APT-C-56（透明部落）伪装简历攻击活动分析

APT-C-56  透明部落APT-C-56（透明部落）别名Transparent Tribe、APT36、ProjectM、C-Major，是一个具有南亚背景的APT组织，其长期针对周边国家和地区（特别是印度）的政治、军事进行定向攻击活动，其开发有自己的专属木马CrimsonRAT，还曾被发现广泛传播USB蠕虫。其一直针对印度的政府、公共部门、各行各业包括但不限于医疗、电力、金融、制造业等保持高强度的信息窃取活动。在今年年初，透明部落与SideCopy被发现利用相同的基础设施并使用相同主题针对相似目标行动，其利用走私情报相关诱饵、伪装印度国防部邮件针对印度频频发起攻击。我们还发现了其利用外链针对外贸行业的攻击活动。
近日,360高级威胁研究院监测到了疑似透明部落的一批攻击活动样本。我们推测是之前行动未被发现的样本，样本利用诱饵文档最终释放其专属木马CrimsonRAT。

一、攻击活动分析 1.攻击流程分析
利用伪装简历的诱饵文档进行攻击活动。通过Dropper释放CrimsonRAT对中招用户持续监控。
2.载荷投递分析2.1 伪装文档


我们捕获的样本名字是Sonam kaur_2，文档名称类似样本下面这个文件名称是Sonam Singh的文档，同样采用人名作为文档名称，Sonam Singh的文档内部是一份个人工作简历。

我们推测是同一批攻击行动，与之不同的是，我们捕获的恶意文档打开内部只包含宏代码，一旦用户疏忽点击了启动宏功能，内部隐藏的恶意宏代码自动运行。



我们还在推特找到了同名账户，在简介处我们可以发现地位位置在孟买，并且是一家财富咨询公司。推文更新截止时间为2021年7月，虽然这与我们推测的行动时间相一致，暂时无法判断这个推特与文档是否有关联。



宏代码在ALLUSERSPROFILE目录下伪装成Mdiaz相关程序，从恶意文档的指定结构中读取隐藏的数据并写入文件中，可以看出APT-C-56（透明部落）利用简单的字符串拼接技术，对exe字符进行拆解，以躲避杀毒引擎的静态查杀。



启动释放的恶意PE程序，同时进一步读取内部隐藏的正常文本文档数据，释放到worddcs.docx，最后打开这个文档伪装迷惑用户。



2.2 Dropper
释放的PE文件是一个.Net的Dropper程序。首先判断是否存在zip文件，如果不存在将读取资源节并将其中的数据写入文件，如果存在则删除后重新写入。



判断目录下是否有以.ford为后缀的文件，如果有，直接创建启动文件。没有指定后缀文件则直接进入后续释放流程。





随后判断资源内是否存储有后门RAT，如果没有，通过网络连接从C&C下载并运行。



3.攻击组件分析
下载后释放的RAT后门伪装成FireFox浏览器，是透明部落一直维护和使用的CrimsonRAT。





    控制码与命令如下：

指令	控制码
枚举进程	gey7tavs
上传gif	thy7umb
枚举进程	pry7ocl
设置自启动	puy7tsrt
下载文件	doy7wf
设置截屏	scy7rsz
获取文件属性	fiy7lsz
查看截图	cdy7crgn
	csy7crgn
	csy7dcrgn
停止截屏	sty7ops
桌面截图	scyr7en
获取磁盘信息	diy7rs
参数初始化	cny7ls
删除文件	dey7lt
获取文件信息	afy7ile
删除用户	udy7lt
搜索文件	liy7stf
获取用户信息	iny7fo
执行文件	ruy7nf
移动文件	fiy7le

二、归属研判
通过宏代码的相似以及CrimsonRAT判断这是APT-C-56（透明部落）的攻击活动， 此次发现的样本，与我们之前发布的APT-C-56（透明部落）攻击分析报告有多处相似的地方。
1.与之前攻击行动相关分析1.1宏代码相似
    下图为之前披露行动中的分析：



    下图为此次攻击行动中的分析：



1.2 Dropper相似
    下图为之前披露行动中的分析：



    下图为此次攻击行动中的分析：



2.与之前行动差异分析
上次的攻击活动直接通过资源释放RAT。



此次发现的样本通过网络连接下载后续RAT。



总结

印巴冲突因为边境、文化、种族、历史等原因一直存在，地缘冲突导致的军事、政治刺探始终是该区域的主旋律，印巴之间APT组织之间相互伪装、攻击的事件时有发生，主要是为了迷惑安全厂商分析人员，达到避免暴露自身的目的。巴基斯坦的sidecopy组织一直模仿响尾蛇的攻击方式，是否印度组织也会模仿透明部落的进行攻击活动。

混乱的局势往往代表着各国之间经济、军事、网络安全能力的较量，通过网络攻击活动占领情报先机，维护国家安全也显示越发重要。
附录 IOC
fdb9fe902ef9e9cb893c688c737e4cc7ccc33eff063e44fad0fc3e6057b1bcd90f9f34e3e872e57446ffdcfa90a7b95435e481dec398f206d0be12bc98ccc17a33ea133da15dc060b7709558c97209d2860da5abde63a42b3fbd8202d0cff6d28e642dd589e53347555a7b2596512ed723.254.119.234：6178



360高级威胁研究院

360高级威胁研究院是360数字安全集团的核心能力支持部门，由360资深安全专家组成，专注于高级威胁的发现、防御、处置和研究，曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击，独家披露多个国家级APT组织的高级行动，赢得业内外的广泛认可，为360保障国家网络安全提供有力支撑。

张阳凡

学习了

张阳凡

学习了