白象 Patchwork 高级可持续攻击 摩诃草
【微步在线报告】疑似白象APT组织最新攻击武器分析
微步情报局 2020-07-13 16:57:00 4369人浏览

TAG:高级可持续攻击、白象、摩诃草、Patchwork、巴基斯坦、Bozok RAT

TLP白(报告使用及转发不受限制)

日期:2020-07-08

概述

PatchWork, 又名摩诃草、白象、hangOver、VICEROY TIGER、The Dropping Elephat。该组织组织主要针对中国、巴基斯坦等亚洲地区国家进行网络间谍活动,其中以窃取敏感信息为主。相关攻击活动最早可以追溯到2009年11月。在针对中国地区的攻击中,该组织主要针对政府机构、科研教育领域进行攻击,其中以科研教育领域为主。白象组织最早由Norman安全公司于2013年曝光,随后又有其他安全厂商持续追踪并披露该组织的最新活动,但该组织并未由于相关攻击行动曝光而停止对相关目标的攻击,相反从2015年开始更加活跃。

微步情报局近期通过威胁狩猎系统捕获到一起疑似白象APT组织利用疫情话题针对巴基斯坦的攻击活动,分析有如下发现:

- 本次攻击活动借助新冠肺炎热点投递鱼叉邮件。最终通过无文件加载技术加载商用的Bozok远控木马(版本号:1.4.1)实现监控窃密行为。Bozok RAT是一款轻量级但功能丰富的远控木马,客户端支持多种地区语言。该木马历史上曾被多个APT组织在对金融、政府方向的定向攻击活动中使用。值得注意的是,在已披露的印度背景APT组织历史攻击活动中,本次攻击活动是他们首次投入使用Bozok木马。

- 攻击过程中释放的恶意PE模块携带Accelerate Technologies Ltd公司的数字签名证书,PE描述信息为印度安全公司Quick Heal的杀软组件程序。基于该证书进行拓线关联,可关联到多个白象APT组织的攻击组件。由此推测该证书为白象组织特有资产。

- 微步在线通过对相关样本、IP和域名的溯源分析,提取相关IOC,可用于威胁情报检测。微步在线威胁检测平台(TDP)、威胁情报管理平台(TIP)、威胁情报云API、安全DNS(OneDNS)等均已支持对此次攻击事件和团伙的检测。

详情

2020年7月上旬,微步情报局监测到一起借助“新冠肺炎”热点事件的定向攻击活动。所投递的攻击载荷名为“Covid19_Guidelines.docx”,文档标题“Guidelines for Government Employees and Organizations in the wake of COVID-19 epidemic”译为:政府机构应对新冠肺炎的指导方针。通过分析诱饵文件可知本次攻击事件中攻攻击目标为巴基斯坦相关行业从业人员,具体攻击时间推测在2020年6月中旬。诱饵文档采用恶意VBA宏展开后续攻击行为。最终通过内存加载Bozok远控木马实现对目标人员PC主机的远程控制,到达情报窃取的攻击目的。攻击诱饵展示如下。

1.jpg

样本分析

样本信息说明如下。

Table 1

文件名
Covid19_Guidelines.doc
SHA256
2ba13a3e540229677456d1e320f682bed8e6733bf6547b89a496b8d020eea698
MD5
16c01b13998e96f27bd9e3aa795da875
文件大小
3.88MB (4069376 bytes)
说明
原始攻击载荷,恶意宏文档

释放恶意组件如下。

Table 2

文件名
MicroScMgmt.exe
SHA256
dfe18346db405af2484064e80b5c0124bc80ca84d39b90e1aa5d5592c479a904
MD5
809ff867d2cfe803ef4ae4102283b45c
文件大小
104.05KB (106552 bytes)
说明
Dropper模块,内存解密装载RAT模块。
文件名
Dwn.exe
SHA256
21ee9bb5f2444fdf72d55109b7f823d5a5cd43d60aa1fb653764e2e5d20f2080
MD5
4c79583d189207ec9f138204fbb63810
文件大小
39.52KB (40464 bytes)
说明
Bozok远控木马,内存执行不落地,版本号1.4.1;
C&C:185.157.78.135:4040

  1. 提取攻击文档VBA代码,分析可知其作用为将内嵌的base64数据拼接解码释放诱饵文档和下载器PE。

2.jpg

2.分析由宏文档释放落地的Dropper程序MicroScMgmt.exe。该PE文件描述为Quick Heal公司杀软组件,并且拥有Accelerate Technologies Ltd的合法数字签名。

3.jpg

  其编译环境为GCC跨Windows平台的PE文件编译。

4.jpg

3. 可见可疑的资源信息。该资源数据其实为Bozok远控木马的加密二进制数据。

5.jpg

4. 该模块执行恶意功能之前会先遍历进程、检测杀软,检测目标包括eset、avg、bitdefender、trendmicro、norton、AvkTray、小红伞、Kaspersky 、Avast、quick heal、熊猫云杀毒、escan、Total Defense、Microsoft Windows Defender Antispyware、Check Point、F-Secure、k7tsecurity、McAfee。 

6.jpg

如果检测到ESET杀软进程,则进行各用户空间模块IAT HOOK操作,当前分析环境,挂钩失败,但是并不影响后续流程。

7.jpg

5.从资源段解密rozok木马,创建自身傀儡进程,然后注入执行。

8.jpg

9.jpg

6.将自身移动到Windows目录,然后在用户自启目录创建相应的 lnk文件实现自启驻留。 

10.jpg

7.  Dump注入模块,分析可知其为Bozok 远控木马 。该模块携带伪造微软的数字签名。在资源段储存了C&C地址、互斥体名称、后续插件名称等信息。

11.jpg

当前Bozok木马版本号为1.4.1。

12.jpg

  8. 首次运行时,通过检测全局标志,将MicroScMgmt.exe移动到windows目录,命名为server.exe启动运行,然后退出当前进程。 该远控模块RAT分发如下。实现功能包括:远程shell执行、文件操作、进程监控、注册表监控、鼠标键盘监控、下载执行等。具体指令功能参考附件。

