APT 双尾蝎
双尾蝎 APT 组织的攻击活动分析与总结——刺向巴勒斯坦的致命毒针
微步情报局 2020-03-09 16:40:50 1900人浏览

本文由Gcow安全团队追影小组首发。

--------------------------------------------------------------------------------------------

一.前言

双尾蝎APT组织(又名: APT-C-23 ),该组织从 2016 年 5 月开始就一直对巴勒斯坦教育机构、军事机构等重要领域展开了有组织、有计划、有针对性的长时间不间断攻击.其在2017年的时候其攻击活动被360企业    安全进行了披露,并且其主要的攻击区域为中东,其中以色列与巴勒斯坦更受该组织的青睐。

攻击平台主要包括 Windows 与Android :

其中针对windows 的平台,其比较常见的手法有投放带有" *.exe "或" *.scr "文件后缀的释放者文件,在目标用户打开后释放对应的诱饵文档,并且释放下一步的侦查者(Recon).持久存在的方式也不唯一,一般    通过写入注册表启动项以及释放指向持久化远控的快捷方式到自启动文件夹下.其侦查者会收集当前机器  的相关信息包含(系统版本,计算名,杀毒软件信息,当前文件所在路径,恶意软件当前版本),以及其解析   C2 的回显指令,并执行.比如:远程shell,截屏和文件下载。

同时根据别的安全厂商的报告,我们也得知该组织拥有于攻击Android  平台的组件,拥有定位、短信拦截、电话录音等,并且还会收集文档、图片、联系人、短信等情报信息;PC 端后门程序功能包括收集用户信息上传到指定服务器的功能、远程下载文件能力。

近日check point 安全厂商披露了该组织自导自演,给以色列士兵手上安装恶意软件的攻击活动.可以从中看出该团伙的攻击设计之巧妙,准备之充分。但最后结果还是被以色列给反制了一波............

Gcow安全团队追影小组于 2019.12 月初开始监测到了双尾蝎APT组织通过投递带有诱饵文件的相关可执行文件针对巴勒斯坦的部门  进行了相应的攻击活动,这些诱饵文件涉及教育,科技,政治等方面的内容,其攻击活动一直持续到了 2020.2 月底.追影小组对该组织进行了一定时间的追踪.遂写成此报告还请各位看官欣赏。

二.样本信息介绍以及分析

1. 样本信息介绍

在本次双尾蝎APT组织针对巴勒斯坦的活动中,Gcow安全团队追影小组一共捕获了 14 个样本,均为windows 样本,其中 12 个样本是释放诱饵文档的可执行文件, 2 个样本是带有恶意宏的诱饵文档。

1.jpg

在这 12 个可执行文件样本中,有 7 个样本伪装成pdf 文档文件,有 1 个样本伪装为word 文档文件,有 2 个样本伪装为rar 压缩文件。有 2 个样本伪装成mp3,mp4 音频文件。

2.jpg

在这 14 个Windows 恶意样本中,其诱饵文档的题材,政治类的样本数量有 9 个,教育类的样本数量有 1 个,科研类的样本数量有 1 个,未知类的样本数量有 3 个(注意:未知指得是其诱饵文档出现错误无法打开或者其内容属于无关内容)。

3.jpg

现在各位看官应该对这批双尾蝎组织针对巴勒斯坦的攻击活动有了一个大概的认识,但是由于这批样本之  中有一些话题是以色列和巴勒斯坦共有的,这里Gcow 安全团队追影小组持该组织主要是攻击巴勒斯坦的观点,若各位看官有更多的证据,欢迎联系我们团队.注意:这里只是一家之言,还请各位看官须知。

那下面追影小组将以一个恶意样本进行详细分析,其他样本采取略写的形式向各位看官描述此次攻击活  动。注意:因为其他样本的主要逻辑是相同的,所以没有必要枉费笔墨。

2. 样本分析

(1).Define the Internet in government institutions

a. 样本信息

4.jpg

b. 样本分析

通过对样本的分析我们得知了该样本是兼具释放者(Dropper)与下载者(Downloader)的功能,其释放者

(Dropper)主要是用以释放诱饵文档加以伪装以及将自身拷贝到%ProgramData%目录下,并且生成执行该文件的快捷方式并且释放于    自启动文件夹下,而下载者(Downloader)部分主要是通过进行信息收集以及等待C2给予的回显,主要功能有:远程shell,文件下载,屏幕截屏。

i. 释放者(Dropper)部分:

通过FindResource 函数查找名称为:MyData的资源

6.jpg

 通过LoadResource 函数加载该资源

7.jpg

通过LockResource 函数锁定资源并且获取资源在内存的地址

8.jpg

通过SizeOfResource 函数通过获取资源的地址计算该资源的长度

9.jpg

通过CreateFile 函数在%temp%目录下释放诱饵PDF文档Define the Internet in government institutions.pdf

10.jpg

通过WriteFile 函数将PDF源数据写入创建的诱饵文档内

11.jpg

12.jpg

通过ShellExecute 函数打开PDF诱饵文档,以免引起目标怀疑

13.jpg

其PDF诱饵文档内容如图,主要关于其使用互联网的政治类题材样本,推测应该是针对政府部门的活动

14.jpg

同时利用CopyFileA 函数将自身拷贝到%ProgramData% 目录下并且重命名为SyncDownOptzHostProc.exe

15.jpg

利用CreateFilewW 函数在自启动文件夹下创造指向%ProgramData%\SyncDownOptzHostProc.exe 的快捷方式SyncDownOptzHostProc.lnk

16.jpg

17.jpg

ii. 下载者(Downloader)部分:

通过CreateFile 函数创造%ProgramData%\GUID.bin 文件,内部写入对应本机的GUID .当软件再次运行的时候检查自身是否位于%ProgramData% 文件夹下,若不是则释放pdf文档。若是,则释放lnk 到自启动文件夹。

18.jpg

19.jpg

信息收集:

1.收集当前用户名以及当前计算机名称,并且读取 GUID.bin 文件中的GUID码

20.jpg

再以如下格式拼接信息

当前计算机名称_当前用户名_GUID码

21.jpg

将这些拼接好的信息利用base64进行编码,组合成cname报文

22.jpg

2.通过 GetVersion 函数收集当前系统版本

23.jpg

并且将其结果通过Base64进行编码,组成 osversion报文

24.jpg

3. 通过 WMI 查询本地安装的安全软件

被侦查的安全软件包括 360 , F-secure , Corporate , Bitdefender

25.jpg

26.jpg

如果存在的话,获取结果组成av 报文

4. 通过 GetModuleFile 函数获取当前文件的运行路径

27.jpg

将当前程序运行路径信息通过base64编码组成aname 报文

28.jpg

5. 后门版本号 ver 报文,本次活动的后门版本号为:5.HXD.zz.1201

 29.jpg

将版本号通过base64编码组成ver 报文

30.jpg

将这些信息按照如下方式拼接好后,通过Send 方式向URL地址

http://nicoledotson.icu/debby/weatherford/yportysnr 发送上线报文

cname=&av=&osversion=&aname=&ver=

31.jpg

32.jpg

获取指令

通过http://nicoledotson.icu/debby/weatherford/ekspertyza URL获取功能命令(功能为截屏,远程shell,以及下载文件)

33.jpg

发送屏幕快照

截取屏幕快照函数

34.jpg

向URL地址 http://nicoledotson.icu/debby/weatherford/Zavantazhyty 发送截屏

35.jpg

远程shell

远程shell主要代码

36.jpg

向URL地址 http://nicoledotson.icu/debby/weatherford/pidnimit 发送shell回显

37.jpg

文件下载

下载文件,推测应该先另存为base64编码的txt文件再解密另存为为exe文件,最后删除txt文件.由于环境问     题我们并没有捕获后续的代码

38.jpg

39.jpg

删除命令

通过URL http://nicoledotson.icu/debby/weatherford/vydalyty 获取删除指令

40.jpg

此外我们还关联到一个与之相似的样本,诱饵文档与之相同故不再赘述

 41.jpg

(2).Employee-entitlements-2020

a. 样本信息

42.jpg

43.jpg


该样本属于包含恶意宏的文档,我们打开可以看到其内容关于财政部关于文职和军事雇员福利的声明,属 于涉及政治类的题材

44.jpg

b. 样本分析

通过使用olevba dump出其包含的恶意宏代码(如下图所示:)

其主要逻辑为:下载该URL http://linda-callaghan.icu/Minkowski/brown 上的内容到本台机器的%ProgramData%\IntegratedOffice.txt (此时并不是其后门,而且后门文件的base64 编码后的结果)。通过读取IntegratedOffice.txt 的所有内容将其解码后,把数据流写入%ProgramData%\IntegratedOffice.exe 中,并且延迟运行%ProgramData%\IntegratedOffice.exe 删除%ProgramData%\IntegratedOffice.txt

45.jpg

46.jpg

47.jpg

该样本属于上一个样本中的下载者(Downloader)部分,其还是通过创建 GUID .bin标记感染机

48.jpg

并且创建指向自身的快捷方式于自启动文件夹中

49.jpg

(3).Brochure-Jerusalem_26082019_pdf

a. 样本信息

 50.jpg

51.jpg

通过FindResource 函数查找资源MYDATA ,通过下图我们可以看出该资源是一个PDF 文件

52.jpg

通过CreateFile 函数将文件源数据写入%Temp%\Brochure-Jerusalem_26082019.pdf (诱饵文件)中

53.jpg

通过ShellExecute 函数将%Temp%\Brochure-Jerusalem_26082019.pdf 打开

54.jpg

该样本关于耶路撒冷的话题,属于政治类诱饵文档

55.jpg

之后的行为就和之前的如出一辙了,在此就不必多费笔墨。

(4).Congratulations_Jan-7_78348966_pdf

a.样本信息

 56.jpg

57.jpg

b. 样本分析

通过FindResource 函数查找资源MYDATA ,通过下图我们可以看出该资源是一个PDF 文件

58.jpg

通过CreateFile 函数将文件源数据写入%Temp%\Congratulations_Jan-7.pdf (诱饵文件)中

59.jpg

通过ShellExecute 函数将%Temp%\Congratulations_Jan-7.pdf 打开

60.jpg

该样本关于耶路撒冷归属的话题,属于政治类诱饵文档

61.jpg

之后的行为就和之前的如出一辙了,在此就不必多费笔墨。

(5).Directory of Government  Services_pdf 

a.样本信息

62.jpg

63.jpg

b.样本分析

通过FindResource 函数查找资源MYDATA ,通过下图我们可以看出该资源是一个PDF 文件

64.jpg

通过CreateFile 函数将文件源数据写入%Temp%\Directory of Government Services.pdf (诱饵文件)中

65.jpg

通过ShellExecute 函数将%Temp%\Directory of Government Services.pdf 打开

66.jpg

该样本关于政府部门秘书处的话题,属于政治类诱饵文档

67.jpg

诱饵内容对应的官网图片

68.jpg

(6).entelaqa_hamas_32_1412_847403867_rar

a.样本信息

69.jpg

70.jpg

b. 样本分析

通过FindResource 函数查找资源MYDATA ,通过下图我们可以看出该资源是一个RAR 文件

71.jpg

通过CreateFile 函数将文件源数据写入%Temp%\Entelaqa32.rar (诱饵文件)中

72.jpg

通过ShellExecute 函数将%Temp%\Entelaqa32.rar 打开

73.jpg

该样本关于哈马斯的话题,属于政治类诱饵文档

74.jpg

(7).final_meeting_9659836_299283789235_rar

a. 样本信息

75.jpg

76.jpg

b. 样本分析

通过FindResource 函数查找资源MYDATA ,通过下图我们可以看出该资源是一个rar 文件

 77.jpg

通过CreateFile 函数将rar 文件源数据写入%Temp%\jalsa.rar (诱饵文件)中

78.jpg

通过ShellExecute 函数将%Temp%\jalsa.rar 打开

79.jpg

其诱饵文件的内容与第十二届亚洲会议有关,其主体是无条件支持巴勒斯坦,可见可能是利用亚洲会议针  对巴勒斯坦*的活动,属于政治类题材的诱饵样本

80.jpg

之后的行为就和之前的如出一辙了,在此就不必多费笔墨

(8).Meeting Agenda_pdf

a. 样本信息

81.jpg

82.jpg

b. 样本分析

通过CreateFile 函数将文件源数据写入%Temp%\Meeting Agenda.pdf (诱饵文件)中

83.jpg

通过ShellExecute 函数将%Temp%\Meeting Agenda.pdf 打开

84.jpg

但由于其塞入数据的错误导致该Meeting Agenda.pdf 文件无法正常打开故此将该样本归因到未知类题材,之后的行为就和之前的如出一辙了,在此就不必多费笔墨。

(9).Scholarships in Serbia 2019-2020_pdf

a. 样本信息

85.jpg

86.jpg

b. 样本分析

通过FindResource 函数查找资源MYDATA ,通过下图我们可以看出该资源是一个PDF 文件

87.jpg

通过CreateFile 函数将文件源数据写入%Temp%\Scholarships in Serbia 2019-2020.pdf (诱饵文件)中

88.jpg

通过ShellExecute 函数将%Temp%\Scholarships in Serbia 2019-2020.pdf 打开

89.jpg

该样本关于巴勒斯坦在塞尔维亚共和国奖学金的话题,属于教育类诱饵文档

90.jpg

诱饵内容对应的官网图片

91.jpg

之后的行为就和之前的如出一辙了,在此就不必多费笔墨。

ﺗﻘرﯾر ﺣول أھم اﻟﻣﺳﺗﺟدات(10)347678363764_

a. 样本信息

92.jpg

93.jpg

b. 样本分析

通过FindResource 函数查找资源MYDATA ,通过下图我们可以看出该资源是一个docx 文件

94.jpg

通过CreateFile 函数将docx 文件源数据写入%Temp%\daily_report.docx (诱饵文件)中

95.jpg

通过ShellExecute 函数将%Temp%\daily_report.docx 打开

96.jpg

从诱饵样本中的内容我们可以看出其关于巴勒斯坦态势的问题,属于政治类诱饵样本

97.jpg

之后的行为就和之前的如出一辙了,在此就不必多费笔墨

(11).asala-panet-il-music-live-892578923756-mp3

a.样本信息

98.jpg

99.jpg

b.样本分析

通过FindResource 函数查找资源MYDATA ,通过下图我们可以看出该资源是一个unknown 文件

 100.jpg

通过CreateFile 函数将文件源数据写入%Temp%\asala.mp3 (诱饵文件)中

101.jpg

通过ShellExecute 函数将%Temp%\asala.mp3 打开

102.jpg

歌曲挺好听的,但是我们也不知道啥意思,将其归属于未知类题材样本

(12).artisan-video-5625572889047205-9356297846-mp4

a. 样本信息

103.jpg

104.jpg

b. 样本分析

通过FindResource 函数查找资源MYDATA ,通过下图我们可以看出该资源是一个unknown 文件

105.jpg

通过CreateFile 函数将文件源数据写入%Temp%\artisan-errors.mp4 (诱饵文件)中

106.jpg

通过ShellExecute 函数将%Temp%\artisan-errors.mp4 打开

107.jpg

该样本伪装成视频丢失的404信号,没有实际参考价值,故归入未知类题材样本

108.jpg

之后的行为就和之前的如出一辙了,在此就不必多费笔墨。

اﻟﺳﯾرة اﻟذاﺗﯾﺔ ﻣﻧﺎل(13).1

a. 样本信息

109.jpg

110.jpg

b. 样本分析

其诱饵内容关于在东耶路撒冷(巴勒斯坦)的阿布迪斯大学秘书,属于大学科研类样本

111.jpg

同时其包含的恶意宏代码如图所示,由于我们并没有能成功获得下一步的载荷,故没法进行下一步的分  析。不过推测其大致功能应该与上文相同。

112.jpg

三.组织关联与技术演进

在本次活动中,我们可以清晰的看到双尾蝎APT组织的攻击手段,同时Gcow 安全团队追影小组也对其进行了一定的组织关联,并且对其技术的演进做了一定的研究。下面我们将分为组织关联与技术演进这两部分  内容进行详细的叙述。

