freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

疑似蔓灵花APT组织针对巴基斯坦航空综合部门攻击活动分析
  • 关注
疑似蔓灵花APT组织针对巴基斯坦航空综合部门攻击活动分析
2022-01-11 11:20:26
所属地 浙江省

事件背景

蔓灵花(Bitter)是一个被广泛认为来自印度的APT组织,该组织长期针对我国及巴基斯坦的政府、军工、电力、核等部门发动网络攻击,窃取敏感数据,具有较强的政治背景。

近期安恒威胁情报中心猎影实验室捕获到一个疑似蔓灵花组织针对巴基斯坦“航空领域”的攻击活动样本。该样本使用名为“PAC Advisory Committee Report.doc”的诱饵文档进行攻击。并且使用一个处于失陷状态的巴基斯坦二手交易网站服务器来下发第二阶段载荷。

样本分析

初始样本是一个包含CVE-2018-0798漏洞的rtf文档,执行后会访问远程服务器并下载名为“bd.msi”的安装程序执行。远程服务器(sbss.com[.]pk)是一个巴基斯坦的二手交易网站,该网站疑似遭遇了入侵,属于失陷状态。

远程msi程序下载地址:“https://sbss.com.pk/gts/bd.msi”

msi程序执行后会根据安装路径释放一个名为“Tlntslvclnt.exe”的下载器:

文件名称

Tlntslvclnt.exe

文件类型

应用程序 (.exe)

文件大小

52.0 KB (53,248 字节)

文件MD5

CC7DDF9ED230AD4E060DFD0F32389EFB

功能描述

下载器:回连C2服务器,下载后续载荷执行

首次执行:

样本执行后会首先从字符串资源中获取窗口名称(“NewProject_2.1”)与类名(“NEWPROJECT_21”),创建Windows窗口后通过自定义算法解密回连C2(“subscribe.tomcruefrshsvc[.]com”)等字符串数据。

解密算法为异或运算:

创建工作目录:"C:\Users\admin\AppData\Local\Updates",如果当前目录下不存在" systemlog"文件,则表示当前是第一次运行。首次运行时样本会通过进程遍历检测是否存在“avp”和“MsMp”等杀软进程。

然后在系统启动菜单中创建“update.lnk”快捷方式文件,用于持久化。

该快捷方式最终会指向如下工作目录中的文件:“C:\Users\admin\AppData\Local\Updates\update.exe”

在工作目录中创建“systemlog”日志文件,写入字符串数据“aa”,然后将自身拷贝到工作目录重命名为“tmp.exe”,执行自拷贝文件后退出当前进程。

第二次执行:

获取系统名称、用户名、系统版本等敏感数据,使用如下格式进行拼接:

"计算机名&&user=用户名&&OsI=系统版本"

拷贝自身(“tmp.exe”)到工作目录(update.exe)用于持久化,然后循环获取C2对应IP地址,准备执行核心函数:

进入核心函数后首先与C2服务器进行通讯,URL参数中包含用户名、主机名、系统版本等信息。URL:“/VcvNbtgRrPopqSD/SzWvcxuer/userlog.php”

检测服务器返回数据中是否包含由“主机名+用户名”组合而成的字符串。然后通过英文状态的单引号'"'从数据包中获取待下载后门程序的名称:

第二次回连C2服务器,获取后门程序。URL:“/VcvNbtgRrPopqSD/WqeC812CCvU/【后门名称】”

判断C2返回数据中是否包含“ZxxZ”字符串:

创建后门程序写入PE文件数据:

第三次回连C2服务器,返回成功标识。URL:“/VcvNbtgRrPopqSD/SzWvcxuer/sDeRcEwwQaAsSN.php?txt=DN-SZxxZ【后门名称】ZxxZ【主机名+用户名】”

第四次回连C2服务器,根据后门程序执行状态,访问不同URL:

状态

URL

执行成功

/VcvNbtgRrPopqSD/SzWvcxuer/sDeRcEwwQaAsSN.php?txt=SZxxZ【后门名称】ZxxZ【主机名+用户名】

执行失败

/VcvNbtgRrPopqSD/SzWvcxuer/sDeRcEwwQaAsSN.php?txt=RN_EZxxZ【后门名称】ZxxZ【主机名+用户名】

IOC

MD5:

bf1a905e11f4d44de8bd2e0a6f383ed5

2a8ebefc90feb991e3a1f31b0a61f265

cc7ddf9ed230ad4e060dfd0f32389efb

C2:

subscribe.tomcruefrshsvc[.]com

URL:

http://sbss.com[.]pk/gts/bd.msi

https://sbss.com[.]pk/gts/bd.msi

subscribe.tomcruefrshsvc[.]com

subscribe.tomcruefrshsvc[.]com/VcvNbtgRrPopqSD/SzWvcxuer/userlog.php

subscribe.tomcruefrshsvc[.]com/VcvNbtgRrPopqSD/WqeC812CCvU/【后门名称】

subscribe.tomcruefrshsvc[.]com/VcvNbtgRrPopqSD/SzWvcxuer/sDeRcEwwQaAsSN.php?txt=DN-SZxxZ【后门名称】ZxxZ【主机名+用户名】

subscribe.tomcruefrshsvc[.]com/VcvNbtgRrPopqSD/SzWvcxuer/sDeRcEwwQaAsSN.php?txt=SZxxZ【后门名称】ZxxZ【主机名+用户名】

subscribe.tomcruefrshsvc[.]com/VcvNbtgRrPopqSD/SzWvcxuer/sDeRcEwwQaAsSN.php?txt=RN_EZxxZ【后门名称】ZxxZ【主机名+用户名】

# apt攻击 # apt # apt分析 # APT组织 # 样本分析 # APT
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者