【高级威胁追踪(APT)】警惕来自Timitator组织RUST特马的攻击
2024-5-13 16:17:13 Author: mp.weixin.qq.com(查看原文) 阅读量:1 收藏

概述

Timitator(战术模仿者) 组织自2022年到2023年针对我国的能源、高校、科研机构及军工等行业进行攻击,主要采取鱼叉、nday等方式进行打点。

其鱼叉攻击分别投递过exe、chm、iso(img)及lnk等格式的载荷,在受害者成功执行该恶意附件后,在第一阶段时其会加载cobaltstrike并建立稳定连接,在第二阶段通过cobaltstrike加载其自定义特马,再通过探测内网确认每个失陷目标的价值,对不同的目标设计不同的后续攻击或利用方式,窃取高价值目标的数据和文件。该组织在攻击行动中常模仿其他组织的攻击战术,因此我们将该组织命名为战术模仿者(Timitator->ttps imitator),该组织也被其他友商称为apt-q-77、变异鼠,部分友商将其归因到海莲花,该组织目前归因复杂无法确定其最终背景 。

近期,深信服深瞻情报实验室捕获到Timitator组织最新的一批钓鱼样本,在这批样本中发现该组织在攻击中使用RUST特马代替CobaltStrike进行远程控制,并且发现释放到磁盘中的文件带有VMP虚拟外壳。

本次捕获到多个Timitator钓鱼样本,分析后发现:在2024-03-28之后上传的样本中,没有使用CobaltStrike作为远控工具,而是使用一个由RUST语言编写的远控工具,在文章中简称为RUST特马。

sha256

上传时间

type

C2

49d3777d0d02cd2a4d1c44313c72279fee1681c1e3566535f9117d17b274424b

2024-03-22

CobaltStrike

39.104.205.68:443

acf0fb4dac33e197de3a3e142eeaa7e5a892607424e8ea8708d49c65f3703d61

2024-03-25

CobaltStrike

64.176.58.16:80

87bfce678855fa498d85b143beaf129f9bd468ebdcc1226b2ba39780a02f3d2e

2024-03-28

RUST特马

38.180.94.8:80

aac2cbd4cb119dec6c9a8c58f86b8bdd83d27fdaed85149bb2572599de9e32c0

2024-04-12

RUST特马

38.180.94.8:80

该组织曾多次使用白加黑技术,此次样本中使用两种白加黑利用组合。

Psadminagent.exe(nitrosense散热控制系统)+WTSAPI32.dll

Bitdefender(杀毒软件)+Log.dll

释放到磁盘中的恶意dll文件,则是意外地使用VMP加壳来保护程序,但因为没有合法的签名,导致免杀效果不佳。

本次制作成钓鱼样本的EXE文件,为NSIS打包而成安装程序,最新的样本中还发现带有伪造的Microsoft签名以及伪造成某国内企业的描述信息,用于伪装成正常的软件程序。

样本分析

以其中一个NSIS打包的安装程序为例,该样本的详细信息如下

描述

详细信息

名称

1.exe

文件大小

17185768 bytes

文件类型

EXE

文件功能

Loader

编译时间

/

开发平台及语言

/

是否加壳

VT首次上传时间

2024-04-12 07:56:11 UTC

md5

4a2e2fe59c21cbefbbad3bb8d2852a44

Sha256

aac2cbd4cb119dec6c9a8c58f86b8bdd83d27fdaed85149bb2572599de9e32c0

文件执行后会在%temp%目录释放文件夹{739C1B82-9E37-4986-91C4-5939D63A6EE5}和3个可执行文件,然后执行setup.exe,从而加载恶意程序Log.dll。

第二阶段载荷的详细信息如下。

描述

详细信息

名称

Log.dll

文件大小

7006208 bytes

文件类型

DLL

文件功能

Loader

编译时间

/

开发平台及语言

/

是否加壳

VMProtect

VT首次上传时间

2024-03-28 05:06:56 UTC

md5

aff6cae1b461c830f6cf0efe2364101d

Sha256

ba27c022b5e81fc719ed3097f950bb3e7613dc2c8b9b2851bbb573f7c48ae286

该文件原始文件名为snvmse.dll,功能与以往发现的样本一致,执行后会生成文件夹%temp%\NVidiaSetup\kd8812u,将计算机名和C盘信息写入到kd8812u的附加数据流。

随后使用loadlibrary加载另一个恶意程序SogouInput.dll,调用其导出函数begin。

SogouInput.dll文件信息如下。

描述

详细信息

名称

SogouInput.dll

文件大小

10268160 bytes

文件类型

DLL

文件功能

Loader

编译时间

/

开发平台及语言

/

是否加壳

VT首次上传时间

2024-03-28 05:06:58 UTC

md5

9476ae68b01c0167254b3ec638e619b9

Sha256

6cb80b939b8de9f15726391f807b947951083da28c2647b8c8451021d559f7ee

该组件也沿用以往的设计,截取屏幕截图保存为0_1718x926.png,收集系统信息保存为{5588ACFD-6436-411B-A5CE-666AE6A92D3D}。

随后在导出函数begin中从资源中读取出shellcode,解密后执行。

经过两个阶段的shellcode执行后,在内存中展开名为client.dll的库文件并执行其中的代码,该文件的详细信息如下:

描述

详细信息

名称

Client.dll

文件大小

1684480 bytes

文件类型

RUST

文件功能

RAT

编译时间

/

开发平台及语言

/

是否加壳

VT首次上传时间

2023-03-08 11:05:03 UTC

md5

d2a6b4906326311c221a77c805bdfa8a

Sha256

4f7d2738cc40493bded2e7acca155274c67258d5072ce44220b3cc2ba4afc63c

该文件是由RUST编写的远控程序,实现了远程命令执行、文件窃取、文件下载、文件执行、远程代码执行等功能。使用密钥“p@sswor!kS@mk$y”异或解密附加在文件尾部的数据,得到配置数据。

远程命令执行使用的是传统的重定向cmd进程的输入输出流到管道中,管道的另一边通过网络通信与攻击者的服务器连接,攻击者在服务器输入的命令都能通过管道传输到cmd中执行并回显执行结果。

文件执行时,当文件不存在,则下载文件到%temp%路径下,然后再调用ShellExecute执行文件。

远程代码执行,根据提供的文件名,将文件数据复制到可执行内存中,随后创建线程执行。

关联分析

在分析中我们发现样本中提取到的shellcode与近期友商披露的海莲花样本中使用的高度一致,下图展示的是第一阶段的shellcode,第二阶段的shellcode也是基本一致。

此外不仅是攻击时偏爱使用CobaltStrike,在提取到的CobaltStrike配置信息中的,使用的域名结构为*-*-*,cloudflare服务。

文件hash

C2

4a8756b22029a88506744ab7864c9b83

strengthening-memories-reportsrestoration.trycloudflare.com

友商披露的样本。

文件hash

C2

064cd0afb4dc27df9d30c7f5209a8e5b

oo-advances-computers-interests.trycloudflare.com

3ada3a7ff12dbe5e129b4aec77051843

guilty-patricia-connecticut-pulled.trycloudflare.com

无独有偶,这批样本并不是Timitator第一次使用特马,在2023年,我们就观测到该组织使用的golang特马。

sha256

上传时间


Filetype

C2

38c815370bddf0e1d0552801de06e544c6656171b0d1435c3dc66d3ac3bcdd2a

2023-02-15

ELF

185.32.126.126:5353

6c959ea4fd3b4dcf8202237870e0782a18bfde05418157b42377c9475355d3ac

2023-12-21

ELF

129.232.134.106:443

774c9181a53d08b245a71a2cf7f55c24c4dbc7fa5e4b7e0aa39f855c74c65e55

2024-02-01

DLL

45.131.132.146:80

二者都是由同一份代码编译出来的,分别运行在linux和windows平台。

在与RUST特马的字符串特征比较中,疑似出自同一位开发者。

总结

Timitator组织仍处于活跃状态仍需警惕来自该组织的定向攻击。不过此前他们多次使用CobaltStrike,而CobaltStrike本是各家安全厂商关注的重点,因此该组织正在寻求隐秘性更高的远控程序和攻击技术来应对安全软件的围追堵截,使用自定义特马是他们做出的改变。同时在钓鱼文件添加更高可信度的描述信息,带着伪装的文件签名则是为了更好地迷惑用户,增加钓鱼的成功率。

深信服蓝军高级威胁(APT)团队专注全球高级威胁事件的跟踪与分析,拥有一套完善的自动化分析溯源系统以及外部威胁监控系统,能够快速精准地对APT组织使用的攻击样本进行自动化分析和关联,同时积累并完善了几十个APT以及网络犯罪威胁组织的详细画像,成功帮助客户应急响应处置过多起APT及网络犯罪威胁组织攻击事件,未来随着安全对抗的不断升级,威胁组织会研究和使用更多新型的TTP,深信服高级威胁团队会持续监控,并对全球发现的新型安全事件进行深入分析与研究。

IOC

IOC类型

详细信息

IP:PORT

39.104.205.68:443

IP:PORT

38.180.94.8:80

IP:PORT

64.176.58.16:80

IP:PORT

207.148.71.4:443

IP:PORT

129.232.134.106:443

IP:PORT

45.131.132.146:80

DOMAIN

strengthening-memories-reports-restoration.trycloudflare.com:443

SHA256

49d3777d0d02cd2a4d1c44313c72279fee1681c1e3566535f9117d17b274424b

SHA256

acf0fb4dac33e197de3a3e142eeaa7e5a892607424e8ea8708d49c65f3703d61

SHA256

87bfce678855fa498d85b143beaf129f9bd468ebdcc1226b2ba39780a02f3d2e

SHA256

aac2cbd4cb119dec6c9a8c58f86b8bdd83d27fdaed85149bb2572599de9e32c0

SHA256

6c959ea4fd3b4dcf8202237870e0782a18bfde05418157b42377c9475355d3ac

SHA256

774c9181a53d08b245a71a2cf7f55c24c4dbc7fa5e4b7e0aa39f855c74c65e55

SHA256

ba27c022b5e81fc719ed3097f950bb3e7613dc2c8b9b2851bbb573f7c48ae286

SHA256

6cb80b939b8de9f15726391f807b947951083da28c2647b8c8451021d559f7ee

参考链接

https://mp.weixin.qq.com/s/K-FUaffQx4g6d_hweXxCTg


文章来源: https://mp.weixin.qq.com/s?__biz=Mzg2NjgzNjA5NQ==&mid=2247522792&idx=1&sn=55d6a40ba6d0b31d493bebae3387bd3c&chksm=ce4612f8f9319beec40709aafd7b29d3f3158f9b2f2a2c27ba22ca000736385ec950df828b4c&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh