概述
近日,瑞星威胁情报中心发现了一起由Transparent Tribe发起针对印度国防部门相关人员的攻击活动。捕获的样本名为CSD hire purchase list aug 2021.xlsx,中文名为2021年8月CSD租购清单,其中CSD为国防食堂商店部门的缩写,属于印度国防部的下属企业,负责为印度武装部队提供民生用品。此次攻击活动推测是由钓鱼邮件开启,诱骗特定用户打开包含恶意宏的诱饵文档,执行宏代码后下载并执行自定义的.NET远控木马,通过与C2服务器通信从而实现信息窃取和远程控制。
Transparent Tribe是一家被怀疑为巴基斯坦政府支持的APT组织,该组织又被称为透明部落、APT36、ProjectM、Mythic Leopard和EMP.Lapis,其主要攻击目标为印度、阿富汗、哈萨克斯坦和沙特阿拉伯等国家,涉及行业多为教育、国防和政府等领域。
ATT&CK矩阵
| 战术 | 技术 | 具体行为 |
|---|---|---|
TA0002-执行 |
T1047–WMI |
使用WMI服务获取本地时区 |
TA0002-执行 |
T1204-用户执行 |
需要用户主动执行 |
TA0003-持久化 |
T1547-启动或登陆自动执行 |
系统启动目录创建指向恶意木马的快捷方式 |
TA0005-防御规避 |
T1036-伪装 |
释放的远控木马及中间文件修改文件名伪装成正常文件 |
TA0005-防御规避 |
T1027-混淆过的文件或信息 |
下载的木马下载器文件及远程发送的命令均进行了加密和混淆 |
TA0007-环境发现 |
T1057-收集进程信息 |
收集被入侵主机的进程列表 |
TA0007-环境发现 |
T1518-收集软件信息 |
收集被入侵主机的反病毒软件信息 |
TA0007-环境发现 |
T1614-获取系统地理位置 |
宏代码通过收集本地时区,从而判断主机的地理位置 |
TA0007-环境发现 |
T1016-收集系统网络配置 |
远控木马收集本机IP信息回传给C2服务器 |
TA0007-环境发现 |
T1033-探测系统所有者/用户 |
收集被入侵主机的用户名 |
TA0011-指挥与控制 |
T1105-文件传输工具 |
使用的远控木马具传送文件的功能 |
事件详情
本次活动的恶意工具并非本地释放而是远程下载到本地的,并且远程打开位于GitHub中的白名单文档,尚不确定这种方式是否是该组织新增的攻击方式。在同一GitHub账户中还发现了另一个以DSOI为名的仓库(DSOI中文名国防军官俱乐部,专门为印度武装部队的高级军官提出餐饮、娱乐服务的机构,里面存储的文档是一些该机构会员的个人信息),猜测此次披露的攻击活动是Transparent Tribe在8月份针对印度国防部门的一系列活动的一部分。
攻击流程
在此次活动的攻击流程中,原始的Office文档会首先判定系统时区,决定是否执行,然后下载符合环境的.NET木马下载器并执行,接着打开存放于GitHub上的诱饵白名单文档。为规避流量检测,木马下载器下载的是AES加密后的文件,本地解密后伪装成Cynet公司的程序与远程C2服务器进行通信。
样本分析
初始样本分析
| 字段 | 内容 |
|---|---|
| 原始文件名 | CSD hire purchase list aug 2021.xlsx |
| 文件大小 | 45.5KB |
| 文件MD5 | D061DAB09CE1480D9317B79BF0A15A71 |
| 文件类型 | Excel |
| 病毒名 | Downloader.[TransparentTribe]Agent/VBA!1.D8BC |
该样本为内嵌恶意宏代码的excel文档,通过文件名诱骗用户主动执行,其后执行宏代码下载远控木马从而启动攻击行动。其宏代码如下。
宏代码结构清晰简单,主要分两个功能:判断时区和下载执行木马下载器。
- 判定时区。获取本机时区,时区信息经处理后通过与字符串
Chennai、Kolkata、Mumbai、New Delhi比较来判断机器是否为印度时间,因为是字符串直接比较,所以本机的系统语言必须为英语,不然也无法通过判断。 - 下载并执行木马。首先判断本机
.NET版本,从而选择适合不同版本的木马下载器,其下载地址如下。- http[:]//zoneflare[.]com/smrcservice.exe
- http[:]//zoneflare[.]com/smrvservice.exe
木马下载器分析
| 字段 | 内容 |
|---|---|
| 原始文件名 | smrcservice.exe |
| 文件大小 | 120KB |
| 文件MD5 | 3724258A695341954CDB45FBF5DA9923 |
| 文件类型 | EXE |
| 病毒名 | Downloader.[TransparentTribe]Agent/MSIL!1.D8BE |
| 主要功能 | 下载并运行自定义远控木马 |
该程序由初始文档下载,其主要功能是作为下载器使用,负责下载最终阶段的远控木马。程序的主函数代码结构很简单,代码如下。
由上图可知,代码功能主要分三部分:
- 判断时区:比较字符串为
India Standard Time,这里与恶意文档代码重复,猜测此工具并非单独为此次攻击活动开发。 - 打开特定文档,此文档可视为入侵标志,下载器执行结束前会创建此文件,以防止重复操作。
- 主要功能:下载加密文件,落地后解密并执行,代码如下。
上图中的Bake函数首先是判断本机.NET版本是否符合要求,通过检测是否存在C:\\Windows\\Microsoft.NET\\Framework\\v4.0.30319文件夹来进行判断。此处的功能与诱饵文档又是重复了,再次说明该工具是Transparent Tribe组织专门开发的,并非专为此次活动开发,猜测在后续攻击活动中还会继续使用,可持续监控。
下载的文件伪装成.mp3文件,但是其内容是一段加密字符串,需要先base64解码,然后使用本地key进行AES解密,代码如下。
解密之后的数据存放本地,路径为C:\\ProgramData\\Internet Explorer\\CynetCloud.exe,伪装成Cynet公司的文件,然后执行此文件。代码如下
远控木马分析
| 字段 | 内容 |
|---|---|
| 原始文件名 | CynetCloud.exe |
| 文件大小 | 127.5KB |
| 文件MD5 | 908F0BF164379FFF5A0A99B73FE64CA7 |
| 文件类型 | EXE |
| 主要功能 | 负责与远程服务器通信的木马 |
此文件初步判定为自定义的远控木马,除了基本信息表中备注所示之外,另一个重要原因是因为代码中有几个重要的自定义变量没有被使用,说明该工具尚未开发完成,尚欠缺一些功能,后续可以持续监控。相关代码如下.
