安全動態(tài)

疑似南亞地區(qū)新APT組織GroupA21相關(guān)攻擊活動分析

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2020-02-02    瀏覽次數(shù):
 

信息來源:FreeBuf

TAG:高級可持續(xù)攻擊、APT、南亞地區(qū)、印度、巴基斯坦、軍隊、政府、國防、情報機構(gòu)、原子能

TLP:白(報告轉(zhuǎn)發(fā)及使用不受限制)

日期:2019-10-30

概要

在持續(xù)跟蹤全球主流黑客組織的過程中,微步在線發(fā)現(xiàn)了一個至少自2017年開始活動,主要針對南亞地區(qū)各國開展網(wǎng)絡(luò)間諜活動的新APT組織。該組織的攻擊手法與印度背景的SideWinder和Bitter組織存在些許相似,但在攻擊細(xì)節(jié)和所用木馬方面存在本質(zhì)的區(qū)別,為方便進(jìn)行跟蹤,微步在線內(nèi)部將之命名為GroupA21。

對該組織相關(guān)活動進(jìn)行分析,有如下發(fā)現(xiàn):

該組織疑似具備印度背景,主要針對南亞地區(qū)的巴基斯坦、斯里蘭卡、馬爾代夫和孟加拉等國的政府、軍事、外交、情報、原子能和高校等行業(yè)和機構(gòu)開展網(wǎng)絡(luò)間諜活動。

根據(jù)IOC和木馬指紋關(guān)聯(lián)溯源發(fā)現(xiàn),該組織至少自2017年開始活躍。其攻擊木馬使用Python、C、C++、Go等進(jìn)行開發(fā),具備回傳系統(tǒng)配置信息、Shell、獲取目錄、傳輸文件、發(fā)送郵件和遠(yuǎn)程文件執(zhí)行等功能。

在魚叉式網(wǎng)絡(luò)釣魚攻擊中,該組織善利用時政和軍事等目標(biāo)相關(guān)信息制作釣魚郵件和誘餌文檔,使用偽裝成PDF文檔的SFX文件、偽裝的LNK文件作為木馬投遞載體,早期也曾利用CVE-2017-11882漏洞傳播木馬。

微步在線通過對相關(guān)樣本、IP和域名的溯源分析,共提取24條相關(guān)IOC,可用于威脅情報檢測。微步在線威脅檢測平臺(TDP)、威脅情報管理平臺(TIP)、DNS防火墻(OneDNS)、威脅情報云API均已支持該組織最新攻擊的檢測。如需協(xié)助,請與我們聯(lián)系:contactus@threatbook.cn。

詳情

基于狩獵和黑客畫像系統(tǒng),微步在線持續(xù)跟蹤著全球主流的黑客組織。在跟蹤的過程中,我們發(fā)現(xiàn)一個至少自2017年開始活躍,持續(xù)針對南亞地區(qū)的巴基斯坦、斯里蘭卡、馬爾代夫和孟加拉等國的政府、軍事、外交、情報、原子能和高校等行業(yè)和機構(gòu)開展網(wǎng)絡(luò)間諜活動的新APT組織,微步在線內(nèi)部命名為GroupA21。在攻擊時,該組織多利用時政和軍事等目標(biāo)相關(guān)信息制作釣魚郵件和誘餌文檔,使用偽裝成PDF文檔的SFX文件、偽裝的LNK文件作為木馬投遞載體,早期也曾利用CVE-2017-11882漏洞傳播木馬。

該組織部分攻擊活動的攻擊時間線如下:

下面對相關(guān)攻擊活動進(jìn)行分析:

2019年10月,以“為什么選擇空軍大學(xué)”為主題向空軍和教育等相關(guān)目標(biāo)發(fā)起釣魚攻擊。誘餌如下:

2019年5月,偽裝PakistanComputer Emergency Response Team (PakCERT)疑似向巴基斯坦海軍參謀長等相關(guān)目標(biāo)發(fā)起釣魚攻擊,主題為“CNS_Guidelines_2019”。誘餌如下:

2019年3月,以“土耳其對巴基斯坦三軍情報局ISI提供幫助的回應(yīng)”為主題,內(nèi)容與土耳其向巴基斯坦軍官進(jìn)行培訓(xùn)和提供軍事援助有關(guān),向巴基斯坦國防和情報等有關(guān)部門發(fā)起釣魚攻擊,C2偽裝成巴基斯坦國家信息委員會相關(guān)網(wǎng)站。誘餌如下:

