APT-C-56(透明部落)伪装简历攻击活动分析

APT 1年前 (2023) admin
1,052 0 0
APT-C-56
  透明部落
APT-C-56(透明部落)别名Transparent Tribe、APT36、ProjectM、C-Major,是一个具有南亚背景的APT组织,其长期针对周边国家和地区(特别是印度)的政治、军事进行定向攻击活动,其开发有自己的专属木马CrimsonRAT,还曾被发现广泛传播USB蠕虫。
其一直针对印度的政府、公共部门、各行各业包括但不限于医疗、电力、金融、制造业等保持高强度的信息窃取活动。
在今年年初,透明部落与SideCopy被发现利用相同的基础设施并使用相同主题针对相似目标行动,其利用走私情报相关诱饵、伪装印度国防部邮件针对印度频频发起攻击。我们还发现了其利用外链针对外贸行业的攻击活动。

近日,360高级威胁研究院监测到了疑似透明部落的一批攻击活动样本。我们推测是之前行动未被发现的样本,样本利用诱饵文档最终释放其专属木马CrimsonRAT。

 一、攻击活动分析 

1.攻击流程分析

利用伪装简历的诱饵文档进行攻击活动。通过Dropper释放CrimsonRAT对中招用户持续监控。

2.载荷投递分析

2.1 伪装文档

APT-C-56(透明部落)伪装简历攻击活动分析

我们捕获的样本名字是Sonam kaur_2,文档名称类似样本下面这个文件名称是Sonam Singh的文档,同样采用人名作为文档名称,Sonam Singh的文档内部是一份个人工作简历。

我们推测是同一批攻击行动,与之不同的是,我们捕获的恶意文档打开内部只包含宏代码,一旦用户疏忽点击了启动宏功能,内部隐藏的恶意宏代码自动运行。

APT-C-56(透明部落)伪装简历攻击活动分析

我们还在推特找到了同名账户,在简介处我们可以发现地位位置在孟买,并且是一家财富咨询公司。推文更新截止时间为2021年7月,虽然这与我们推测的行动时间相一致,暂时无法判断这个推特与文档是否有关联。

APT-C-56(透明部落)伪装简历攻击活动分析

宏代码在ALLUSERSPROFILE目录下伪装成Mdiaz相关程序,从恶意文档的指定结构中读取隐藏的数据并写入文件中,可以看出APT-C-56(透明部落)利用简单的字符串拼接技术,对exe字符进行拆解,以躲避杀毒引擎的静态查杀。

APT-C-56(透明部落)伪装简历攻击活动分析

启动释放的恶意PE程序,同时进一步读取内部隐藏的正常文本文档数据,释放到worddcs.docx,最后打开这个文档伪装迷惑用户。

APT-C-56(透明部落)伪装简历攻击活动分析

2.2 Dropper

释放的PE文件是一个.Net的Dropper程序。首先判断是否存在zip文件,如果不存在将读取资源节并将其中的数据写入文件,如果存在则删除后重新写入。

APT-C-56(透明部落)伪装简历攻击活动分析

判断目录下是否有以.ford为后缀的文件,如果有,直接创建启动文件。没有指定后缀文件则直接进入后续释放流程。

APT-C-56(透明部落)伪装简历攻击活动分析

APT-C-56(透明部落)伪装简历攻击活动分析

随后判断资源内是否存储有后门RAT,如果没有,通过网络连接从C&C下载并运行。

APT-C-56(透明部落)伪装简历攻击活动分析

3.攻击组件分析

下载后释放的RAT后门伪装成FireFox浏览器,是透明部落一直维护和使用的CrimsonRAT。

APT-C-56(透明部落)伪装简历攻击活动分析

APT-C-56(透明部落)伪装简历攻击活动分析

    控制码与命令如下:

指令

控制码

枚举进程

gey7tavs

上传gif

thy7umb

枚举进程

pry7ocl

设置自启动

puy7tsrt

下载文件

doy7wf

设置截屏

scy7rsz

获取文件属性

fiy7lsz

查看截图

cdy7crgn


csy7crgn


csy7dcrgn

停止截屏

sty7ops

桌面截图

scyr7en

获取磁盘信息

diy7rs

参数初始化

cny7ls

删除文件

dey7lt

获取文件信息

afy7ile

删除用户

udy7lt

搜索文件

liy7stf

获取用户信息

iny7fo

执行文件

ruy7nf

移动文件

fiy7le


 二、归属研判 

通过宏代码的相似以及CrimsonRAT判断这是APT-C-56(透明部落)的攻击活动, 此次发现的样本,与我们之前发布的APT-C-56(透明部落)攻击分析报告有多处相似的地方。

1.与之前攻击行动相关分析

1.1宏代码相似

    下图为之前披露行动中的分析:

APT-C-56(透明部落)伪装简历攻击活动分析

    下图为此次攻击行动中的分析:

APT-C-56(透明部落)伪装简历攻击活动分析

1.2 Dropper相似

    下图为之前披露行动中的分析:

APT-C-56(透明部落)伪装简历攻击活动分析

    下图为此次攻击行动中的分析:

APT-C-56(透明部落)伪装简历攻击活动分析

2.与之前行动差异分析

上次的攻击活动直接通过资源释放RAT。

APT-C-56(透明部落)伪装简历攻击活动分析

此次发现的样本通过网络连接下载后续RAT。

APT-C-56(透明部落)伪装简历攻击活动分析


总结

印巴冲突因为边境、文化、种族、历史等原因一直存在,地缘冲突导致的军事、政治刺探始终是该区域的主旋律,印巴之间APT组织之间相互伪装、攻击的事件时有发生,主要是为了迷惑安全厂商分析人员,达到避免暴露自身的目的。巴基斯坦的sidecopy组织一直模仿响尾蛇的攻击方式,是否印度组织也会模仿透明部落的进行攻击活动。

混乱的局势往往代表着各国之间经济、军事、网络安全能力的较量,通过网络攻击活动占领情报先机,维护国家安全也显示越发重要。


附录 IOC

fdb9fe902ef9e9cb893c688c737e4cc7
ccc33eff063e44fad0fc3e6057b1bcd9
0f9f34e3e872e57446ffdcfa90a7b954
35e481dec398f206d0be12bc98ccc17a
33ea133da15dc060b7709558c97209d2
860da5abde63a42b3fbd8202d0cff6d2
8e642dd589e53347555a7b2596512ed7
23.254.119.234:6178







360高级威胁研究院

360高级威胁研究院是360数字安全集团的核心能力支持部门,由360资深安全专家组成,专注于高级威胁的发现、防御、处置和研究,曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击,独家披露多个国家级APT组织的高级行动,赢得业内外的广泛认可,为360保障国家网络安全提供有力支撑。

原文始发于微信公众号(360威胁情报中心):APT-C-56(透明部落)伪装简历攻击活动分析

版权声明:admin 发表于 2023年2月14日 上午11:41。
转载请注明:APT-C-56(透明部落)伪装简历攻击活动分析 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...