查看: 8060|回复: 2

APT-C-56(透明部落)伪装简历攻击活动分析

[复制链接]
匿名
匿名  发表于 2023-2-14 17:18:52 |阅读模式
APT-C-56  透明部落APT-C-56(透明部落)别名Transparent Tribe、APT36、ProjectM、C-Major,是一个具有南亚背景的APT组织,其长期针对周边国家和地区(特别是印度)的政治、军事进行定向攻击活动,其开发有自己的专属木马CrimsonRAT,还曾被发现广泛传播USB蠕虫。其一直针对印度的政府、公共部门、各行各业包括但不限于医疗、电力、金融、制造业等保持高强度的信息窃取活动。在今年年初,透明部落与SideCopy被发现利用相同的基础设施并使用相同主题针对相似目标行动,其利用走私情报相关诱饵、伪装印度国防部邮件针对印度频频发起攻击。我们还发现了其利用外链针对外贸行业的攻击活动。
近日,360高级威胁研究院监测到了疑似透明部落的一批攻击活动样本。我们推测是之前行动未被发现的样本,样本利用诱饵文档最终释放其专属木马CrimsonRAT。

一、攻击活动分析 1.攻击流程分析
利用伪装简历的诱饵文档进行攻击活动。通过Dropper释放CrimsonRAT对中招用户持续监控。
2.载荷投递分析2.1 伪装文档
qw1.jpg

我们捕获的样本名字是Sonam kaur_2,文档名称类似样本下面这个文件名称是Sonam Singh的文档,同样采用人名作为文档名称,Sonam Singh的文档内部是一份个人工作简历。

我们推测是同一批攻击行动,与之不同的是,我们捕获的恶意文档打开内部只包含宏代码,一旦用户疏忽点击了启动宏功能,内部隐藏的恶意宏代码自动运行。

qw2.jpg

我们还在推特找到了同名账户,在简介处我们可以发现地位位置在孟买,并且是一家财富咨询公司。推文更新截止时间为2021年7月,虽然这与我们推测的行动时间相一致,暂时无法判断这个推特与文档是否有关联。

qw3.jpg

宏代码在ALLUSERSPROFILE目录下伪装成Mdiaz相关程序,从恶意文档的指定结构中读取隐藏的数据并写入文件中,可以看出APT-C-56(透明部落)利用简单的字符串拼接技术,对exe字符进行拆解,以躲避杀毒引擎的静态查杀。

qw4.jpg

启动释放的恶意PE程序,同时进一步读取内部隐藏的正常文本文档数据,释放到worddcs.docx,最后打开这个文档伪装迷惑用户。

qw5.jpg

2.2 Dropper
释放的PE文件是一个.Net的Dropper程序。首先判断是否存在zip文件,如果不存在将读取资源节并将其中的数据写入文件,如果存在则删除后重新写入。

qw6.jpg

判断目录下是否有以.ford为后缀的文件,如果有,直接创建启动文件。没有指定后缀文件则直接进入后续释放流程。

qw7.jpg

qw8.jpg

随后判断资源内是否存储有后门RAT,如果没有,通过网络连接从C&C下载并运行。

qw9.jpg

3.攻击组件分析
下载后释放的RAT后门伪装成FireFox浏览器,是透明部落一直维护和使用的CrimsonRAT。

qw10.jpg

qw11.jpg

    控制码与命令如下:

指令

控制码

枚举进程

gey7tavs

上传gif

thy7umb

枚举进程

pry7ocl

设置自启动

puy7tsrt

下载文件

doy7wf

设置截屏

scy7rsz

获取文件属性

fiy7lsz

查看截图

cdy7crgn


csy7crgn


csy7dcrgn

停止截屏

sty7ops

桌面截图

scyr7en

获取磁盘信息

diy7rs

参数初始化

cny7ls

删除文件

dey7lt

获取文件信息

afy7ile

删除用户

udy7lt

搜索文件

liy7stf

获取用户信息

iny7fo

执行文件

ruy7nf

移动文件

fiy7le


二、归属研判
通过宏代码的相似以及CrimsonRAT判断这是APT-C-56(透明部落)的攻击活动, 此次发现的样本,与我们之前发布的APT-C-56(透明部落)攻击分析报告有多处相似的地方。
1.与之前攻击行动相关分析1.1宏代码相似
    下图为之前披露行动中的分析:

qw12.jpg

    下图为此次攻击行动中的分析:

qw13.jpg

1.2 Dropper相似
    下图为之前披露行动中的分析:

qw14.jpg

    下图为此次攻击行动中的分析:

qw15.jpg

2.与之前行动差异分析
上次的攻击活动直接通过资源释放RAT。

qw16.jpg

此次发现的样本通过网络连接下载后续RAT。

qw17.jpg

总结

印巴冲突因为边境、文化、种族、历史等原因一直存在,地缘冲突导致的军事、政治刺探始终是该区域的主旋律,印巴之间APT组织之间相互伪装、攻击的事件时有发生,主要是为了迷惑安全厂商分析人员,达到避免暴露自身的目的。巴基斯坦的sidecopy组织一直模仿响尾蛇的攻击方式,是否印度组织也会模仿透明部落的进行攻击活动。

混乱的局势往往代表着各国之间经济、军事、网络安全能力的较量,通过网络攻击活动占领情报先机,维护国家安全也显示越发重要。
附录 IOC
fdb9fe902ef9e9cb893c688c737e4cc7ccc33eff063e44fad0fc3e6057b1bcd90f9f34e3e872e57446ffdcfa90a7b95435e481dec398f206d0be12bc98ccc17a33ea133da15dc060b7709558c97209d2860da5abde63a42b3fbd8202d0cff6d28e642dd589e53347555a7b2596512ed723.254.119.234:6178



360高级威胁研究院

360高级威胁研究院是360数字安全集团的核心能力支持部门,由360资深安全专家组成,专注于高级威胁的发现、防御、处置和研究,曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击,独家披露多个国家级APT组织的高级行动,赢得业内外的广泛认可,为360保障国家网络安全提供有力支撑。

回复

使用道具 举报

  • TA的每日心情
    奋斗
    2023-7-23 15:00
  • 签到天数: 53 天

    [LV.5]常住居民I

    发表于 2023-3-7 18:53:52 | 显示全部楼层
    学习了
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    2023-7-23 15:00
  • 签到天数: 53 天

    [LV.5]常住居民I

    发表于 2023-3-7 18:54:14 | 显示全部楼层
    学习了
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    指导单位

    江苏省公安厅

    江苏省通信管理局

    浙江省台州刑侦支队

    DEFCON GROUP 86025

    旗下站点

    邮箱系统

    应急响应中心

    红盟安全

    联系我们

    官方QQ群:112851260

    官方邮箱:security#ihonker.org(#改成@)

    官方核心成员

    Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

    GMT+8, 2024-12-18 19:21 , Processed in 0.029727 second(s), 16 queries , Gzip On, MemCache On.

    Powered by ihonker.com

    Copyright © 2015-现在.

  • 返回顶部