概述
GroupA21 组织是疑似来自印度的APT组织,又名 “幼象”、“babyelephant” 等, 该组织至少自 2017 年开始活跃,持续针对南亚地区的巴基斯坦、斯里兰卡、马尔代夫和孟加拉等国的政府、军事、外交、情报、原子能和高校等行业和机构开展网络间谍活动的APT组织。该组织在攻击方法及资产上喜欢模仿印度组织 “SideWinder”,在归因上也带来一定困难。
微步情报局近期通过威胁狩猎系统捕获到一起 GroupA21 组织的攻击活动,经过分析有如下发现:
攻击者利用官方网站的正常 PDF 文件作为诱饵,在文件内携带恶意 LNK 文件启动诱饵及木马文件。
攻击者使用的最终载荷为 WarHawk 自研木马以及 NetWire、CobaltStrike 等公开木马,除此外我们还发现了部署 Sliver 的 C2 服务器。
微步通过对相关样本、IP 和域名的溯源分析,提取多条相关 IOC ,可用于威胁情报检测。微步在线威胁感知平台 TDP 、本地威胁情报管理平台 TIP 、威胁情报云 API 、互联网安全接入服务 OneDNS 、主机威胁检测与响应平台 OneEDR 等均已支持对此次攻击事件和团伙的检测。
详细分析
该文件为 .iso 格式的文件,其中包含诱饵文件、木马文件、以及启动的 .lnk 文件。
图 1 ISO内包含的文件
.lnk 文件内使用命令:“C:\Windows\System32\cmd.exe /c START /B RtlAudioDriver.exe & 32-Advisory-No-32-2022.pdf” 运行木马文件及诱饵文件。诱饵文件内容为一则钓鱼的防护提示,诱饵文件是来自于巴基斯坦政府网站 cabinet.gov.pk 的白文件。
图 2 诱饵文件内容
在代码中,攻击者使用 PE 文件中的 PEB 结构获取指定函数地址。
图 3 从PEB结构获取指定函数地址
一旦枚举到 Kernel32.dll 的基址后,木马便会解密出一批 DLL 名称及函数名称,加解密使用简单的加减法0x42。
图 4 字符串加解密
首先获取当前硬件的全局唯一标识符(GUID),当获取失败时,退出进程。获取成功后,将其拼接到字段 “hwid” 后,用于后续与 C2 地址连接使用。
图 5 获取hwid
将获取的 hwid 发送到 C2 地址“146.190.235.137/wh/glass.php”。
图 6 发送到C2地址
并且通过 InternetReadFile() 读取来自 C2 服务器的响应,在新版本中 C2 服务器回传“0”,而在老版本中回传“1”。随后通过 Windows API 搜集系统信息,使用的 API 及具体信息如下:
通过 GetComputerNameA() 获取计算机名;
通过 GetUserNameA() 获取用户名;
通过 RegQueryValutExA() 从注册表中获取系统产品名称;
搜集完成后,按照下列指定格式排列,并再次将信息发送到 C2 地址:
{ "_hwid": "{GUID}", "_computer": "Computer_Name", "_username": "User_Name", "_os": "Windows_Product_Name" }
图 7 再次发送信息到C2
后续会根据 C2 地址下发的指令不同执行远控操作,具体包含远程下载执行、命令执行、文件管理操作三大类。
在远程下载模块,木马使用如下的格式下发指令,从远程服务器下载文件:
{ "_task": "true", "_id": " id_no ", "_type": " type_no ", "_url": " Remote_URL " }
图 8 远程下载示例
在命令执行模块,木马会通过使用 cmd.exe 执行命令,并将命令执行结果以 base64 编码的形式传回 C2 地址。
图 9 回传执行结果
在文件管理模块,木马可以对指定磁盘、指定路径的文件进行遍历,获取磁盘及文件信息。
图 10 获取磁盘类型
