杀软0检出,Confucius APT组织近期新活动深入分析
事件背景
近日,安恒猎影实验室在威胁狩猎中捕获一例以请愿书为主题的钓鱼邮件附件,该文件运行后将下载多阶段DLL文件,最终进行文件窃取。此次活动针对南亚地区宗教信仰群体,符合Confucius的历史攻击目标,经分析,最后阶段的File stealer也与Confucius攻击样本“血缘”更近,因此活动背后的攻击者被我们判定出自Confucius之手。
攻击流程
此次捕获的文件窃取程序加载流程如下图:
攻击分析
样本运行后展示的诱饵内容如下
宏代码如下,判断本机是否安装McAfee,若未安装则在%Temp%目录下释放sdjkfhkjsdh.txt文件
并通过Powershell指令加载执行PoryaenFuaQzye.Class1.fgjhgjsdgfjssgdfjg()
函数被调用后再次通过Powershell指令启动自身PoryaenFuaQzye.Class1.hgfhgfhfhgfhfhfhgf()
PoryaenFuaQzye.dll执行后将从hxxps://taxofill[.]info/LraGrcnpwbt.txt下载后续(SowpnTdb.dll)到本地
SowpnTdb.dll执行后检查本地是否安装Avast反病毒软件,若安装有Avast,则设置Adobbe计划任务下载后续;若未安装Avast,则直接从hxxps://taxofill[.]info/QrosWbnmdsfui.txt下载后续(RioucXkjdiEjkhd.dll)到本地C:\Users\Users\AppData\LocalMhRoqpalrntto.txt,接着设置计划任务KrGtPwAkf加载执行RioucXkjdiEjkhd.Class1.Nskjdhfkjsdhf()
RioucXkjdiEjkhd.dll文件执行后尝试从hxxps://taxofill[.]info/OyfcbJhtrps.txt获取后续,若该链接未响应则获取备用链接后续hxxps://jizyajan.shop/LwQcbhNogdrn.txt
最后阶段的恶意负载(Rwlksdnasjd.dll)的功能包括:上传主机信息及用户名(machineName + “__” + userName)至 hxxp://plankopin.world/JucwSkgmzoea1.php
获取C:\Users\Users路径下文档(Documents)、下载(Downloads)、桌面(Desktop)、图片(Pictures)目录以及其他盘目录下的txt、pdf、png、jpg、doc、xls、xlm、odp、ods、odt、rtf、ppt、xlsx、xlsm、docx、pptx、jpeg后缀文件,并上传至指定URL:hxxp://plankopin[.]world/HprodXprnvlm1.php、hxxp://plankopin[.]world/VueWsxpogcjwq1.php
本文中涉及到的URL链接及其功能如下,三个域名均为2022.06.15注册
| hxxps://taxofill[.]info/LraGrcnpwbt.txt | 下载一阶段负载 |
| hxxps://taxofill[.]info/QrosWbnmdsfui.txt | 下载二阶段负载 |
| hxxps://taxofill[.]info/OyfcbJhtrps.txt | 下载三阶段负载 |
| hxxps://jizyajan[.]shop/LwQcbhNogdrn.txt | 三阶段负载备用下载链接 |
| hxxp://plankopin[.]world/JucwSkgmzoea1.php | 根据参数上传计算机名、用户名或文件路径 |
| hxxp://plankopin[.]world/HprodXprnvlm1.php | 上传文件数据 |
| hxxp://plankopin[.]world/VueWsxpogcjwq1.php | 上传文件hash |
此外,报告中涉及到的DLL文件除SowpnTdb.dll均被抹去了时间戳信息,该DLL文件的编译时间为2022.06.17。
总结
此次攻击活动中的样本较21年9月在代码逻辑上并无较大的改动,依然是读取文档属性中的Comment数据写入到本地TXT文件,随后利用Powershell指令启动。细节方面增加了对变量名以及Powershell指令的混淆,使以往针对其宏代码的策略近乎失效,在某种程度上躲避了研究人员的追踪。
其他方面最显著的改进是使用较强的密码将DOC文档“保护”了起来,使恶意文档在VT上的查杀率由30/64骤减为0/56,大大降低了目标打开文件时的防备心理。
对此,安恒建议广大用户对未知来源带有密码的文档保有同样的警惕。如需鉴别,可手动移除密码后上传安恒云沙箱查看判别结果。
防范建议
目前安全数据部已具备相关威胁检测能力,对应产品已完成IoC情报的集成:
安恒产品已集成能力:
针对该事件中的最新IoC情报,以下产品的版本可自动完成更新,若无法自动更新则请联系技术人员手动更新:
(1)AiLPHA分析平台V5.0.0及以上版本
(2)AiNTA设备V1.2.2及以上版本
(3)AXDR平台V2.0.3及以上版本
(4)APT设备V2.0.67及以上版本
(5)EDR产品V2.0.17及以上版本
安恒云沙盒已集成了该事件中的样本特征。用户可通过云沙盒:https://ti.dbappsecurity.com.cn/sandbox,对可疑文件进行免费分析,并下载分析报告。
IOC
d294802a3552d214f0418727be6bfa30
3da30534b377b01ccaa3bf25f93af1ba
726867b2af00c2ae8b68b6c22df0acef
021c535b8e70e9efa74512db647ef011
db8fd2d12623c9dc8fc11718ff582fda
taxofill[.]info
jizyajan[.]shop
plankopin[.]world
