近期,360高级威胁研究院在日常威胁狩猎中多次发现APT-C-35(肚脑虫)组织的攻击活动。在本轮攻击行动中,该组织依然采用宏文档作为恶意载体,从自身释放恶意载荷并执行,通过层层下载的方式加载远控模块,从而实现窃密行动,并且整个过程的恶意代码均带有数字签名信息。
一、攻击活动分析
1.攻击流程分析
该组织近期攻击流程大致如下所示:
APT-C-35(肚脑虫)组织使用PPT或者XLS文档作为攻击载体,当受害者打开恶意文档时,会立即释放一个压缩包文件和批处理文件,并创建3个定时任务。其中Tls_SSL计划任务每隔4分钟执行批处理文件,批处理文件主要作用是将释放的压缩包进行解压操作,得到恶意可执行文件comd.exe,并删除Tls_SSL计划任务。My_Drive计划任务是定时执行comd.exe,comd.exe负责继续下载下一阶段载荷,同时下载一个批处理脚本作为Pls_SSL计划任务的启动项从而启动下载的载荷,载荷的主要功能为下载远控模块mnps.exe,从而实现恶意活动。
2.载荷投递分析
本轮攻击过程中,APT-C-35(肚脑虫)组织使用了大量的恶意PPT及XLS文档作为载体进行攻击,下面以某XLS恶意样本为例,样本信息如下。
|
文件名称 |
trix.xls |
|
文件大小 |
2.95 MB |
|
MD5 |
828174ee0a9f25eaad48957ced66b81d |
该文件为携带恶意宏的文档,打开的时候会提示受害者启用宏,并且宏被加密,受害者查看不到宏信息。
一旦宏代码执行,首先会弹出消息框,让用户误以为文档错误。该手法在APT-C-35(肚脑虫)组织中特别常见。
同时,恶意宏代码在C:UsersPublicMusic目录下先后下释comd.zip和pbs.bat文件。
接着创建三个计划任务,运行指定的文件,以此实现驻留。
其中名为Tls_SSL的计划任务运行pbs.bat文件,其功能就是解压comd.zip,并删除Tls_SSL任务,内容如下所示。
My_Drive任务就是执行解压后的恶意文件,从而开启完整攻击。
3.攻击组件分析
宏代码释放的压缩包,通过BAT文件解压得到第一阶段的载荷comd.exe信息如下:
|
文件名称 |
comd.exe |
|
文件大小 |
22.46 KB |
|
MD5 |
06e0d216969caa0dfd98269a860b153b |
该文件带有数字签名“maxforsec”,但是该签名已无效,具体如下图所示。
comd.exe是个Downloader,主要执行下载功能,执行时首先利用sleep延迟执行来规避沙箱检测。
然后分别从地址http://blogs.libraryutilitis.live/vrhkdkjrajksrjkaskdoneS/rbjhrkjahsrjejka下载得到pbs PE文件和从地址http://blogs.libraryutilitis.live/nrasjkhrsjkdrhkdfjkB/klrjajlrjklrkljaklrjklasklf下载得到pbs.bat,该批处理文件的功能是将pbs改名为creep.exe并执行,同时又由于pbs.bat是Pls_SSL计划任务的执行文件,从而以此实现了creep.exe的驻留。
第二阶段的creep.exe的信息如下:
|
文件名称 |
creep.exe |
|
文件大小 |
122.46 KB |
|
MD5 |
676a10be289cf8978af6cdbdba536678 |
|
编译时间 |
2022-11-01 |
最终载荷信息如下:
|
文件名称 |
mnps.exe |
|
文件大小 |
213.96 KB |
|
MD5 |
e55d17ba37bfba78dc4cdbd8cca9f36b |
|
编译时间 |
2022-10-06 |
签名信息与上阶段有所不同,签名信息为“fukuyashi”,如下图所示。
然后依次解密ServerName和ObjectName分别为“best.tasterschoice.shop”和“/ceioriakgfigalrj/”,并向http://best.tasterschoice.shop/ceioriakgfigalrj/发送请求,通过获取HTTP请求信息从而获取不同的指令。
本次捕获的组件共支持3个指令,指令功能如下:
-
ho12x: 下载文件到指定路径 -
c881a: 执行 %USERPROFILE%\rescache\Res\Segment\apinova.exe -
czr231:
执行 %USERPROFILE%\rescache\Res\Segment\donut.bat
二、技战法变化
-
恶意载荷之前攻击过程中主要是通过宏代码下载得到,本轮攻击中载荷主要是通过宏代码从自身释放压缩包并解压得到。
-
中间模块采用了EXE可执行文件的形式,不再一贯使用DLL作为中间攻击组件。
-
本次捕获的样本和以往样本除了在命令号不同以外,在解密算法上也进行了部分改变,之前的样本喜欢将字符串每位相减一个较小数进行解密,本次攻击中部分载荷也沿用了该方式,但是有些载荷也存在差异,不再是字符串每位减去固定数字,如下图所示,部分样本每次循环中字符串有些是减7,有些是减去10。
三、归属研判
-
本次捕获样本跟前期掌握的攻击样本比较相似,都是在%public%下释放zip文件,并都是使用批处理脚本方式进行解压执行,而且宏的混淆方式也相当类似,都是使用“*”号将关键字符进行分隔。
-
该组织善于通过Downloader程序一步一步进行加载最终载荷,并且喜欢在初始阶段就采用了sleep延迟执行的方法,本次攻击也不例外。并且Downloader程序在解密字符串方式上也是使用每位相减一个较小数的方式进行解密,本次使用减2,以往出现过减3、减6等情形。
-
该组织在文档中善于使用错误信息弹窗,来迷惑用户,此外CC格式通常也是域名加两级大小写字母拼接的目录格式(如http://blogs.libraryutilitis.live/vrhkdkjrajksrjkaskdoneS/rbjhrkjahsrjejka),本次攻击也都符合上述特点。综上,将本轮攻击归于APT-C-35(肚脑虫)组织。
MD5:
c9c77a74e732d8d4b37aab1037e6569a
C&C:
blogs.tourseasons[.]xyz
URL:
http://best.tasterschoice[.]shop/ceioriakgfigalrj/
360高级威胁研究院
原文始发于微信公众号(360威胁情报中心):APT-C-35(肚脑虫)组织近期攻击活动披露
