疑似蔓灵花APT组织针对巴基斯坦航空综合部门攻击活动分析
事件背景
蔓灵花(Bitter)是一个被广泛认为来自印度的APT组织,该组织长期针对我国及巴基斯坦的政府、军工、电力、核等部门发动网络攻击,窃取敏感数据,具有较强的政治背景。
近期安恒威胁情报中心猎影实验室捕获到一个疑似蔓灵花组织针对巴基斯坦“航空领域”的攻击活动样本。该样本使用名为“PAC Advisory Committee Report.doc”的诱饵文档进行攻击。并且使用一个处于失陷状态的巴基斯坦二手交易网站服务器来下发第二阶段载荷。
样本分析
初始样本是一个包含CVE-2018-0798漏洞的rtf文档,执行后会访问远程服务器并下载名为“bd.msi”的安装程序执行。远程服务器(sbss.com[.]pk)是一个巴基斯坦的二手交易网站,该网站疑似遭遇了入侵,属于失陷状态。
远程msi程序下载地址:“https://sbss.com.pk/gts/bd.msi”
msi程序执行后会根据安装路径释放一个名为“Tlntslvclnt.exe”的下载器:
| 文件名称 | Tlntslvclnt.exe |
| 文件类型 | 应用程序 (.exe) |
| 文件大小 | 52.0 KB (53,248 字节) |
| 文件MD5 | CC7DDF9ED230AD4E060DFD0F32389EFB |
| 功能描述 | 下载器:回连C2服务器,下载后续载荷执行 |
首次执行:
样本执行后会首先从字符串资源中获取窗口名称(“NewProject_2.1”)与类名(“NEWPROJECT_21”),创建Windows窗口后通过自定义算法解密回连C2(“subscribe.tomcruefrshsvc[.]com”)等字符串数据。
解密算法为异或运算:
创建工作目录:”C:\Users\admin\AppData\Local\Updates”,如果当前目录下不存在” systemlog”文件,则表示当前是第一次运行。首次运行时样本会通过进程遍历检测是否存在“avp”和“MsMp”等杀软进程。
然后在系统启动菜单中创建“update.lnk”快捷方式文件,用于持久化。
该快捷方式最终会指向如下工作目录中的文件:“C:\Users\admin\AppData\Local\Updates\update.exe”
在工作目录中创建“systemlog”日志文件,写入字符串数据“aa”,然后将自身拷贝到工作目录重命名为“tmp.exe”,执行自拷贝文件后退出当前进程。
第二次执行:
获取系统名称、用户名、系统版本等敏感数据,使用如下格式进行拼接:
“计算机名&&user=用户名&&OsI=系统版本”
拷贝自身(“tmp.exe”)到工作目录(update.exe)用于持久化,然后循环获取C2对应IP地址,准备执行核心函数:
进入核心函数后首先与C2服务器进行通讯,URL参数中包含用户名、主机名、系统版本等信息。URL:“/VcvNbtgRrPopqSD/SzWvcxuer/userlog.php”
检测服务器返回数据中是否包含由“主机名+用户名”组合而成的字符串。然后通过英文状态的单引号’“‘从数据包中获取待下载后门程序的名称:
第二次回连C2服务器,获取后门程序。URL:“/VcvNbtgRrPopqSD/WqeC812CCvU/【后门名称】”
判断C2返回数据中是否包含“ZxxZ”字符串:
创建后门程序写入PE文件数据:
第三次回连C2服务器,返回成功标识。URL:“/VcvNbtgRrPopqSD/SzWvcxuer/sDeRcEwwQaAsSN.php?txt=DN-SZxxZ【后门名称】ZxxZ【主机名+用户名】”
第四次回连C2服务器,根据后门程序执行状态,访问不同URL:
| 状态 | URL |
| 执行成功 | /VcvNbtgRrPopqSD/SzWvcxuer/sDeRcEwwQaAsSN.php?txt=SZxxZ【后门名称】ZxxZ【主机名+用户名】 |
| 执行失败 | /VcvNbtgRrPopqSD/SzWvcxuer/sDeRcEwwQaAsSN.php?txt=RN_EZxxZ【后门名称】ZxxZ【主机名+用户名】 |
防范建议
安恒APT攻击预警平台能够发现已知或未知威胁,平台能实时监控、捕获和分析恶意文件或程序的威胁性,并能够对邮件投递、漏洞利用、安装植入、回连控制等各个阶段关联的木马等恶意样本进行强有力的监测。
同时,平台根据双向流量分析、智能的机器学习、高效的沙箱动态分析、丰富的特征库、全面的检测策略、海量的威胁情报等,对网络流量进行深度分析。检测能力完整覆盖整个APT攻击链,有效发现APT攻击、未知威胁及用户关心的网络安全事件。
安恒主机卫士EDR通过“平台+端”分布式部署,“进程阻断+诱饵引擎”双引擎防御已知及未知类型威胁。
IOC
MD5:
bf1a905e11f4d44de8bd2e0a6f383ed5
2a8ebefc90feb991e3a1f31b0a61f265
cc7ddf9ed230ad4e060dfd0f32389efb
C2:
subscribe.tomcruefrshsvc[.]com
URL:
http://sbss.com[.]pk/gts/bd.msi
https://sbss.com[.]pk/gts/bd.msi
subscribe.tomcruefrshsvc[.]com
subscribe.tomcruefrshsvc[.]com/VcvNbtgRrPopqSD/SzWvcxuer/userlog.php
subscribe.tomcruefrshsvc[.]com/VcvNbtgRrPopqSD/WqeC812CCvU/【后门名称】
subscribe.tomcruefrshsvc[.]com/VcvNbtgRrPopqSD/SzWvcxuer/sDeRcEwwQaAsSN.php?txt=DN-SZxxZ【后门名称】ZxxZ【主机名+用户名】
subscribe.tomcruefrshsvc[.]com/VcvNbtgRrPopqSD/SzWvcxuer/sDeRcEwwQaAsSN.php?txt=SZxxZ【后门名称】ZxxZ【主机名+用户名】
subscribe.tomcruefrshsvc[.]com/VcvNbtgRrPopqSD/SzWvcxuer/sDeRcEwwQaAsSN.php?txt=RN_EZxxZ【后门名称】ZxxZ【主机名+用户名】
