freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

“肚脑虫”组织近期利用Google云盘分发新款恶意插件的攻击活动分析
2021-11-23 18:23:35

概述

Donot“肚脑虫”(APT-Q-38)是疑似具有南亚背景的APT组织,其主要以周边国家的政府机构 为目标进行网络攻击活动,通常以窃取敏感信息为目的。该组织具备针对Windows与Android双平台的攻击能力。

近日,奇安信威胁情报中心红雨滴在日常的威胁狩猎捕获一起Donot APT组织近期攻击活动。 根据红雨滴研究人员跟踪分析,Donot此次的攻击活动有如下特点:

1.RTF文档中嵌入Package对象,打开后自动释放文件到%temp%目录。

2.C2不再硬编码到文件中,而是由第三方网站托管。

3.此次捕获多个组件,相比以前功能较为完善。

样本信息

整个攻击流程如下:

v2-16466525a981dc2d432fca217723ecda.jpg

相关恶意样本基础信息如下:

文件名

dttcodexgigas.3e34f8d8966aa8f71ba6c3a16580b1aa76b87d6a

MD5

21c632f9954488122cbf6f0ec0230673

文件大小

427687 bytes

文件类型

Rich Text Format

样本为RTF文档,打开后为空白页面:

v2-306b5970c25ce22e54f6e155c0af2555.jpg

详细分析

RTF文档内嵌了2个对象,一个名为”Package”的对象,RTF打开后会自动释放此对象。到%temp%\syswow64.dll,另一个为Equation对象用来触发cve-2017-11882漏洞,漏洞触发后会下载http://wordfile.live/goHULMS9jXVytbJi/LUPQwf50wsIPdieiJjMb9nV4g5WlDRTzL00cZ3y7PXsdRdQN作为shellcode在内存中执行。

v2-6074d553049363f718b78c060c058d52.jpg

Shellcode运行后会加载%temp%\syswow64.dll,并调用其名为InterMHoueTos的导出函数。

v2-d3a3ae5049e95b0d028d643c70454eb3.jpg

文件名

gtue.dll、syswow64.dll

MD5

ba35770e8823274cc931bf399cb29d09

文件大小

196096 bytes

文件类型

Win32 DLL

syswow64.dll主要实现下载器功能,其包含2个导出函数分别为InterMHoueTos、KetoHoueRog,其中InterMHoueTos导出函数将syswow64.dll复制到%temp%\gtue.dll,并创建名为OneDriveUpdater的计划任务,实现%temp%\gtue.dll的自启动。

v2-56ba93abdfb7bda620cdd8dda7f88d15.jpg

KetoHoueRog导出函数首先创建名为” QvvgkeIop”的互斥体,接着判断当前是否处于虚拟机环境,若检测出虚拟机运行环境,则结束当前进程。

v2-ae12bf512bdafc547e9b7976a9992a5d.jpg

接着获取用户名、计算机名、操作系统、处理器等主机系统信息。

v2-89f95dfebcf4cd7b36ba6d2b7fda5389.jpg

发起 Get 请求到 en.wikipedi[a].org/wiki/Encyclopedia 测试网络连接。

v2-bb20694841eff7eca3928ca2957ba532.jpg

若网络测试成功,则通过POST方式上传搜集的系统信息到”https://svhservice.xyz/klmn/hisf/A”,并将返回的数据保存到 %ProgramData%\S0ftwareDistribution\SgBrokerpm.dll,并创建名为GoogleTaskUpdateMachine的计划任务,实现SgBrokerpm.dll的自启动。

v2-d97ae53c53bc533c9636bfad83d93a68.jpg

文件名

SgBrokerpm.dll

MD5

164c42cfa85b4c1fe8fd373c447faeaf

时间戳

2021/11/12 17:48:56

SgBrokerpm.dll主要功能是下载后续插件执行,该样本中使用了大量的C++库函数和无效代码。

样本运行后首先进行杀软检测,若"\\Program Files\\*"和"\\Program Files (x86)\\*"目录下存在"avast"或"avg"子目录,则结束当前进程,否则进行后续行为。

v2-4c2d4ae104779bfad65964d59039bcb0.jpg

接着获取后续插件的C2下载地址: 若样本当前运行目录下存在”\ntada\flgdmn.dat” 文件,则读取文件中的C2配置,读取失败则从https://drive.google.com/uc?export=download&id=1l5D9u18Z9J_3br2hFI94mKDMTex3uULq中读取C2配置,并将C2保存到flgdmn.dat文件,分析过程中获取到后续C2为newcontasts.top。

v2-97f8ee2614d39f57111f6fdab6f52882.jpg

获取到后续C2地址newcontasts.top后,首先获取当前用户名、计算机名、磁盘序列号信息保存到“当前运行目录\nuid.txt”文件中,并将信息上传到https://newcontasts.top/klmn/disa。

v2-8a5764588be4489d692a24f8edd92308.jpg

接着,从newcontasts.top获取数据保存到“当前运行目录\ntada\NaMPCon.dat”,NaMPCon.dat文件中保存的是各个插件的名称。

v2-f241394676a7ee6ffc81123e38855709.jpg

接着开始下载上述插件保存到本地,下载地址包括https://newcontasts.top/klmn/hisf/5/mm、https://newcontasts.top/klmn/hisf/UR1/mm、https://newcontasts.top/klmn/hisf/A/sa,保存到本地的路径可以为”%ProgramData%\Mdormitar\”目录、"%ProgramData%\Mloypt\"目录、"样本运行目录\ntada\"目录。

v2-54a5a4f805a630ac21158d168079ef01.jpg

若下载成功,则创建名为”GoogleTaskUpdateMachine”的计划任务,以实现上述下载的插件的自启动。

v2-ab2fb6b9e1322d7a65b7ef3e2cd49b7b.jpg

根据NaMPCon.dat文件中给定的插件名,成功获取以下8个插件:

插件名称

MD5

功能

SgBrokerpm.dll

164c42cfa85b4c1fe8fd373c447faeaf

和上述描述的SgBrokerpm.dll文件相同

WinRmgogle.exe

44bf1ecf283c8071fb5527aa299bee61

获取Chrome浏览器的用户登录信息、用户名和密码等隐私信息,并将信息保存到%ProgramData%\kgogle_gcertyuqas文件中

WinRmGoMoH.exe

24907a49b2c42131790bfdc277b14433

搜集用户的Firefox、Chrome浏览器的浏览记录、收藏列表,并将信息分别加密保存到”%ProgramData%\S0ftwareDistribution\natadsorb\”目录下的g_bhf.rnm、m_bhf.rnm文件中

SgrmBrokerbd.dll

1d77b7506284554a28fc14916557380f

启动WinRmgogle.exe和WinRmGoMoH.exe插件,并在”%ProgramData%\Mloypt\”释放并启动WinRMaza32.exe或WinRMaza64.exe。WinRMaza32.exe或WinRMaza64.ex用来窃取firefox浏览器的用户登录信息、账号和密码信息保存到%ProgramData%\km0zilap_xcertyuqas文件

SgrmBrokerkl.dll

4e3dcfcd319bab9c1aa0db0abb4dc461

窃密程序,获取剪贴板数据保存到对应的.rnm结尾的文件中

SgrmBrokersp.dll

7f17b89bba4b42bd02e386efbb233777

上传其它插件生成的.rnm文件到shadowpages.top/vxmot/yibo(.rnm为窃取的信息文件)

SgrmBrokerul.dll

dd3adea7f473725920f9562ba35fb2c4

和SgrmBrokersp.dll功能相同

SgrmBrokerusd.dll

2e9a346d3e2ced3edfabcc5a16e288c4

窃密程序,获取系统中以*.pdf、*.doc、*.xls、*.ppt、 *.docx、 *.xlsx、 *.pptx、 *.docm、*.RTF、*.inp、 *.xlsm、*.csv、*.odt、*.pps、*.vcf结尾的文件名称保存到对应的.rnm结尾的文件中

溯源与关联

在此次捕获的样本中,样本的字符串加解密方式和以往Donot样本相同,其中包括字符串自加减、xor、从固定字符串key中进行索引解密:

v2-6254eecd2d5df471d8e5e986739e22c0.jpg

流量通信依然使用aes cbc进行加解密:

v2-31d5691fe046361a4c6f50c9014e3e42.jpg

总结

目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括威胁情报平台(TIP)、天眼高级威胁检测系统、NGSOC、奇安信态势感知等,都已经支持对此APT攻击团伙攻击活动的精准检测。

v2-5677d64a2aed62d9352758acecc09219.jpg

IOCs

MD5:

21c632f9954488122cbf6f0ec0230673

164c42cfa85b4c1fe8fd373c447faeaf

ba35770e8823274cc931bf399cb29d09

dd3adea7f473725920f9562ba35fb2c4

2e9a346d3e2ced3edfabcc5a16e288c4

44bf1ecf283c8071fb5527aa299bee61

24907a49b2c42131790bfdc277b14433

7f17b89bba4b42bd02e386efbb233777

4e3dcfcd319bab9c1aa0db0abb4dc461

1d77b7506284554a28fc14916557380f

a5ee0c4dc0853f33f433de97c6454fa5

d08f054f45fdb2487df6b7db890c8c49

URL:

hxxps://svhservice.xyz/klmn/hisf/A

hxxps://newcontasts.top/klmn/disa

hxxps://newcontasts.top/klmn/hisf/5/mm

hxxps://newcontasts.top/klmn/hisf/UR1/mm

hxxps://newcontasts.top/klmn/hisf/A/sa

shadowpages.top/vxmot/yibo

hxxp://wordfile.live/goHULMS9jXVytbJi/LUPQwf50wsIPdieiJjMb9nV4g5WlDRTzL00cZ3y7PXsdRdQN

hxxps://drive.google.com/uc?export=download&id=1l5D9u18Z9J_3br2hFI94mKDMTex3uULq

本文作者:, 转载请注明来自FreeBuf.COM

# google # Google Drive # donot # apt攻击
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按热度排序

登录/注册后在FreeBuf发布内容哦

相关推荐
\
  • 0 文章数
  • 0 评论数
  • 0 关注者
文章目录
登录 / 注册后在FreeBuf发布内容哦
收入专辑