2019年1月,以“中國對巴基斯坦的戰(zhàn)略背叛”為主題,內(nèi)容與克什米爾沖突相關(guān),向巴基斯坦國防等相關(guān)部門發(fā)起釣魚攻擊,C2偽裝成巴基斯坦空軍和國防與新聞分析小組相關(guān)。誘餌如下:

2018年12月,以“ISI在中巴核協(xié)議中的角色”為主題,疑似向巴基斯坦軍事、原子能和情報等相關(guān)部門發(fā)起釣魚攻擊。誘餌如下:

2018年7月,以“REQUEST FOR CAR STICKER FOR THE YEAR 2018”為主題向巴基斯坦空軍人員發(fā)起釣魚攻擊。誘餌如下:

2018年2月,以在印度舉辦的第八屆亞太地區(qū)3R論壇,疑似向馬爾代夫環(huán)境和發(fā)展相關(guān)部門發(fā)起釣魚攻擊。此次論壇主題為“通過3R和資源效率實現(xiàn)清潔水,清潔土地和清潔空氣-亞太社區(qū)21世紀(jì)愿景”。誘餌如下:

2017年7月,以“海軍上將阿瑟·穆赫塔爾(Ather Mukhtar)接任KGC主席”為主題向巴基斯坦有關(guān)人員發(fā)起釣魚攻擊。誘餌如下:

樣本分析

自發(fā)現(xiàn)至今,該APT組織的攻擊手法主要經(jīng)過三次變動:2017年至2018年上半年期間投遞的誘餌樣本主要以偽裝的SFX為主,最終釋放Python開發(fā)的后門,具備回傳系統(tǒng)配置信息、Shell、獲取目錄、傳輸文件、發(fā)送郵件和遠(yuǎn)程文件執(zhí)行等功能;2018年下半年至2019年上半年,投遞的誘餌文件主要由C、C++開發(fā),具備反彈Shell的功能,釋放具有誘餌內(nèi)容的bmp文件;2019年5月份至今,則主要投遞攜帶惡意命令行的LNK文件,遠(yuǎn)程下載HTA文件,最終加載Go語言開發(fā)的后門木馬或Empire框架生成的Payload。

該組織攻擊手法演變,以及部分活動中的攻擊流程如下:

下面分別對這幾類攻擊樣本進(jìn)行分析。

Registration_Details.zip

此類樣本通過LNK文件下載HTA文件執(zhí)行,最終加載Go語言開發(fā)的反彈Shell后門木馬。

SHA256 f5026999207600eb4c63c03c2679d46e1a3ec8e25696810d9c7f74721f4d59eb
文件格式 ZIP
C2 auniversity.myftp.org
194.32.76.124
文件名稱 Registration_Details.zip
攻擊時間 2019.10
誘餌主題 為什么選擇空軍大學(xué)

1.ZIP文件包含三個文件,其中一個PDF誘餌文件,其他兩個均為LNK文件,執(zhí)行后會下載HTA文件運行,相關(guān)截圖:

2. HTA腳本文件被執(zhí)行后,后續(xù)會下載PDF文件和后門文件updat.b64,解碼完成后拷貝到“%appdata%/pdat.exe”目錄下,并且創(chuàng)建計劃任務(wù)實現(xiàn)持久化攻擊,相關(guān)截圖:

3.后門程序pdat.exe采用Go語言編寫,功能為連接C2,接收發(fā)送的命令行轉(zhuǎn)發(fā)到cmd,實現(xiàn)反彈Shell的功能,反彈Shell的部分功能實現(xiàn)代碼截圖:

4.反彈Shell流量交互,其中上線包會發(fā)送“786”標(biāo)志,回傳數(shù)據(jù)采用base64進(jìn)行編碼,相關(guān)截圖:

CNS_Guidelines_2019.zip

CNS_Guidelines_2019.zip解壓完成后是一個攜帶惡意命令行的LNK文件,雙擊被執(zhí)行后會從C2服務(wù)器下載誘餌DOC文檔和HTA文件,多次下載HTA和PowerShell腳本后最終執(zhí)行Empire后門木馬,后門功能包括Shell、獲取目錄、獲取系統(tǒng)信息等。

