【高级威胁追踪】蔓灵花组织2023年初攻击行动汇总与新组件分析

BITTER组织，又被称“蔓灵花”、“APT-C-08”、“T-APT-17”以及“苦象”，常对南亚周边及孟加拉湾海域的相关国家发起网络攻击，主要针对政府（外交、国防）、核工业、能源、国防、军工、船舶工业、航空工业以及海运等行业进行攻击。该组织在在 2021 到2023 年初一直保持活跃的状态。其常用打点技巧为鱼叉攻击，向目标投递带 lnk 与 chm 恶意附件的邮件，在 2023 年初并未发生较大变化，且该组织已向多个目标投递恶意邮件进行攻击，部分恶意附件信息如下。

其投递恶意 chm 文件，诱导目标执行该文件创建恶意计划任务下载第二阶段载荷，命令行使用字符 ‘^’ 进行混淆，创建计划任务下载执行第二阶段载荷，自 2021 年以来，该攻击手法没有发生较大变化。在最新的攻击行动中，我们观察到其使用了新的组件进行攻击。

另外我们还观察到该组织疑似攻陷了巴基斯坦相关的内衣网站作为其载荷托管点，“http://mirzadihatti[.]com/css/try.php”与“http://guppu[.]pk/log/try.php”，该类网站都为wordpress站点，我们怀疑 BITTER 组织会长期攻陷目标境内wordpress站点以作为载荷托管中心。

在部分计划任务下载的第二阶段载荷中，其下载 “CERT.msi”文件释放了远控组件 scroll_.exe，其详细信息如下表。经过分析，确认该文件为 BITTER 组织一直在使用的内部命名为 BDarkRAT 远控的组件，在这次事件中对其进行了混淆，该组件由DarkAgent开源项目修改而成，其参考的开源项目地址为https://github.com/ilikenwf/DarkAgent。

该组件与以往的版本相比，其对源码进行了混淆，下列对比图可看到其网络数据 xor 加密 key 并没有改变，还是745930==0xb61ca，其会使用末尾字节 0xca 对通信流量进行加密。

根据其之前使用版本，其首先会使用 wmi 接口获取目标机器基本信息（系统名称、架构 、MAC 地址等），最后附加版本信息使用 xor 加密并发送。

根据获取的沙箱流量数据包，对该数据包解密发现其版本为 “1.0”，与其他的 “7.0/m1.0” 版本存在一定的差异。

除了上述已知的远控外，我们还发现该组织将开源项目“Lilith”-https://github.com/werkamsus/Lilith与以往的下载器结合，为了便于区分将其命名为BLilithRAT，其相关信息如下表，与友商披露的 “wmRAT” 似乎存在些微差别。

查看该组件的资源数据，字符串标识说明其版本为 “client 1.1”。

初始执行时该组件执行大量睡眠操作以加强反分析，并且其字符串信息与以往一样还是进行简单移位加密。

其在以往下载器的基础上将 “Lilith” 融合进其功能中。

其主要功能如下表。

BITTER 组织的入口打点能力并未发生多大变化，但从实际观测情况分析，其攻击效果还是挺不错的。另外，其不断增强相关组件的反分析能力，并积极使用开源项目构建相关武器，但二次开发的攻击组件也未明显观察到规范的开发特征，甚至存在一定的混乱。

深信服高级威胁团队专注全球高级威胁事件的跟踪与分析，拥有一套完善的自动化分析溯源系统以及外部威胁监控系统，能够快速精准的对 APT 组织使用的攻击样本进行自动化分析和关联，同时积累并完善了几十个 APT 以及网络犯罪威胁组织的详细画像，并成功帮助客户应急响应处置过多个 APT 及网络犯罪威胁组织攻击事件，未来随着安全对抗的不断升级，威胁组织会研究和使用更多新型的 TTP，深信服高级威胁团队会持续监控，并对全球发现的新型安全事件进行深入分析与研究。

https://mp.weixin.qq.com/s/IZNl6N2K1LUU7e1hT4JeYw