概述

Bitter团伙是一个长期针对中国、巴基斯坦等国家进行攻击活动的APT组织，该组织主要针对政府、军工业、电力、核等单位进行攻击，窃取敏感资料，具有强烈的政治背景。

最近，在上班摸鱼闲逛某不存在网站的时候，发现红雨滴大佬披露的bitter盗用巴基斯坦某警察部门数字签名的攻击事件

遂在免费沙箱anyrun上找到该样本进行分析学习

样本分析

先从诱饵文档开始分析

该样本采取模板注入的方式获取执行后续payload，此类方式可以起到极好的免杀效果。

VT 目前57家杀软也仅仅只有11家报毒

执行后，从模板外链地址http://w32infinitisupports.net/win/ ctfd 获取文件执行。此类方式缺点也比较明显，执行时会有明显的从服务器获取文件的界面，如下所示

模板注入的文件

模板注入加载的文件是公式编辑器漏洞利用文档，oletools查看如下

通过执行命令rtfobj.exe cftd –s all将文档中的ole对象dump出来，用16进制查看器进行分析。在末尾可看到执行的shellcode。

从w32infinitisupports.net\win\ctf获取文件保存到C:\Inf\dwm.exe路径，并执行

Downloader

该文件的主要功能为与c2进行通信获取其他插件执行，入口处一股bitter味

运行后创建目录c:\\Driver\\，并将自身拷贝到该目录下重命名为nsdtcv.exe

之后将nsdtcv.exe设为启动项实现持久化

之后获取计算机信息加密处理和与c2：http://blth32serv.net/ourtyaz/qwf.php?进行通信

从c2获取数据，判断数据前几位是否为"WIT: #，若"WIT: #后跟了字符串内容，则下载执行该插件

在分析的过程中未获取到其他插件

同源样本

根据红雨滴大佬的线索，另一个具有相同c2的样本信息如下

该样本与Downloader功能c2全部一致，而该样本甚至具有数字签名，如下所示：

通过数字签名邮箱@sindhpolice.gov.pk可以得知该签名属于巴基斯坦信德警察局

信德地区处于巴基斯坦与印度交界处，emmm，你懂得

在某不存在的网站，@blackorbird大佬推测是攻击者获取签名生成器

与bitter的关联

Downloade与之前公开报告中bitter的下载马基本一致

Pdb与之前bitter使用的pdb基本相似

 结合上述信息，此次进行盗取警察签名这种嚣张行为的组织应该是来自bitter团伙。

Ioc:

Md5:

226d33f02acb6b8d0a1b9ecf4f7a1752

fa6d27a7df1a47fe9fc2f6595f7ab700  

d8b2cd8ebb8272fcc8ddac8da7e48e01

cc:

blth32serv.net

 *本文原创作者：fuckgod，本文属FreeBuf原创奖励计划，未经许可禁止转载