文件名稱 CNS_Guidelines_2019.zip
文件大小 1.27 KB (1,302 字節(jié))
SHA256 aefe7ce3ec9328664b375dfb9910b863e086560f990c6d35bf467e2e5b0a992f
SHA1 bf789d83854ca7b149fa9de516024a0d1b1b0aaf
MD5 3aa327948d02d24d6139ae89564ff791
C2 pakcert.gov-pk.org:443
URL http://pakcert.gov-pk.org/zaqxswcderfv.hta
http://pakcert.gov-pk.org/mnbvcxz
http://pakcert.gov-pk.org/zaqxswcde.hta
http://pakcert.gov-pk.org/poilkjmnb
http://pakcert.gov-pk.org/zxcvqwerasdf
攻擊時間 2019.05
誘餌主題 CNS指南2019

1.此次攻擊活動的樣本為壓縮文件,解壓完后釋放LNK文件“Shipment.docx.lnk”,LNK命令行被執(zhí)行后會下載HTA文件和RTF文件,相關(guān)截圖:

2. HTA文件被mshta執(zhí)行后會繼續(xù)下載下一階段的HTA文件。

3. 第二階段的HTA文件被下載執(zhí)行后,會繼續(xù)從C2服務(wù)器獲取PowerShell代碼繼續(xù)執(zhí)行。

4.多階段下載完成后,獲取到一段Base64編碼的PowerShell代碼,解碼完成后是一段使用Empire框架生成的后門,相關(guān)截圖:

5.該后門從“http://pakcert.gov-pk.org:443/admin/get.php”獲取最終的PowerShell執(zhí)行,該后門使用R**加密,其中密鑰為“Nsrs0ep7u4{X2>_M;.%Ftznhxj&]8:Fc”,能夠獲取系統(tǒng)信息、執(zhí)行命令等,相關(guān)截圖:

Betrayal_of_Pakistan_by_China.exe

Betrayal_of_Pakistan_by_China.exe使用C++編譯,本身是一個反彈Shell后門,能夠回傳系統(tǒng)信息,執(zhí)行Shell命令,同時還會釋放BMP誘餌文件。

文件名稱 Betrayal_of_Pakistan_by_China.exe
文件大小 1.27 KB (1,302 字節(jié))
SHA256 0e6fadc64284167473bfc8eb22987852a8a8e8cb323548d2e2efdfb26354adb3
SHA1 a9cc72e785cbd46abcdf7cf90f57beca46c29fab
MD5 d160d0845b654c3aa23552ac0a3725a7
PDB D:\Project\C\pend\Release\pend.pdb
C2 quwa-paf.servehttp.com
攻擊時間 2019.01
誘餌主題 中國對巴基斯坦的背叛

1、嘗試連接19419-19429端口,C2域名為“quwa-paf.servehttp.com”,相關(guān)截圖:

2、如果嘗試連接成功后,會解析接收的數(shù)據(jù),如果是“l(fā)ist”字符串則返回計算機名稱和用戶名稱,相關(guān)截圖:

3、如果非“l(fā)ist”字符串則創(chuàng)建一個新的線程,并且將接收的數(shù)據(jù)輸入到cmd進(jìn)程中,實現(xiàn)Shell的功能,相關(guān)截圖:

4、然后樣本釋放bmp誘餌文件,其中bmp圖片展現(xiàn)一些文檔內(nèi)容。

5、添加自啟動,實現(xiàn)持久化攻擊,此處執(zhí)行的命令行和Go版本的后門中的字符串語法相似。

6、該后門還支持收集信息的一些cmd命令,但是調(diào)試發(fā)現(xiàn)并未執(zhí)行相關(guān)流程。

Karachi GOlf Club Newsletter june2017.pdf.exe

Karachi GOlf Club Newsletter june2017.pdf.exe類樣本采用RAR的SFX封裝,雙擊被執(zhí)行后會釋放誘餌信息和木馬后門,木馬后門采用Python編寫,具備回傳系統(tǒng)配置信息、Shell、獲取目錄、傳輸文件、發(fā)送郵件、遠(yuǎn)程文件執(zhí)行等功能。

