2021年2月15日,一个疑似名称为Kasablanka的组织针对孟加拉国银行和包括孟加拉国警察局、伊斯兰银行在内的多个金融、政府组织发起网络攻击。研究表明,Kasablanka组织开发有自己专用的LodaRAT,利用AutoIt脚本语言编写,同时开发人员也已将Android添加为目标平台。
近期,360高级威胁研究院在日常情报挖掘中发现并捕获到了该组织针对Windows和Android两个平台的攻击活动。Windows端利用军事经济热点事件伪装成PDF文档并使用LodaRAT发起攻击。Android端则利用钓鱼网站等针对也门政治团体或公益组织进行攻击,并且攻击工具开始使用SpyNote家族。通过对攻击活动的分析,我们推测该组织不简简单单是为了获取经济利益,其动机似乎更倾向于信息收集和间谍活动。
1. Android端
1.1 载荷投递
我们在移动端发现攻击者会通过钓鱼网站进行样本的投递,另外攻击者还会使用Mediafire存储平台进行样本的存储。
钓鱼网站伪装成也门联合国儿童基金会网站,以声称提供移动端应用程序进行载荷投递,样本存储于钓鱼网站。该钓鱼网站从2021年7月开始投入使用,至今仍然活跃。
钓鱼网站
Mediafire存储平台链接失效
1.2 伪装对象
伪装对象除了上面提到的也门联合国儿童基金会,还包括联合国、联合国儿童基金会供应司、通话软件以及疑似也门武装部队联合行动等。通过伪装对象,我们分析受害者应该是也门的政治团体或公益组织。
伪装对象图标
1.3 SpyNoteRAT
在此次攻击行动中移动端使用了SpyNoteRAT,这是一款功能强大的商业间谍软件,具有强大的的功能,以及管理平台。其主要功能为:
-
文件管理
-
短信管理
-
通话记录管理
-
联系人管理
-
位置管理
-
账号管理
-
键盘记录
-
手机设置
-
拨打电话
-
拍照、录音、录像
-
实时录音
-
实时录像
-
获取应用列表
-
执行 shell 命令
-
聊天功能
2. Windows端
2.1 LodaRAT
2.1.1 伪装对象
样本是AutoIt编写的RAT,通过upx加壳,最后伪装成PDF文档诱使用户点击打开。
2.1.2 伪装文档
为了避免引起用户的怀疑,样本运行后会释放出隐藏在内部的一个正常PDF文件,让用户以为自己打开了正确的PDF文档,这个PDF文档的标题与世界新闻发展公司薪酬委员会的留存总额、世界卫生组织收到的款项总额相关,内容涉及军事特遣队的伤员人数,主要列出了也门、印度、吉哈等国家。可以看出文档经过精心设计。
2.1.3 LodaRAT功能分析
释放伪装文档的同时,利用AutoIt编写的LodaRAT也已经后台运行。对AutoIt文件解包反编译,可以看出Loda 结合使用字符串混淆和函数名随机化的混淆方式。下图显示了来自 Loda 的混淆代码,其中包含随机函数名称和字符串混淆。
我们在分析中发现了两个LodaRAT的变种,一个进行了混淆,一个没有,下面通过对比混淆样本中解密出来的字符串与未混淆版本的功能。
我们通过解密混淆版本的字符串与函数名称,可以看出混淆后的LodaRAT和未混淆版本的对比。
通过sleep干扰沙箱分析。
图:解密函数字符串对应的功能
图:未混淆版本的功能分析
检测是否存在杀毒软件运行
图:解密函数字符串对应的功能
图:未混淆版本的功能分析
屏幕截图
图:解密函数字符串对应的功能
图:未混淆版本的功能分析
录音
图:解密函数字符串对应的功能
图:未混淆版本的功能分析
计划任务自动启动,添加注册表文件并创建计划任务自动启动
图:解密函数字符串对应的功能
图:未混淆版本的功能分析
Filezilla信息窃取,LodaAPT尝试窃取存储在 filezilla recentservers.xml的文件内容。Xml内包含Filezilla最近连接到的IP地址、用户名、密码。
图:解密函数字符串对应的功能
图:未混淆版本的功能分析
LodaRAT中一直存在一个无效的函数 QURAN。使用Windows Media Player中从流mms://live.mp3quran[.]net:9976播放《古兰经》。
图:解密函数字符串对应的功能
图:未混淆版本的功能分析