注意:下文中的时间段仅仅为参考值,并非准确时间。由于在这一时间段内该类样本较多,故此分类。

1. 组织关联

(1).样本执行流程基本相似

我们根据对比了从 2017 到 2020 年所有疑似属于双尾蝎APT组织的样本,(注意:这里比对的样本主要是windows平台的可执行文件样本).在 2017 年到 2019 年的样本中我们可以看出其先在临时文件夹下释放诱饵文件,再打开迷惑受害者,再将自身拷贝到%ProgramData% 下.创建指向%ProgramData%下的自拷贝恶意文件的快捷方式于自启动文件夹.本次活动与 2018 年 2019 年的活动所使用样本的流程极为相似.如下图所示.故判断为该活动属于双尾蝎 APT组织。

113.jpg

(2).C&C中存在名人姓名的痕迹

根据checkpoint 的报告我们得知,该组织乐于使用一些明星或者名人的名字在其C&C 服务器上.左图是checkpoint 安全厂商揭露其针对以色列士兵的活动的报告原文,我们可以看到其中含有JimMorrison , Eliza Dollittle , Gretchen Bleiler 等名字.而右图在带有恶意宏文档的样本中,我们发现了其带有Minkowski 这个字符.通过搜索我们发现其来源于Hermann Minkowski 名字的一部分,勉强地符合了双尾蝎APT组织的特征之一。

114.jpg

2. 技术演进

(1). 在编写语言上的演进

根据 360 的报告我们可以得知双尾蝎APT组织在 2016 年到 2017 年这段时间内该组织主要采用了VC 去编写载荷.再到 2017 年到 2018 年这段时间内该组织主要是以Delphi 来编写其侦查者(Recon),根据Gcow 安全团队追影小组的跟踪,该组织在 2018 年到 2019 年这段时间内也使用了Delphi 编写的恶意载荷。与 2017 年到 2018 年不同的是: 2017 年到 2018 年所采用的编译器信息是:Borland Delphi 2014XE6。而在 2018 年到 2019 年这个时间段内采用的编辑器信息是:Borland Delphi 2014XE7- S.10。同时在本次活动中该组织使用 Pascal 语言来编写载荷。可见该组织一直在不断寻求一些受众面现在越来越小的语言以逃脱杀软对其的监测。

115.jpg

(2). 编译时间戳的演进

根据 360 的报告我们可以得知双尾蝎APT组织在 2016 年到 2018 年这个时间段中,该组织所使用的恶意载荷的时间戳信息大部分时间集中位于北京的下午以及第二天的凌晨,属于中东地区的时间。而在2019年 7 月份捕获的双尾蝎APT组织样本中该组织的编译戳为 2019.7.14 11:08:48 而在本次活动所捕获的样本中我们发现该组织将编译时间戳统一改为: 1970.1.1 1:00 ,也就是置0.通过伪造时间戳以阻断安全人员的关联以及对其的地域判断。

116.jpg

(3). 自拷贝方式的演进

双尾蝎APT组织在 2017 年到 2019 年的活动中,擅长使用copy 命令将自身拷贝到%ProgramData% 下.而可能由于copy 指令的敏感或者已经被各大安全厂商识别。在 2019 年 7 月份的时候.该组织恢复了之前采用CopyFile windows API函数的方式将自身拷贝到%ProgramData% 下。