文件名稱 Betrayal_of_Pakistan_by_China.exe
文件大小 1.27 KB (1,302 字節(jié))
SHA256 8fb17be82e6998740e2c17d49012fbd475fcaf8b2ecf8990d996a30b1061cddf
SHA1 178f07d1e8afc9b0fb3150fad234b74b5e53778d
MD5 c671362015dab11c0b552d8b4112825a
C2 110.10.176.193
攻擊時間 2017.07
誘餌主題 海軍上將阿瑟·穆赫塔爾(Ather Mukhtar)接任KGC主席

1.此攻擊樣本采用RAR的SFX封裝,雙擊被執(zhí)行后會釋放誘餌信息和木馬后門,相關(guān)截圖:

2.RichAudio.exe為python實現(xiàn)的后門程序,連接固定C2服務(wù)器“110.10.176.193”,能夠拷貝自身到啟動目錄,實現(xiàn)持久化攻擊,相關(guān)截圖:

3.相關(guān)功能包括Shell、獲取目錄、傳輸文件、發(fā)送郵件、遠(yuǎn)程文件執(zhí)行,功能截圖:

4.通過搜索微步在線云沙箱的分析記錄(鏈接),發(fā)現(xiàn)同次攻擊活動中的“provisionalagenda.pdf.exe”釋放的后門曾經(jīng)傳輸過PowerShell代碼進(jìn)行執(zhí)行:

5.Base64解碼后為Empire框架生成的后門木馬

關(guān)聯(lián)分析

綜合分析相關(guān)活動的被攻擊目標(biāo)、潛在受益者和涉及的地緣政治,我們認(rèn)為該組織可能具備印度背景。

對該組織的誘餌文檔和相關(guān)木馬進(jìn)行分析,發(fā)現(xiàn)早期多使用SFX自解壓文件作為木馬載體,少部分使用CVE-2017-11882漏洞文檔,在近期的攻擊活動中多使用攜帶惡意命令的LNK文件作為木馬投遞載體,通過魚叉攻擊將木馬投遞給目標(biāo),并通過創(chuàng)建自啟動方式等實現(xiàn)木馬長期有效駐留。在C2資產(chǎn)方面,該組織經(jīng)過了從固定IP、動態(tài)域名到注冊高仿政府域名的轉(zhuǎn)變。

對該組織進(jìn)行關(guān)聯(lián)分析,發(fā)現(xiàn)該組織同時還有進(jìn)行著網(wǎng)絡(luò)釣魚攻擊,如gov-pk.org在微步在線X平臺可查到如下子域名:

gov-pk.org子域名 攻擊活動分析
mail.navy.mil.bd.mailupdatenavybdzimbra.gov-pk.org 疑似針對孟加拉海軍的郵箱釣魚
mfamail.foreign.gov.mv.mfamailzimbraupdation.gov-pk.org 疑似針對馬爾代夫外交部的郵箱釣魚
mail.paec.gov-pk.org 疑似針對巴基斯坦原子能委員會的郵箱釣魚

綜合分析該組織的歷史活動和相關(guān)TTPs,對該組織畫像如下:

組織名稱 GroupA21
組織簡介 該組織似具備印度背景,主要針對南亞地區(qū)的巴基斯坦、斯里蘭卡、馬爾代夫和孟加拉等國的政府、軍事、外交、情報、原子能和高校等行業(yè)和機構(gòu)開展網(wǎng)絡(luò)間諜活動。
組織背景 印度
活躍時間 2017至今
活躍狀態(tài) 活躍
目標(biāo)地域 南亞地區(qū)的巴基斯坦、斯里蘭卡、馬爾代夫、孟加拉等國
目標(biāo)行業(yè) 政府、軍隊(空軍和海軍)、國防、外交、情報機構(gòu)、原子能、高校、環(huán)境和發(fā)展等
攻擊手法 社工、魚叉攻擊、網(wǎng)絡(luò)釣魚、多階段、腳本化、SFX自解壓文件、惡意命令行LNK文件、CVE-2017-11882
慣用木馬 Python、C、C++、Go等開發(fā)的木馬后門,Empire框架
攻擊目的 竊取政治和軍事情報、持續(xù)控制
針對平臺 Windows

GroupA21相關(guān)IOC

更多IOC信息可前往微步在線X情報社區(qū):https://x.threatbook.cn/nodev4/vb4/article?threatInfoID=2398


 
 

上一篇:黑客利用人們對冠狀病毒的恐懼傳播惡意軟件

下一篇:2020年值得關(guān)注的四大安全趨勢