APT 蔓灵花 巴基斯坦
【微步在线报告】“蔓灵花”团伙发起新一轮攻击活动
微步情报局 2019-01-31 16:00:51 3091人浏览

TAG:蔓灵花、APT、巴基斯坦

TLP:白 (对报告转发及使用不受限制) 

日期:2019-01-18

概要

近日,微步在线威胁情报云捕获到多个“蔓灵花”团伙相关样本,其中部分样本的C&C注册 于2019年,据此判断该团伙于近期发起了新一轮的攻击活动。具体内容包括:

➢ “蔓灵花”,又名 Bitter,长期针对中国及巴基斯坦的政府、军工、电力、核等部门发动 网络攻击,具有较强的政治背景。

➢最新捕获木马样本延续原有核心木马框架进行攻击,攻击目标疑似巴基斯坦。
➢ 木马最新 C&C 域名 healthdevicetracker.com 和 frameworksupport.net 分别注册于 2019 年1 月 2 日和 4 日,说明攻击活动仍在继续。

➢ 微步在线通过对相关样本、IP 和域名的溯源分析提取的相关情报 12 条,可用于威胁情 报检测。微步在线的威胁情报平台(TIP)、威胁检测平台(TDP)、API 等均已支持此次 攻击事件和团伙的检测。

详情

自2019年1月8日以来,微步在线威胁情报云陆续捕获到一批具备“蔓灵花”团伙木马特征恶 意样本,从样本来源地区初步推断认为,此次攻击疑似针对的目标位于巴基斯坦。

样本分析

本报告分析的样本捕获于2019年1月8日,样本基本信息如下表所示:

文件类型 PE32 executable (console) Intel 80386, for MS Windows
文件大小 31KB
MD5 8d42c01180be7588a2a68ad96dd0cf85
SHA1 89a7861acb7983ad712ae9206131c96454a1b3d8
SHA256 0b2a794bac4bf650b6ba537137504162520b67266449be979679afbb14e8e5c0
时间戳 2019-01-07 15:13:47
PDB c:\Users\Asterix\Documents\Visual Studio 2008\Projects\28NovDwn\Release\28NovDwn.pdb
C&C frameworksupport.net

1、样本文件名为Update Required Case Enq No 192_2018.docx.com,系伪装成Office文档的PE文件,主要用于实现木马自启动和接收并执行C&C加载核心木马指令。启动后利用简单的 位移将配置信息解密。

Clipboard Image.png

图 1 解密配置信息

2、在系统盘创建intel目录,存放恶意代码备份木马。

Clipboard Image.png

图 2 创建目录备份恶意代码

3、通过创建注册表启动项,实现恶意代码自启动功能。

Clipboard Image.png

Clipboard Image.png

图 3 创建注册表实现恶意代码自启动

4、与C&C域名frameworksupport.net连接,接收并执行核心木马加载指令。

Clipboard Image.png

Clipboard Image.png

图 4 获取并执行木马加载指令

关联分析

对比发现,本次捕获的样本与“蔓灵花”团伙惯用的下载器执行流基本一致,如下图所示:


                          image.png                               

                                                                               图 5 木马执行流对比

该下载器的C&C并未主动下发加载核心恶意代码指令,但根据同时捕获到的同类型样本分析发现,其后续阶段会加载远控模块,并根据C&C的指令实施主机信息获取、指定文件窃取、 远程命令执行等活动。具体指令如下表所示:

表-1 远程指令功能

指令值 调用Function 功能
BB8 GetRatState 获取系统配置状态信息
BB9 GetDriveInfo 获取计算机硬盘信息
BBA GetDriveInfo 获取指定目录下的文件列表信息
BBC GetLogs 获取RAT日志1
BBD CreateNewFile 创建指定文件
BBE WriteFile 向创建文件写入数据
BBF OpenFile 打开指定文件
BC1 ReadTheFile 读取指定文件内容
BC4 GetControl 创建远程控制台
BC5 GetComandShell 执行远程命令
BC7 ReadLogs2 获取RAT日志2
BC8 EndControl 结束远程控制台
BC9 CloseHandle 关闭指定句柄
BCB GetUPDLinkInfo 获取存在UPD活动链接的进程
BCD GetLog3 获取RAT日志3
BCE EndProcess 结束指定进程
BCF GetSysInfo 获取系统中进程信息
BD1 GetLog4 获取RAT日志4

此外,在同一批捕获的样本中还发现伪装成Windows音频设备图形隔离程序“audiodq.exe”, 该样本会同时尝试访问aroundtheworld123.net和healthdevicetracker.com两个域名,其中前者为已 被曝光“蔓灵花”的C&C,后者注册于2019年1月2日,目前被用于存放后续阶段的恶意代码。

Clipboard Image.png

fir 2019-02-28 17:44:38 回复
6666666666666