117.jpg

(4). 持久化方式的演进

根据 360 的报告,我们可以得知双尾蝎APT组织在 2016 年到 2017 年的活动之中,主要采用的是修改注册表添加启动项的方式进行权限的持久化存在。而根据追影小组的捕获的样本,我们发现在 2017 年到2018 年的这段时间内该组织使用拥有白名单Shortcut.exe 通过命令行的方式在自启动文件夹中添加指向自拷贝后的恶意文件的快捷方式。而在本次活动中,该组织则采用调用CreateFile Windows API 函数的方式在自启动文件夹中创建指向自拷贝后恶意文件的快捷方式以完成持久化存在。

118.jpg

(5).C&C报文的演进

为了对比的方便,我们只对比双尾蝎APT组织 2018 年到 2019 年的上半年的活动与本次活动的C&C 报文的区别。如图所示下图的左上是本次活动的样本的C&C 报文,右下角的是 2018 年到 2019 年上半年活动的样本的C&C 报文。通过下面所给出的解密我们可以得知两个样本所向C&C 收集并发送的信息基本相同。同时值得注意的是该组织逐渐减少明文的直接发送收集到的注意而开始采用比较常见的通过Base64的方式编码后在发送。同时在ver版本中我们发现: 2018 年到 2019 年上半年的样本的后门版本号为: 1.4.2.MUSv1107 (推测是2018.11.07更新的后门);而在本次活动中后门版本号为: 5.HXD.zz.1201 (推测是2019.12.01号更新的后门),由此可见该组织正在随着披露的增加而不断的进行后门的更迭。

119.jpg

四.总结

1. 概述

Gcow  安全团队追影小组针对双尾蝎APT组织此次针对巴勒斯坦的活动进行了详细的分析并且通过绘制了一幅样本执行的流程图方便各位看官的理解。

120.jpg

该组织拥有很强的攻击能力,其载荷涵盖较广(Windows和Android平台).并且在被以色列进行导弹物理   打击后快速恢复其攻击能力.对巴勒斯坦地区进行了一波较为猛烈的攻势,同时我们绘制了一幅本次活动 之中样本与C&C 的关系图。

121.jpg

通过之前的分析我们发现了该组织拥有很强的技术对抗能力,并且其投放的样本一直围绕着与巴勒斯坦和以色列的敏感话题进行投放,我们对其话题关键字做了统计,方便各位看官了解。

122.jpg

2. 处置方案:

删除文件

%TEMP%\*.pdf(*.mp3,*.mp4,*.rar,*.doc) [诱饵文档]

%ProgramData%\SyncDownOptzHostProc.exe [侦查者主体文件]

%ProgramData%\IntegratedOffice.exe[侦查者主体文件]

%ProgramData%\Microsoft\Windows\Start Menu\Programs\Startup\SyncDownOptzHostProc.lnk [指向侦查者主体文件的快捷方式用于权限维持]

%ProgramData%\GUID.bin [标记感染]

3. 结语

通过本次分析报告,我们相信一定给各位看官提供了一个更加充分了解该组织的机会.我们在前面分析了   该组织的技术特点以及对该组织实施攻击的攻击手法的演进进行了详细的概述。同时在后面的部分我们  也会贴出该组织最新活动所使用样本的IOCs 供给各位感兴趣的看官交流与学习.同时我们希望各位看官如果有其他的意见欢迎向我们提出。

五.IOCs:

MD5:

123.jpg

释放文件

%TEMP%\  *.pdf(*.mp3,*.mp4,*.rar,*.doc)

%ProgramData%\SyncDownOptzHostProc.exe

%ProgramData%\Microsoft\Windows\Start Menu\Programs\Startup\SyncDownOptzHostProc.lnk

%ProgramData%\GUID.bin

%ProgramData%\IntegratedOffice.exe

zdq26 2020-05-07 18:32:37 回复
学习了
匿名用户 2020-03-16 13:49:31 回复
大佬确实专业啊,能不能把样本放出来给我分析下呢
匿名用户 2020-03-09 19:48:38 回复
GCOW NB!!!!!!!!!
奖励计划banner
今日推荐