本例中,研究人员对名为EquationNative的流A4特别感兴趣。
使用oledump查看Excel文件的内容
通过指定流和-d参数,研究人员可以转储它以进一步分析它。
转储方程流
在十六进制编辑器中打开转储文件,研究人员可以直观地识别两个不同的数据段。以绿色突出显示的数据可能是EquationEditor漏洞利用所需的shellcode。由于那里几乎没有可读的ASCII字符串(仔细观察,研究人员可以发现看起来像“URL”或“http”的片段),这些数据可能以某种方式被编码或加密。在此之下,研究人员可以看到重复模式的数据,这些数据用作内存损坏漏洞利用CVE-2018-0798的填充。
在Hex编辑器中分析shellcode
为了尝试解码数据的shellcode部分,研究人员对其进行了频率分析(Okteta十六进制编辑器的一个非常有用的功能)以确定哪些值出现最多,因为在SophosLabs2019年的一份报告中,分析了CVE-2018-0798的一个maldoc构建器,该构建器实现了基于xor的shellcode编码。对于这个恶意文档,最常见的字节是FF,所以研究人员假设这可以编码为空字节,因此FF可能是单字节XOR编码中的键。
在shellcode上运行频率分析
使用假定的shellcode部分和XOR键的Cyberchef确实会产生可读的字符串。从这里研究人员可以提取有关执行的shellcode和指标的重要信息,例如下一个恶意软件阶段的URL。
解码XOR的shellcode
下面的可视化显示了在shellcode中进行的最重要的API调用:
显示maldocshellcode功能的图表
通过再次调试EquationEditor漏洞并手动设置断点,例如URLDownloadToFileA研究人员可以确认这些发现。
手动加载urlmon.dll以在URLDownloadToFileA上放置断点
对emshedulersvc[.]com/vc/vc的下载查询返回Bitter第二阶段下载器的样本,研究人员将在接下来对其进行研究。
中断URLDownloadToFile
大约从2021年下半年开始,Bitter从他们的第二阶段ArtraDownloader切换到一个新的但类似的实现,由Talos命名为“ZxxZ”,由奇安信威胁情报中心命名为“MuuyDownloader”。它是在VisualC++中实现的,并且在第一次检查时似乎没有打包。编译时间戳表明该二进制文件构建于2022年5月11日,与恶意文档的时间范围相匹配。
轻松解析PE文件
将这个指纹识别函数与CiscoTalos文档中的指纹识别函数进行比较,研究人员可以看到Bitter释放了ZxxZ值分隔符(它为Downloader命名)以换取一个简单的下划线。这样做可能是为了避免通过基于这种非常特殊的分隔符的IDS/IPS系统进行检测。回顾以前对Bitter的研究,研究人员可以看到威胁组织喜欢不时更改这些模式以避免被发现。
ZxxZ收集系统信息
使用攻击者控制的 临时服务器签入包含系统的用户帐户和主机名。下面的函数手动组装HTTPGET请求并通过套接字连接将其发送到C2服务器。
ZxxZ向C2发送带有主机指纹的GET请求
研究人员使用数据包捕获验证了这种网络通信。Bitter基础设施中的另一个常见指标是LiteSpeed网络服务器的使用,这在以前的报告中也有记录。
上面GET请求的抓包
在从 临时服务器获取下一个恶意软件阶段后,ZxxZ将二进制写入磁盘并尝试执行它。在下面的截图中,研究人员可以看到Bitter组将Talos之前记录的DN-S(下载成功)和RN_E(运行错误)的C2操作码字符串更改为S和F,这可能是成功和失败的简写。这很可能是逃避原有侦查规则的另一种手段。有效负载执行也被更改为使用CreateProcessA,而不是像老版本ZxxZ中的ShellExecuteA。
ZxxZ检索并执行下一阶段
不幸的是,无法从 临时服务器检索实际的有效负载,因为它只返回了一个名为CAPT.msi的空文件。
Bitter部署的远程访问木马(RAT)(通常称为BitterRAT)的信息有限,有时甚至相互矛盾。研究人员发现Bitter根据场景和目标部署了不同的RAT实现/变体。
在本例中,研究人员分析了一个基于. net的RAT病毒样本,研究人员无法通过以前的报告或开源存储库识别它。由于缺乏现有的检测方法和更好的名称,研究人员将在此分析中称其为“AlmondRAT”。这个样本是由推特用户@binlmmhc首先提到的。上面提到的奇安信最近的报道称,这款RAT只是“轻量级远程攻击”。