13.jpg

9. Bozok木马采用TCP协议通信,分析过程中暂未发现其他插件下发行为。木马上线包如下。

14.jpg

关联分析

通过本次攻击事件中的诱饵文档内容,可以基本确定本次攻击目标为巴基斯坦境内相关单位。其攻击目的为对目标人员PC主机进行情报收集。基于地缘政治以及当前APT网络战局势可推测此次攻击事件的背后组织极有可能为来自印度的APT组织。

1. 样本代码指纹关联。

从样本指纹来看,本次攻击事件中所携带的指纹比较杂乱,当然也存在不少字符串指纹与印度方向的白象APT组织高度相似。

如在原始载荷中提取出的VBA代码中,关于恶意模块释放名称(microscmgmt.exe、 MSVCR71.dll、 jli.dll)这部分与白象APT组织2016年针对中国的定向攻击活动中曾用过的Bad News木马组件名称完全一致。

15.jpg

16.jpg

本次攻击中所用的木马为打包了Bozok木马的Dropper模块,其整体功能与白象组织历史攻击插件均存在一定差异。但是在网络连通性测试(惯用google、facebook、twitter等网站)与字符串加密处理(对模块名称、API名称进行简单的加减或异或操作)方面依然存在一定相似性。

17.jpg18.jpg

2. 释放PE数字签名证书关联。

提取MicroScMgmt.exe模块签名证书如下。

19.jpg

通过证书进行样本关联,可拓线以下文件。

Table 3

Hash
说明
66f56f29d4c23b2e79dccd3b215be7a1a352989162d48788bedc56f7ab6c7f58
C&C:altered.twilightparadox.com
977c81bfab432eaeb119167b5342468918645636aa3dc94bdb993667c2e96693
C&C:altered.twilightparadox.com
与上一行中模块代码指纹基本一致
c23b098a627d1c8449fad6756007c3b2a7ae20c3e70c74bbe4154c8b1651c84e
C&C:185.157.78.135:1515
与本次攻击中dropper模块代码指纹基本一致

其中c23b098a627d1c8449fad6756007c3b2a7ae20c3e70c74bbe4154c8b1651c84e与本次攻击事件中样本指纹基本一致、不赘述。分析977c81bfab432eaeb119167b5342468918645636aa3dc94bdb993667c2e96693。

通过其明文存储的URL内容可直接关联到2019年9月份白象组织对巴基斯坦军方的定向攻击活动(India makes Kashmir Dangerous Place in the World.xlsm)中的BadNews木马。

20.jpg

该后门模块的C&C依然采用明文存储。

21.jpg

通过证书关联的几个样本皆可关联到白象APT组织,由此可基本确认,该证书为白象组织特有资产,并且已被白象组织频繁用于定向攻击活动中。

附录

Bozok RAT

Bozok 1.4.1 RAT核心指令功能说明如下。

Table 4

指令
功能
3
获取PC主机磁盘卷宗信息
4
收集文件目录信息
9
连通测试
A
shell执行
D
文件删除
10
SHFileOperationW文件操作
13
创建目录
16
文件移动
19
通过文件名称上传相应文件数据
21
进程信息收集
25
结束进程
28
枚举窗口,收集信息
2C
窗口最大化
2D
窗口最小化
2E
发送窗口消息
30
枚举服务
44
枚举注册表
4D
文件是否存在
4E
C&C连通测试
50
写文件
64
断开连接
65
启动服务
66
发送服务控制码
6E
监视鼠标移动
6F
监视鼠标点击
70
监视键盘输入
71
创建管道通信
72
结束进程
73
管道写入
7C
下载执行
80
收集文件目录信息
81
文件移动
82
文件上传

C2

185.157.78.135:1515

185.157.78.135:4040

altered.twilightparadox.com

数字证书

2b48363d587b11f2726d343e0ed1d76a2e4adbc4a383c30cdae41ade0006b224

参考链接

摩诃草APT组织的攻击活动—— 烈火烧不尽的“恶性毒草”

-----------------------------------------------------

微步情报局

微步情报局,即微步在线研究响应团队,负责微步在线安全分析与安全服务业务,主要研究内容包括威胁情报自动化研发、高级APT组织&黑产研究与追踪、恶意代码与自动化分析技术、重大事件应急响应等。

微步情报局由精通木马分析与取证技术、Web攻击技术、溯源技术、大数据、AI等安全技术的资深专家组成,并通过自动化情报生产系统、云沙箱、黑客画像系统、威胁狩猎系统、追踪溯源系统、威胁感知系统、大数据关联知识图谱等自主研发的系统,对微步在线每天新增的百万级样本文件、千万级URL、PDNS、Whois数据进行实时的自动化分析、同源分析及大数据关联分析。微步情报局自设立以来,累计率先发现了包括数十个境外高级APT组织针对我国关键基础设施和金融、能源、政府、高科技等行业的定向攻击行动,协助数百家各个行业头部客户处置了肆虐全球的WannaCry勒索事件、BlackTech定向攻击我国证券和高科技事件、海莲花长期定向攻击我国海事/高科技/金融的攻击活动、OldFox定向攻击全国上百家手机行业相关企业的事件。

2020-07-29 12:52:37 回复
666