概述
近日,瑞星威胁情报中心发现了一起由Transparent Tribe
发起针对印度国防部门相关人员的攻击活动。捕获的样本名为Defence and security Agenda Point.ppt
,实际打开并启用宏后可见内容为一个会议的有关介绍及日程安排,会议讨论的内容是COVID-19疫情过去之后,印度如何改造自己的军事防御体系,并且会议将聚焦于印度的地缘战略抱负和挑战。根据其主要内容我们可以得知此次攻击事件的攻击目标为印度。
Transparent Tribe
是一家被怀疑为巴基斯坦政府支持的APT
组织,该组织又被称为透明部落
、APT36
、ProjectM
、Mythic Leopard
和EMP.Lapis
,其主要攻击目标为印度、阿富汗、哈萨克斯坦和沙特阿拉伯等国家,涉及行业多为教育、国防和政府等领域。
ATT&CK矩阵
战术 | 技术 | 具体行为 |
---|---|---|
TA0001 -初始访问 |
T1566 -网络钓鱼 |
我们推断本次攻击行动仍然以网络钓鱼为起始 |
TA0002 -执行 |
T1204 -用户执行 |
需要用户主动执行 |
TA0003 -持久化 |
T1547 -启动或登陆自动执行 |
本次攻击行动中使用的Crimson远控木马支持将自身添加至注册表以实现开机自启 |
TA0005 -防御规避 |
T1027 -混淆过的文件或信息 |
宏文档内包含的程序以及木马释放器内包含的程序均进行了压缩和编码 |
TA0007 -环境发现 |
T1083 -枚举文件和目录 |
本次攻击行动中使用的Crimson远控木马包含枚举文件和目录的相关指令 |
TA0007 -环境发现 |
T1057 -收集进程信息 |
本次攻击行动中使用的Crimson远控木马包含收集进程信息的相关指令 |
TA0007 -环境发现 |
T1082 -收集系统信息 |
本次攻击行动中使用的Crimson远控木马包含收集系统信息的相关指令 |
TA0009 -收集信息 |
T1113 -屏幕截图 |
本次攻击行动中使用的Crimson远控木马包含截屏指令 |
TA0011 -指挥与控制 |
T1105 -文件传输工具 |
本次攻击行动中使用的Crimson远控木马包含文件传输相关指令 |
TA0011 -指挥与控制 |
T1095 -非应用层协议 |
Crimson远控木马使用了自定义的TCP协议 |
TA0040 -影响 |
T1485 -数据销毁 |
本次攻击行动中使用的Crimson远控木马包含删除指定文件的指令 |
事件详情
上图展示的是用户运行恶意文档并启用宏后的部分可见内容,在这个会议介绍中提及了印度、COVID-19,并且幻灯片下方留下的联系方式均为印度的地址以及电话号码。
攻击流程
在攻击流程中,由一开始的PPT文档首先释放一个木马释放器并执行,同时释放并打开诱饵文档以迷惑用户。木马释放器释放出Crimson
远控木马并运行,随后远控木马与C2服务器通信以获取指令并执行相关操作。
样本分析
初始样本分析
字段 | 内容 |
---|---|
原始文件名 | Defence and security Agenda Point.ppt |
文件大小 | 1.20MB |
文件MD5 | 54D5743EFCC5511368C6C04BF6840A59 |
文件类型 | Microsoft PowerPoint 97-2003 演示文稿 |
病毒名 | Dropper.[TransparentTribe]Agent/VBA!1.C419 |
文档作者 | Adler |
文档最后修改日期 | 2021/6/15 1:06 |
此文档包含恶意宏代码,运行后宏代码将会执行以下两个操作:
- 获取
Application.OperatingSystem
属性以拿到系统版本号,通过查找其中是否包含6.01
来判断机器是否为Windows 7
系统,根据判断结果决定提取哪一个文本框的数据进行解码并释放恶意程序至%ALLUSERSPROFILE%\Hdrisair
目录,文件名为dihakhvartik.exe
,然后运行释放出来的程序- 解码方式为使用空格分割字符串,将每个分割出来的字符串识别为数值并转换为对应的字节
- 以同样的方式对存放在另一个文本框的数据进行解码,释放真正的诱饵文档(无害)至
%USERPROFILE%\Mdtmedia
目录,文件名为powerpoint.pptx
,然后调用PowerPoint的接口直接打开对应的演示文稿
木马释放器分析
字段 | 内容 |
---|---|
原始文件名 | dihakhvartik.exe |
文件大小 | 119KB |
文件MD5 | 88A2FBADB6D5B4AFBF39AEB196EF8D36 |
文件类型 | PEEXE |
病毒名 | Dropper.[TransparentTribe]Agent/MSIL!1.D76A |
主要功能 | 释放并运行Crimson远控木马 |
备注 | 此处只分析Windows 7环境下宏文档释放的恶意程序,非Windows 7环境下释放的恶意程序与其无明显差异 |
程序使用VB.NET
编写,主要执行以下两个操作:
- 尝试解压存放在公共文档模板文件夹内名为