解析AlmondRATPE文件
RAT的主要函数在调用StartClient函数之前检查互斥字符串saebamini.comSingletonApp。事实证明,即使是熟练的攻击者有时也需要查找非常简单的事情:在本例中,一个简短的教程是关于只允许C#应用程序的一个实例运行,它使用相同的互斥字符串。与往常一样,他们只复制了一半的答案,并忘记在最后包括对ReleaseMutex的调用……
设置Mutex
AlmondRAT采用字符串加密来阻碍检测和逆向工程。因此,下面的命令和控制(C2)IP地址等重要/揭示字符串包含在ciphertext.Decrypt函数中。
StartClient函数,显示AES字符串加密
解密函数实现了一个默认的AES-256-CBC加密方案,其中IV和密钥是通过PDKDF2从给定的明文密码派生的。因为在Python中重新实现这个很简单,所以研究人员解密了二进制文件中所有加密的字符串,并修改了.NET程序集以增加此报告的代码可读性。
使用AESCBC的字符串解密函数
StartClient函数为Almond RAT实现了基于套接字的C2通信接口。在研究人员观察到的样本中,没有域或动态DNS服务,只有用于连接回攻击者的IPv4地址。RAT的一个特性是使用tcp端口33638。当第一次联系C2服务器时,AlmondRAT会传输收集到的系统信息,如主机名、操作系统版本、内部IP地址和MAC地址以及存储标识符(不传输磁盘信息)以识别受感染的系统。一个1024字节的缓冲区用于C2通信。
StartClient函数
接下来研究人员将进一步研究AlmondRAT的功能。在StartCommWithServer函数开始时,RAT为套接字设置20到30秒之间的随机接收超时。分析的样本总共接受七个不同的命令。REFRESH命令用作心跳信号,让C2服务器知道RAT仍处于活动状态,并以简单的OK进行回复。
DRIVE命令返回已连接存储设备的列表。
使用DELETE*命令,攻击者可以通过提供路径来删除可访问的文件。在权限不足的情况下,它将返回异常。命令字符串中的“*”用于分隔命令和文件路径。
基本C2函数
Almond RAT允许通过包装好的cmd.exe实例执行任意命令。它有自己的实现,通过cd修改目录,通过OK列出目录。CMD命令使用波浪号而不是星号来分隔命令的各个部分。
命令执行
除了通过命令提示符列出目录和文件的功能之外,RAT病毒还支持一个相当复杂的DIR*命令。它能够验证文件可访问性并显示元数据,比如上次文件写入时间。
目录和文件列表
由于Bitter的主要目标是间谍活动,他们需要一种方法将数据从系统泄露到C2服务器,这是通过DOWNLOAD*命令完成的。
为了将更多的恶意软件或其他文件放到系统中,它还支持UPLOAD*命令,该命令使用以下文件命名方案:yyyyMMdd-hhmmss_filename。
DOWNLOAD*和UPLOAD*函数
如果RAT收到来自操作员的未知命令,它将返回消息XXX以指示错误。
出现未知命令时的异常处理
Almond RAT的主要目的似乎是发现文件系统、数据导出以及加载更多工具/建立持久性。这些工具的设计方式似乎可以快速修改并适应当前的攻击场景。
下载器的临时服务器和RAT的临时服务器由HostSailor托管。下载器的命令与控制服务器由Namecheap托管,而用于AlmondRAT的命令与控制服务器由Nexeon Technologies托管。除了本报告中分析的样本外,在这四个域中没有检测到其他重要的恶意软件活动。
在调查这些DNS条目时,研究人员还注意到在30.05.2022上创建了194.36.191[.]196上的spurshipbroker[.]com的新记录。该域名似乎是印度海运和运输公司spurshipbrokers[.]com的所谓“typosquat”(冒名顶替)。在Bitter使用的这个Webhost/IP上,该记录在看似合法的虚拟主机和银行网站的域名仿冒之间脱颖而出。虽然研究人员目前没有进一步的证据表明这与Bitter的活动有关,但它确实符合该组织和海军主题诱饵的做法。
参考及来源:
https://www.secuinfra.com/en/techtalk/whatever-floats-your-boat-bitter-apt-continues-to-target-bangladesh/
原文始发于微信公众号(网络安全应急技术国家工程实验室):蔓灵花(BITTER)APT组织近期针对孟加拉国攻击活动的分析