在获取到文件信息后,会以以下格式回传文件信息:
{ \"name\": \"文件名\", \"mod\": \"修改时间\", \"type\": \"文件类型\", \"size\":'\"文件大小\" }
图 11 信息回传
值得注意的是,我们在攻击者的 C2 地址中发现了一个后台登录页面,从后台的名称来看该远控木马被称为 “WarHawk”。
图 12 WarHawk登录界面
33-Advisory-No-33-2022.pdf.iso
该文件同样为 iso 格式,其中带有诱饵文件、恶意木马以及启动诱饵与木马的 .lnk 文件。
图 13 .iso内的文件
.lnk 文件使用命令行同时启动诱饵文件以及木马文件,诱饵文件依然使用与网络安全相关的建议为话题。
图 14 诱饵文件内容
木马文件名为 “MSBUILD.exe”,却在文件属性中仿冒 ASUS 的官方组件。该远控木马与前面分析的 “WarHawk” 为同一木马,使用同样的C2地址“146.190.235.137”,不过攻击者在远控方面增加了文件上传的新功能。
图 15 代码对比
circular_29092022.iso
该文件为 .iso 格式文件,其中包含诱饵文件、.lnk快捷方式文件、白加黑的白文件与黑文件。
其中诱饵文件内容与巴基斯坦2022年洪水相关,文件来自巴基斯坦政府官方网站。
图 16 诱饵文件
木马文件中则使用了白加黑利用,使用微软官方组件加载恶意 DLL 文件。在恶意文件中,核心代码使用 Windows API cryptDecrypt 进行解密,解密完成后修改内存属性并执行。
图 17 解密代码
解密后的内容为公开的 NetWire 远控木马,与 C2 地址54.145.6.146:443建立连接并达到远控的功能。
图 18 与C2地址连接
除此外,我们还发现另一使用.NET编写加载器, 从 url“i.ibb.co/646Mt14/deloitte-nl-tnfd-framework-beta-release-promo-Final.jpg” 下载图片,并从图片中获取并解密出后续攻击载荷,经过分析,后续攻击载荷依然为 NetWire 远控木马,并且同样与 C2 地址54.145.6.146:443建立连接。
关联分析
我们在关联过程中,发现此次攻击活动中攻击者存放木马的 C2 地址 “ntc-gov.com” 的 IP 地址解析中,存在大量攻击者的资产。其中一个域名 “pkgov.org” 曾存在 GroupA21 组织长期针对的针对巴基斯坦 NTC(国家电信公司)钓鱼的页面。
图 19 钓鱼页面
通过我们对 GroupA21 组织所掌握邮箱的关联,发现了另一域名 “ntcgov.org”,并且该地址上存在 CobaltStrike 的部署,而在本次攻击活动中,攻击者的 C2 地址“146.190.235.137”我们不仅存在 NetWire 远控,同时也发现了 CobaltStrike 的部署,除此外还发现有多种开源框架马 Sliver 的部署,也符合 GroupA21 组织多使用开源、商业马的特征。
行动建议
1、排查企业网络是否有与附录中 IOC 通信情况,并通过相关情报信息进行自查;
2、如发现部分网络中出现失陷主机,需及时断网,因攻击者的远控下载及执行指令、路径无统一特征,建议及时寻找安服取证。
3、统一规定内部设备使用DNS服务器,要求DNS服务器具备日志备份和恶意DNS查询拦截功能和提示记录,及时将恶意DNS拦截并告警,实现快速响应和止损;
4、微步通过对相关样本、IP和域名的溯源分析,共提取多条相关IOC,可用于威胁情报检测。微步在线威胁感知平台TDP、本地威胁情报管理平台TIP、威胁情报云API、互联网安全接入服务OneDNS等均已支持对此次攻击事件和团伙的检测。如需协助,请与我们联系:[email protected]。
回复关键词“YX”获取相关IOC。
---End---
点击下方,关注我们
第一时间获取最新的威胁情报