dihakhvartik.zip
(文件名与本程序执行时的文件名一致)的压缩包,然后尝试执行文件夹内所有后缀为.fod
的文件
- 判断系统版本,先释放一个压缩包至
%ALLUSERSPROFILE%\Hithviwia
目录并解压缩,然后根据系统版本读取相应的子文件并解码、解压缩,写入数据至相同目录,文件名为trbgertrnion.exe
,随后执行。数据编码方式与之前宏文档内的数据编码方式完全一致
远控木马分析
字段 | 内容 |
---|---|
原始文件名 | trbgertrnion.exe |
文件大小 | 10.2MB |
文件MD5 | 6D88DCB578CEF59D3D0244D1E93B0F57 |
文件类型 | PEEXE |
病毒名 | Backdoor.Crimson!1.CA75 |
后门版本号 | S.D.0.1 |
C2地址 | 167.160.166.80 |
备注 | 此处只分析Windows 7环境下木马释放器释放的Crimson远控木马,非Windows 7环境下释放的恶意程序与其无明显差异 |
最终释放的恶意程序为Crimson
远控木马,是一款由.NET
编写的远控木马,此木马经常被Transparent Tribe
组织所使用,此处不再进行过多的分析。下面是本次攻击事件中使用到的样本支持的远控指令及对应功能:
指令 | 功能 |
---|---|
praocl procl |
枚举进程信息 |
enadpo endpo |
结束指定PID对应的进程 |
scarsz scrsz |
配置截屏大小 |
csacrdn cscrdn |
截取屏幕 |
diars dirs |
枚举驱动器信息 |
staops stops |
停止截屏 |
fialsz filsz |
获取指定文件的基本信息(文件名、创建时间、大小) |
ruapth rupth |
获取本程序所在文件夹的路径 |
doawf doawr dowf dowr |
从C2服务器获取文件并写入至指定位置 |
cnals cnls |
停止数据传输和截屏 |
scaren scren |
开始截屏 |
thaumb thumb |
获取指定位置图片的缩略图和基本信息 |
puatsrt putsrt |
将程序路径写入至注册表以实现开机自启 |
udalt udlt |
从C2服务器获取特定程序,写入至本程序所在文件夹并执行(可能用于自更新) |
dealt delt |
删除指定文件 |
inafo info |
获取系统信息(计算机名、用户名、系统版本号)及本程序相关信息(版本号、所在文件夹的路径) |
ruanf runf |
执行指定程序 |
afaile afile |
查找并上传指定文件 |
liastf listf |
按照指定后缀查找文件并回传其基本信息 |
flaes fles |
枚举指定目录下的文件 |
fladr fldr |
枚举指定目录下的子目录 |
关联分析
瑞星在今年的早些时候也捕获了几起与Transparent Tribe
相关的攻击事件,相关的恶意文档运行后最终都将释放Crimson
远控木马并运行:
- 攻击事件1:攻击者投递的诱饵文档内容中带有无序的中文字样,猜测诱饵文档应是随机生成,攻击目标可能在中国,诱饵文档内还带有虚假的信息来提示文件内容已损坏
- 攻击事件2:此次攻击事件主要针对印度国防大学
NATIONAL DEFENCE COLLEGE(NDC)
的攻击事件,攻击者投放的样本是个带宏文档的PPT,名为NDCUpdates.ppt
。诱饵文档的内容和印度国防大学NATIONAL DEFENCE COLLEGE(NDC)
相关
- 攻击事件3:攻击者投递的诱饵文档内容为个人简历,简历中的人名为
Nisha Arora
,来自印度
总结
APT
攻击有着针对性强、组织严密、持续时间长、高隐蔽性和间接攻击的显著特征,针对的目标都是具有重大信息资产,如国家军事、情报、战略部门和影响国计民生的行业如金融、能源等,国内相关政府机构和企业单位务必要引起重视,加强防御措施。
预防措施
-
不打开可疑文件。
不打开未知来源的可疑的文件和邮件,防止社会工程学和钓鱼攻击。
-
部署网络安全态势感知、预警系统等网关安全产品。
网关安全产品可利用威胁情报追溯威胁行为轨迹,帮助用户进行威胁行为分析、定位威胁源和目的,追溯攻击的手段和路径,从源头解决网络威胁,最大范围内发现被攻击的节点,帮助企业更快响应和处理。
-
安装有效的杀毒软件,拦截查杀恶意文档和木马病毒。
杀毒软件可拦截恶意文档和木马病毒,如果用户不小心下载了恶意文件,杀毒软件可拦截查杀,阻止病毒运行,保护用户的终端安全。
瑞星ESM目前已经可以检出此次攻击事件关联的恶意宏文档以及释放的恶意程序
- 及时修补系统补丁和重要软件的补丁。
沦陷信标(IOC)
-
MD5
54D5743EFCC5511368C6C04BF6840A59 677912B8A794016CE9ED7E15DC9B29E0 88A2FBADB6D5B4AFBF39AEB196EF8D36 6D88DCB578CEF59D3D0244D1E93B0F57 8D3690CE3EA7026A252C7CBD7493E29F
-
IPV4
167.160.166.80