其中KeyWords.scrn猜测是与屏幕截图有关。
- 主模块
木马程序的主模块共有四个功能模块,包括模块Run、模块RecCom、模块ConEndAsync、模块Sender。
- 收集信息
方法CreateID收集本机进程列表,另外几个方法分别是搜集系统用户名、机器名、本机IP、出口IP、系统版本及本机防病毒产品信息等。
- 本地持久化
方法CreateNonStop负责本地持久化操作,实现方式是在系统Startup目录创建名为cynetcloud.url的快捷方式,其内容格式为:[InternetShortcut]\nURL=file:///当前运行模块绝对路径,快捷方式指向当前正在运行的恶意木马。
- 远控指令及相关功能
样本自定义指令及对应功能,其中x004、x005和x006是服务器向攻陷主机传送不同数据的标志,因为C2服务器已经关闭,无法确定具体传送的是什么数据。标志不同,存放到本地的路径不同,猜测执行不同的功能。
| 指令 | 功能 |
|---|---|
Kai:x001 |
发送入侵成功标志 |
enc:x002 |
发送加密后的本地信息 |
recon:x003 |
通知服务器重启连接 |
runner:x004 |
接收数据,数据存储本地并执行 |
srt:x005 |
接收数据,数据存储本地并执行 |
sch:x006 |
接收数据,数据存储本地并执行 |
web:x007 |
接收数据,数据为下载地址及文件名 |
scrn:x008 |
暂未使用 |
关联的Github分析
存放白名单诱饵文档的GitHub账户目前已经关闭,但是根据分析样本时的截图可知,此账户于8月4日创建,接着几天内攻击者创建了6个仓库,其中名为csd的仓库在本次攻击事件中被使用。合理猜测另外几个仓库应该是在针对其他部门的钓鱼活动中会使用到的,只是暂未捕获到相关样本,瑞星后续会持续进行监控。
下图为在GitHub账号关闭前下载的文件目录表,其中仓库dsoi存放的几个文档是一些印度高级军官的个人信息表。Dsoi是印度的一家军官俱乐部,采用会员制,这几位高级军官应该是此机构的会员。
查询文件中包括一些关键人物的个人信息,比如此人是印度现役中将,职位是印度安达曼和尼科巴部队司令。
总结
APT攻击有着针对性强、组织严密、持续时间长、高隐蔽性和间接攻击的显著特征,针对的目标都是具有重大信息资产,如国家军事、情报、战略部门和影响国计民生的行业如金融、能源等,国内相关政府机构和企业单位务必要引起重视,加强防御措施。
预防措施
-
不打开可疑文件。
不打开未知来源的可疑的文件和邮件,防止社会工程学和钓鱼攻击。
-
部署网络安全态势感知、预警系统等网关安全产品。
网关安全产品可利用威胁情报追溯威胁行为轨迹,帮助用户进行威胁行为分析、定位威胁源和目的,追溯攻击的手段和路径,从源头解决网络威胁,最大范围内发现被攻击的节点,帮助企业更快响应和处理。
-
安装有效的杀毒软件,拦截查杀恶意文档和木马病毒。
杀毒软件可拦截恶意文档和木马病毒,如果用户不小心下载了恶意文件,杀毒软件可拦截查杀,阻止病毒运行,保护用户的终端安全。
-
及时修补系统补丁和重要软件的补丁。
沦陷信标(IOC)
-
MD5
d061dab09ce1480d9317b79bf0a15a71 3724258a695341954cdb45fbf5da9923 ad6b62809dc4188ed90586ccc62d7d9f 15429a46a5142bca8be0d60490e50762 953bb2b7296ffc9ee915c90adaf6a716 9afb28ccdcb845645945d61c708c652d 908f0bf164379fff5a0a99b73fe64ca7 -
URL
hxxp://zoneflare.com/smrcservice.exe hxxp://zoneflare.com/smrvservice.exe -
IPV4
45.147.228.195