2021年6月:TransparentTribe组织针对印度的攻击事件分析报告

概述

  近日,瑞星威胁情报中心发现了一起由Transparent Tribe发起针对印度国防部门相关人员的攻击活动。捕获的样本名为Defence and security Agenda Point.ppt,实际打开并启用宏后可见内容为一个会议的有关介绍及日程安排,会议讨论的内容是COVID-19疫情过去之后,印度如何改造自己的军事防御体系,并且会议将聚焦于印度的地缘战略抱负和挑战。根据其主要内容我们可以得知此次攻击事件的攻击目标为印度。

  Transparent Tribe是一家被怀疑为巴基斯坦政府支持的APT组织,该组织又被称为透明部落APT36ProjectMMythic LeopardEMP.Lapis,其主要攻击目标为印度、阿富汗、哈萨克斯坦和沙特阿拉伯等国家,涉及行业多为教育、国防和政府等领域。

ATT&CK矩阵

战术 技术 具体行为
TA0001-初始访问 T1566-网络钓鱼 我们推断本次攻击行动仍然以网络钓鱼为起始
TA0002-执行 T1204-用户执行 需要用户主动执行
TA0003-持久化 T1547-启动或登陆自动执行 本次攻击行动中使用的Crimson远控木马支持将自身添加至注册表以实现开机自启
TA0005-防御规避 T1027-混淆过的文件或信息 宏文档内包含的程序以及木马释放器内包含的程序均进行了压缩和编码
TA0007-环境发现 T1083-枚举文件和目录 本次攻击行动中使用的Crimson远控木马包含枚举文件和目录的相关指令
TA0007-环境发现 T1057-收集进程信息 本次攻击行动中使用的Crimson远控木马包含收集进程信息的相关指令
TA0007-环境发现 T1082-收集系统信息 本次攻击行动中使用的Crimson远控木马包含收集系统信息的相关指令
TA0009-收集信息 T1113-屏幕截图 本次攻击行动中使用的Crimson远控木马包含截屏指令
TA0011-指挥与控制 T1105-文件传输工具 本次攻击行动中使用的Crimson远控木马包含文件传输相关指令
TA0011-指挥与控制 T1095-非应用层协议 Crimson远控木马使用了自定义的TCP协议
TA0040-影响 T1485-数据销毁 本次攻击行动中使用的Crimson远控木马包含删除指定文件的指令

事件详情

image

诱饵文档截图(第一张幻灯片)

  上图展示的是用户运行恶意文档并启用宏后的部分可见内容,在这个会议介绍中提及了印度、COVID-19,并且幻灯片下方留下的联系方式均为印度的地址以及电话号码。

攻击流程

image

攻击流程

  在攻击流程中,由一开始的PPT文档首先释放一个木马释放器并执行,同时释放并打开诱饵文档以迷惑用户。木马释放器释放出Crimson远控木马并运行,随后远控木马与C2服务器通信以获取指令并执行相关操作。

样本分析

初始样本分析

字段 内容
原始文件名 Defence and security Agenda Point.ppt
文件大小 1.20MB
文件MD5 54D5743EFCC5511368C6C04BF6840A59
文件类型 Microsoft PowerPoint 97-2003 演示文稿
病毒名 Dropper.[TransparentTribe]Agent/VBA!1.C419
文档作者 Adler
文档最后修改日期 2021/6/15 1:06

此文档包含恶意宏代码,运行后宏代码将会执行以下两个操作:

image

  • 获取Application.OperatingSystem属性以拿到系统版本号,通过查找其中是否包含6.01来判断机器是否为Windows 7系统,根据判断结果决定提取哪一个文本框的数据进行解码并释放恶意程序至%ALLUSERSPROFILE%\Hdrisair目录,文件名为dihakhvartik.exe,然后运行释放出来的程序
    • 解码方式为使用空格分割字符串,将每个分割出来的字符串识别为数值并转换为对应的字节

image

  • 以同样的方式对存放在另一个文本框的数据进行解码,释放真正的诱饵文档(无害)至%USERPROFILE%\Mdtmedia目录,文件名为powerpoint.pptx,然后调用PowerPoint的接口直接打开对应的演示文稿

木马释放器分析

字段 内容
原始文件名 dihakhvartik.exe
文件大小 119KB
文件MD5 88A2FBADB6D5B4AFBF39AEB196EF8D36
文件类型 PEEXE
病毒名 Dropper.[TransparentTribe]Agent/MSIL!1.D76A
主要功能 释放并运行Crimson远控木马
备注 此处只分析Windows 7环境下宏文档释放的恶意程序,非Windows 7环境下释放的恶意程序与其无明显差异

程序使用VB.NET编写,主要执行以下两个操作:

  • 尝试解压存放在公共文档模板文件夹内名为dihakhvartik.zip(文件名与本程序执行时的文件名一致)的压缩包,然后尝试执行文件夹内所有后缀为.fod的文件

image

image

image

  • 判断系统版本,先释放一个压缩包至%ALLUSERSPROFILE%\Hithviwia目录并解压缩,然后根据系统版本读取相应的子文件并解码、解压缩,写入数据至相同目录,文件名为trbgertrnion.exe,随后执行。数据编码方式与之前宏文档内的数据编码方式完全一致

image

image

远控木马分析

字段 内容
原始文件名 trbgertrnion.exe
文件大小 10.2MB
文件MD5 6D88DCB578CEF59D3D0244D1E93B0F57
文件类型 PEEXE
病毒名 Backdoor.Crimson!1.CA75
后门版本号 S.D.0.1
C2地址 167.160.166.80
备注 此处只分析Windows 7环境下木马释放器释放的Crimson远控木马,非Windows 7环境下释放的恶意程序与其无明显差异

最终释放的恶意程序为Crimson远控木马,是一款由.NET编写的远控木马,此木马经常被Transparent Tribe组织所使用,此处不再进行过多的分析。下面是本次攻击事件中使用到的样本支持的远控指令及对应功能:

指令 功能
praocl procl 枚举进程信息
enadpo endpo 结束指定PID对应的进程
scarsz scrsz 配置截屏大小
csacrdn cscrdn 截取屏幕
diars dirs 枚举驱动器信息
staops stops 停止截屏
fialsz filsz 获取指定文件的基本信息(文件名、创建时间、大小)
ruapth rupth 获取本程序所在文件夹的路径
doawf doawr dowf dowr 从C2服务器获取文件并写入至指定位置
cnals cnls 停止数据传输和截屏
scaren scren 开始截屏
thaumb thumb 获取指定位置图片的缩略图和基本信息
puatsrt putsrt 将程序路径写入至注册表以实现开机自启
udalt udlt 从C2服务器获取特定程序,写入至本程序所在文件夹并执行(可能用于自更新)
dealt delt 删除指定文件
inafo info 获取系统信息(计算机名、用户名、系统版本号)及本程序相关信息(版本号、所在文件夹的路径)
ruanf runf 执行指定程序
afaile afile 查找并上传指定文件
liastf listf 按照指定后缀查找文件并回传其基本信息
flaes fles 枚举指定目录下的文件
fladr fldr 枚举指定目录下的子目录

指令功能表

关联分析

  瑞星在今年的早些时候也捕获了几起与Transparent Tribe相关的攻击事件,相关的恶意文档运行后最终都将释放Crimson远控木马并运行:

  • 攻击事件1:攻击者投递的诱饵文档内容中带有无序的中文字样,猜测诱饵文档应是随机生成,攻击目标可能在中国,诱饵文档内还带有虚假的信息来提示文件内容已损坏

image

  • 攻击事件2:此次攻击事件主要针对印度国防大学NATIONAL DEFENCE COLLEGE(NDC)的攻击事件,攻击者投放的样本是个带宏文档的PPT,名为NDCUpdates.ppt。诱饵文档的内容和印度国防大学NATIONAL DEFENCE COLLEGE(NDC)相关

image

  • 攻击事件3:攻击者投递的诱饵文档内容为个人简历,简历中的人名为Nisha Arora,来自印度

image

总结

  APT攻击有着针对性强、组织严密、持续时间长、高隐蔽性和间接攻击的显著特征,针对的目标都是具有重大信息资产,如国家军事、情报、战略部门和影响国计民生的行业如金融、能源等,国内相关政府机构和企业单位务必要引起重视,加强防御措施。

预防措施

  1. 不打开可疑文件。

    不打开未知来源的可疑的文件和邮件,防止社会工程学和钓鱼攻击。

  2. 部署网络安全态势感知、预警系统等网关安全产品。

    网关安全产品可利用威胁情报追溯威胁行为轨迹,帮助用户进行威胁行为分析、定位威胁源和目的,追溯攻击的手段和路径,从源头解决网络威胁,最大范围内发现被攻击的节点,帮助企业更快响应和处理。

  3. 安装有效的杀毒软件,拦截查杀恶意文档和木马病毒。

    杀毒软件可拦截恶意文档和木马病毒,如果用户不小心下载了恶意文件,杀毒软件可拦截查杀,阻止病毒运行,保护用户的终端安全。

    瑞星ESM目前已经可以检出此次攻击事件关联的恶意宏文档以及释放的恶意程序

image

  1. 及时修补系统补丁和重要软件的补丁。

沦陷信标(IOC)

  • MD5

    54D5743EFCC5511368C6C04BF6840A59
    677912B8A794016CE9ED7E15DC9B29E0
    88A2FBADB6D5B4AFBF39AEB196EF8D36
    6D88DCB578CEF59D3D0244D1E93B0F57
    8D3690CE3EA7026A252C7CBD7493E29F
  • IPV4

    167.160.166.80

Author