APT组织“GroupA21”借政府官方文档攻击巴基斯坦
2023-1-11 11:56:10 Author: 微步在线研究响应中心(查看原文) 阅读量:24 收藏

1

           概述

GroupA21 组织是疑似来自印度的APT组织,又名 “幼象”、“babyelephant” 等, 该组织至少自 2017 年开始活跃,持续针对南亚地区的巴基斯坦、斯里兰卡、马尔代夫和孟加拉等国的政府、军事、外交、情报、原子能和高校等行业和机构开展网络间谍活动的APT组织。该组织在攻击方法及资产上喜欢模仿印度组织 “SideWinder”,在归因上也带来一定困难。

微步情报局近期通过威胁狩猎系统捕获到一起 GroupA21 组织的攻击活动,经过分析有如下发现:

  • 攻击者利用官方网站的正常 PDF 文件作为诱饵,在文件内携带恶意 LNK 文件启动诱饵及木马文件。

  • 攻击者使用的最终载荷为 WarHawk 自研木马以及 NetWire、CobaltStrike 等公开木马,除此外我们还发现了部署 Sliver 的 C2 服务器。

微步通过对相关样本、IP 和域名的溯源分析,提取多条相关 IOC ,可用于威胁情报检测。微步在线威胁感知平台 TDP 、本地威胁情报管理平台 TIP 、威胁情报云 API 、互联网安全接入服务 OneDNS 、主机威胁检测与响应平台 OneEDR 等均已支持对此次攻击事件和团伙的检测。

2

           详细分析

32-Advisory-No-32.iso

该文件为 .iso 格式的文件,其中包含诱饵文件、木马文件、以及启动的 .lnk 文件。

图 1 ISO内包含的文件

.lnk 文件内使用命令:“C:\Windows\System32\cmd.exe /c START /B RtlAudioDriver.exe & 32-Advisory-No-32-2022.pdf” 运行木马文件及诱饵文件。诱饵文件内容为一则钓鱼的防护提示,诱饵文件是来自于巴基斯坦政府网站 cabinet.gov.pk 的白文件。

图 2 诱饵文件内容

攻击者使用的木马文件名为 “RtlAudioDriver”,并在文件描述中模仿 “Realtek” 官方组件。

在代码中,攻击者使用 PE 文件中的 PEB 结构获取指定函数地址。

图 3 从PEB结构获取指定函数地址

一旦枚举到 Kernel32.dll 的基址后,木马便会解密出一批 DLL 名称及函数名称,加解密使用简单的加减法0x42。

图 4 字符串加解密

首先获取当前硬件的全局唯一标识符(GUID),当获取失败时,退出进程。获取成功后,将其拼接到字段 “hwid” 后,用于后续与 C2 地址连接使用。

图 5 获取hwid

将获取的 hwid 发送到 C2 地址“146.190.235.137/wh/glass.php”。

图 6 发送到C2地址

并且通过 InternetReadFile() 读取来自 C2 服务器的响应,在新版本中 C2 服务器回传“0”,而在老版本中回传“1”。随后通过 Windows API 搜集系统信息,使用的 API 及具体信息如下:

  • 通过 GetComputerNameA() 获取计算机名;

  • 通过 GetUserNameA() 获取用户名;

  • 通过 RegQueryValutExA() 从注册表中获取系统产品名称;

搜集完成后,按照下列指定格式排列,并再次将信息发送到 C2 地址:

{ "_hwid": "{GUID}", "_computer": "Computer_Name", "_username": "User_Name", "_os": "Windows_Product_Name" }

图 7 再次发送信息到C2

后续会根据 C2 地址下发的指令不同执行远控操作,具体包含远程下载执行、命令执行、文件管理操作三大类。

在远程下载模块,木马使用如下的格式下发指令,从远程服务器下载文件:

{ "_task": "true", "_id": " id_no ", "_type": " type_no ", "_url": " Remote_URL " }

图 8 远程下载示例

在命令执行模块,木马会通过使用 cmd.exe 执行命令,并将命令执行结果以 base64 编码的形式传回 C2 地址。

图 9 回传执行结果

在文件管理模块,木马可以对指定磁盘、指定路径的文件进行遍历,获取磁盘及文件信息。

图 10 获取磁盘类型

在获取到文件信息后,会以以下格式回传文件信息:

{ \"name\": \"文件名\", \"mod\": \"修改时间\", \"type\": \"文件类型\", \"size\":'\"文件大小\" }

图 11 信息回传

值得注意的是,我们在攻击者的 C2 地址中发现了一个后台登录页面,从后台的名称来看该远控木马被称为 “WarHawk”。

图 12 WarHawk登录界面

33-Advisory-No-33-2022.pdf.iso

该文件同样为 iso 格式,其中带有诱饵文件、恶意木马以及启动诱饵与木马的 .lnk 文件。

图 13 .iso内的文件

.lnk 文件使用命令行同时启动诱饵文件以及木马文件,诱饵文件依然使用与网络安全相关的建议为话题。

图 14 诱饵文件内容

木马文件名为 “MSBUILD.exe”,却在文件属性中仿冒 ASUS 的官方组件。该远控木马与前面分析的 “WarHawk” 为同一木马,使用同样的C2地址“146.190.235.137”,不过攻击者在远控方面增加了文件上传的新功能。

图 15 代码对比

circular_29092022.iso

该文件为 .iso 格式文件,其中包含诱饵文件、.lnk快捷方式文件、白加黑的白文件与黑文件。

其中诱饵文件内容与巴基斯坦2022年洪水相关,文件来自巴基斯坦政府官方网站。

图 16 诱饵文件

木马文件中则使用了白加黑利用,使用微软官方组件加载恶意 DLL 文件。在恶意文件中,核心代码使用 Windows API cryptDecrypt 进行解密,解密完成后修改内存属性并执行。

图 17 解密代码

解密后的内容为公开的 NetWire 远控木马,与 C2 地址54.145.6.146:443建立连接并达到远控的功能。

图 18 与C2地址连接

除此外,我们还发现另一使用.NET编写加载器, 从 url“i.ibb.co/646Mt14/deloitte-nl-tnfd-framework-beta-release-promo-Final.jpg” 下载图片,并从图片中获取并解密出后续攻击载荷,经过分析,后续攻击载荷依然为 NetWire 远控木马,并且同样与 C2 地址54.145.6.146:443建立连接。

3

           关联分析

在本次攻击中,攻击者使用的域名地址大多以 PK、GOV 作为关键字,且在域名上模仿印度组织 SideWinder 的特点。且在投递的恶意文件中,与以往的投递手法相似,都使用官方网站的 PDF 以及恶意 lnk 文件,并在后续执行开源木马如 NetWire、CobaltStrike。

我们在关联过程中,发现此次攻击活动中攻击者存放木马的 C2 地址 “ntc-gov.com” 的 IP 地址解析中,存在大量攻击者的资产。其中一个域名 “pkgov.org” 曾存在 GroupA21 组织长期针对的针对巴基斯坦 NTC(国家电信公司)钓鱼的页面。

图 19 钓鱼页面

通过我们对 GroupA21 组织所掌握邮箱的关联,发现了另一域名 “ntcgov.org”,并且该地址上存在 CobaltStrike 的部署,而在本次攻击活动中,攻击者的 C2 地址“146.190.235.137”我们不仅存在 NetWire 远控,同时也发现了 CobaltStrike 的部署,除此外还发现有多种开源框架马 Sliver 的部署,也符合 GroupA21 组织多使用开源、商业马的特征。

4

          行动建议

1、排查企业网络是否有与附录中 IOC 通信情况,并通过相关情报信息进行自查;

2、如发现部分网络中出现失陷主机,需及时断网,因攻击者的远控下载及执行指令、路径无统一特征,建议及时寻找安服取证。

3、统一规定内部设备使用DNS服务器,要求DNS服务器具备日志备份和恶意DNS查询拦截功能和提示记录,及时将恶意DNS拦截并告警,实现快速响应和止损;

4、微步通过对相关样本、IP和域名的溯源分析,共提取多条相关IOC,可用于威胁情报检测。微步在线威胁感知平台TDP、本地威胁情报管理平台TIP、威胁情报云API、互联网安全接入服务OneDNS等均已支持对此次攻击事件和团伙的检测。如需协助,请与我们联系:[email protected]

回复关键词“YX获取相关IOC。

---End---
点击下方,关注我们
第一时间获取最新的威胁情报



文章来源: http://mp.weixin.qq.com/s?__biz=Mzg5MTc3ODY4Mw==&mid=2247499139&idx=1&sn=2af74b3e63afb7c803d481baa9ebec67&chksm=cfca9e97f8bd178144c04431339c15fbd67295a96be8b79978e891a4a8909e7ea91368e23664#rd
如有侵权请联系:admin#unsafe.sh