蔓灵花(Bitter)组织近期针对我国政府部门、科研机构发起攻击
背景
“蔓灵花”又名“BITTER”,一个长期针对中国及巴基斯坦的政府、军工、电力、核等部门发动网络攻击,窃取敏感资料,具有较强的政治背景的APT组织。
该组织活动较为频繁,近期安恒威胁情报中心捕获到该组织以“海事政策分析和对南亚的港口安全影响”、“2020年自主研发项目立项论证报告”等主题对我国政府部门、科研机构相关人员发起定向攻击。
并且发件人为国内某船舶贸易公司邮箱,那么邮箱账号可能已被该组织掌握。
并且在月初友商对蔓灵花活动的披露中,该组织使用样本“开证装期邮件.pdf.exe”,引起我们注意,诱饵文件内容中包含邮件信息截图,截图中收件方邮箱地址与此次我们监测到的样本中发件方同为该船舶贸易公司邮箱。
按照攻击事件发生时间、对应邮箱地址等综合推测,蔓灵花组织先攻击了该船舶贸易公司,并从中获取了一些信息,其中包括这个发件人邮箱,然后再通过这个邮箱发送钓鱼邮件给其他目标如政府部门、科研机构相关人员。
分析
附件为chm文档,
内置恶意html文件,会并从远程服务器下载后续载荷执行,URL地址如下:http://windiagnosticsvc[.]net/jscript/jsp.php?h=%computername%*%username%
下载的程序名为CERT.msi。
该程序与以往披露程序基本一致。随后下发多个模块组件,
|
名称 |
MD5 |
功能描述 |
|
lsapip |
660a678cd7202475cf0d2c48b4b52bab |
组件:信息搜集并将数据上传到指定服务器 C2:72.11.134[.]216 |
|
scvhost |
578918166854037cdcf1bb3a06a7a4f3 |
组件:键盘记录器 |
|
winupd |
6452e2c243db03ecbcacd0419ff8bebf |
组件:下载器 C2:otx.gxwxtvonline[.]com |
|
windrv |
5dd0321da7b024d304f0117960c1ade6 |
组件:从USB等移动设备窃取敏感文件 |
|
dlhosts |
25a16b0fca9acd71450e02a341064c8d |
组件:下载器 C2:82.221.136[.]27 |
|
MsEdges |
68848ec8ca6fd1d3b06b594331a462f7 |
组件:.NET RAT远控 C2:pichostfrm[.]net |
|
MsMpEnq |
0a2e7c682fc256760beec3e19a856cbb |
组件:.NET RAT远控 C2:45.11.19[.]170 |
组件模块和以往披露的大致一样。
其中windrv模块之前并没有怎么发现,观察样本时间戳信息,至少今年7月份该组织就已经持有该组件模块。
- Windrv USB窃密模块分析
windrv模块主要功能是从USB等移动设备中窃取指定后缀的敏感文件。窃取的文件会被存储在本地磁盘指定目录中。主要功能代码如下:
样本会创建一个类名为:“USB”的窗口程序,并设置其能够接收新增设备的消息通知。
在消息回调中过滤新增设备时的消息通知
在接入USB等新的移动设备后,遍历指定后缀的敏感文件。
为获取到的文件添加前缀(“$_Bkp_”)然后将文件拷贝到本地磁盘的指定目录:“C:\Users\%username%\AppData\Roaming\Microsoft\Windows\SendTo\BKP”。
总结
蔓灵花攻击活动持续不断,尤其需要注意该组织会获取国内政企使用的正常邮箱账户,并进行钓鱼投递。
IOC
MD5
660a678cd7202475cf0d2c48b4b52bab
578918166854037cdcf1bb3a06a7a4f3
6452e2c243db03ecbcacd0419ff8bebf
5dd0321da7b024d304f0117960c1ade6
25a16b0fca9acd71450e02a341064c8d
68848ec8ca6fd1d3b06b594331a462f7
0a2e7c682fc256760beec3e19a856cbb
C2
windiagnosticsvc[.]net
otx.gxwxtvonline[.]com
162.213.251[.]226
82.221.136[.]27
45.11.19[.]170
