对越政府的APT组织
疑似目标 Vietnam 的一次APT攻击的分析
匿名用户 2019-04-25 12:23:57 2625人浏览

攻击目标:越南政府机构

样本hash:509f196af156f4bd6c9ced1d6fee93a0

anyrun链接:anyrun沙箱

样本名称:Mau cam ket danh cho Dang vien.doc以及Mau cam ket danh cho Chua Dang vien.doc

攻击手法:宏–>执行mstha运行远程hta文件–>远程hta调用命令下载真的docx文件完成社工的伪装然后并且下载和之前那个样本类似的powershell后门用来检查权限以及释放c#后门然后使用installutil.exe白利用加载c#后门

详细分析:

样本的情况,如图

ZSXQ_20190425_113445747.jpeg

第一阶段:macro

其宏有轻微的混淆,将其解密发现其可以执行mstha去运行远程hta脚本

ZSXQ_20190425_113447963.jpeg

hta脚本link:http://144[.]202[.]54[.]86[:]80/download/Mau2.hat

第二阶段:hta脚本

ZSXQ_20190425_113449871.jpeg

用于下载正常的诱饵docx文档以达到完成社会工程学欺骗的目的以及下载加密后的powershell后门( windat.dat),用certutil解密后重命名为windat.ps1并且执行后就删除powershell脚本

docx文件link:

http://144[.]202[.]54[.]86[:]80/download/Mau cam ket danh cho Dang vien.docx

windat.dat文件(powershell后门)link:

http://144[.]202[.]54[.]86[:]80/download/windat.dat

第三阶段:powershell脚本 windat.ps1

ZSXQ_20190425_113454802.jpeg

ZSXQ_20190425_113457089.jpeg

判断用户权限后去进行不同的处理,解密base64之后释放两个pe文件然后利用installutil.exe进行白利用加载再通过判断进程权限来用不同的方式去添加计划任务达到持久化的目的

第四阶段:c#后门采用VirtualAllocCreateThread这两个api进行shellcode注入

ZSXQ_20190425_113502161.jpeg

C2:144.202.54.86


其载荷并没有详细分析还请各位大佬在评论区多多指教

关联分析:

该组织还擅长进行link文件的载荷投递

之前的样本查找中就已经抓捕到相应的样本

文件名:TKCT quy I nam 2019.doc.lnk

link文件MD5:80BCDA9FDE78C70566C6F693F1C7938F

zip文件(TKCT.rar) –> lnk文件

(TKCT quy I nam 2019.doc.lnk) 

lnk文件里面通过环境变量%comspec%去执行cmd命令来运行一段powershell,这个powershell释放到%temp%目录下并执行s.ps1 –> s.ps1读取dat文件(其实也是一个powershell脚本)然后这个powershell脚本进行了三个操作:释放一个空的文档(表面上写着启动宏诱饵结果却戏剧性的没有宏文件),一个dat文件(带有c#恶意代码的),复制 installutil.exe到%windir%下并且运行schtasks.exe注册计划任务用传递参数的方法让installutil.exe去加载一个c#编写的pe文件,并且还会检查卡巴进程(avp,avpui),在不同的情况下采用不同的策略注册并运行计划任务 –> 恶意的dat文件 通过virtualAlloc和createthread这两个api去注入shellcode –> shellcode与c2通讯

link样本分析截图:

QQ图片20190425115939.pngQQ图片20190425115942.png

powershell后门代码截图:

QQ图片20190425121302.png

QQ图片20190425121306.png

以及近日的一次攻击采用的恶意载荷同样也是link

文件名:Mau cam ket danh cho Dang vien.docx.link以及Mau cam ket danh cho Chua Dang vien.docx.link

样本hash:14265770e53736a92796c2e04ded5695

样本截图:

IMG_20190425_121459.jpg

利用的操作和之前的link载荷类似

样本的TTP:(笔者个人意见,随着分析的进一步会进行补充)


战术 技术 过程
对越APT组织 鱼叉 水坑 社会工程学诱导 宏 link文件 powershell加载器 installutil,exe白名单绕过 C#后门 鱼叉攻击,水坑攻击作为主导载荷投递

各位大佬还有什么意见请在评论区里指出,非常感谢,菜鸡的文章写得不是很好

ip地址(1) 威胁情报数目 开放端口 所属域名 相关样本 微步标签 < 1/1 >
Timelife 2019-05-28 08:23:09 回复
这两天才看到,凑时间已完整分析
匿名用户 2019-04-29 11:22:44 回复
不错
xxx 2019-04-25 14:38:12 回复
赞!