2.2. NanocoreRAT伪装程序
2.2.1 伪装对象
该后门样本伪装成PDF文件。
2.2.2 NanocoreRAT伪装程序功能分析
主要功能如下:
-
监控屏幕
-
键盘记录
-
窃取浏览器中保存的密码
-
文件管理
-
进程管理
-
开启摄像头
代码片段:
2.3 njRAT
2.3.1 伪装对象
和前两种RAT的伪装对象不同,njRAT的伪装对象是伪装成Windows的server.exe程序。
njRAT主要功能如下:
-
获取目标计算机系统信息
-
屏幕截图
-
浏览器数据
-
键盘记录
-
植入其他攻击组件
代码片段:
3. 组织信息
鉴于LodaRAT为Kasablanka组织的特有攻击武器,因此我们将此次攻击活动归属于Kasablanka组织。同时,我们总结了本次攻击活动的如下新发现:
在之前的孟加拉银行攻击行动中,Kasablanka组织似乎不仅仅是因为经济利益攻击孟加拉国,其一直针对孟加拉国政府、组织有特定的攻击活动来搜集信息并进行间谍活动,此次利用伪装成也门公益组织的钓鱼网站也证明其不简简单单是为了经济目的,LodaRAT的开发人员也已将Android添加为目标平台并使用多种攻击武器,更说明该组织在某种程度上具备了APT的部分特性。
特定组织针对特定国家的攻击行动不止局限于政治、军事,各国的经济活动也被囊括其中,包括孟加拉国银行被窃案,金融系统的木马钓鱼事件一直不断发生,我们提醒广大用户、单位应该提升安全防护意识,增强安全基础设施建设,加大安全投入力度,才能更好的防范网络安全攻击。
PC:
01ab5e91c2e4ef44a680f064a27a016e
81fe09e259f52c540236504a20fe3f42
8f9aaf6a4e2ec8da766f60b5783160ff
c4901685e46e0978a75242e3e9ed647d
0ad9c373aee990066897c60e1109acff
bd2cf787b6037a845fbdd9dec7280985
64d1e1b3135ef4462e91f01e13b018a0
7687ytuyt78gfg.ddns.net
134.35.0.63
移动:
74a18d75d49631547d379e4cfbd11f63
96e6681047ff51a1838108532ccc7796
59cbac62d7fe3096c4b439c9f9c01d39
118de819a23fa9369815cea2752b0907
02fa9da5856aaae9cfd864a33cbf3af7
879df7eb62239ab2c9ac59aceb5f06bc
59faf2be1c266bdf7e04c9125f97e5e6
1b2223bf514e8446e7d07f1a31f4ce4b
1acc44c1ebe70864bea0407678df1d39
476b5ef5172eb0a6466471a9204d1790
http://unicexyemen.herokuapp.com/unjobs.apk?*
https://download2264.mediafire.com/q4ibbjmh8lug/l2334au6t0ddvt5/%D8%AA%D9%88%D8%A7%D8%B5%D9%84+%D8%A7%D9%84%D8%B9%D9%85%D9%84%D9%8A%D8%A7%D8%AA+%D8%A7%D9%84%D9%85%D8%B4%D8%AA%D8%B1%D9%83%D8%A9.apk
https://download947.mediafire.com/tdk2amcmzn6g/acchmwcqus8msdm/%D9%85%D9%86%D8%B8%D9%85%D8%A9+%D8%A7%D9%84%D9%8A%D9%88%D9%86%D8%B3%D9%81-%D8%A7%D9%84%D9%8A%D9%85%D9%86.apk
360高级威胁研究院
原文始发于微信公众号(360威胁情报中心):Kasablanka(卡萨布兰卡)组织针对中东地区政治团体和公益组织的攻击行动
