肚脑虫(Donot)APT组织针对巴基斯坦攻击活动样本分析 发布时间:2019-10-31 17:32:00 来源:


1.概要

2019年7月,欧冠联赛投注析安实验室跟踪到一批定向攻击巴基斯坦的APT样本,诱饵内容包括“巴基斯坦国家银行”、“巴基斯坦外交部”等,分析发现这批APT攻击样本与肚脑虫(DoNot)APT组织有一定的关联。

 

2.背景

肚脑虫APT组织被认为具有印度背景,是一个主要针对巴基斯坦和克什米尔地区国家机构等领域进行网络间谍活动,以窃取机密信息为主的组织。该组织的攻击载荷使用了多种语言开发,包括C++、.NET、Python、VBS 和AutoIt3等。

欧冠联赛投注通过自定义规则持续监控针对印巴地区的样本投递活动,从2018年中旬到2019年上半旬陆续捕获到疑似肚脑虫APT组织定向攻击的样本。

 

3.样本分析

诱饵文件一

攻击流程

样本文件名: Credit_score.xls ,中文翻译“信用评分.xls”。样本携带恶意的宏代码。由于3个样本的宏代码完全一致,攻击过程主要分析样本0108a194e11a2d871f5571108087c05d的行为。

样本感染分为三个步骤,第一步利用office宏病毒释放执行批处理程序,第二步批处理程序释放二进制程序,第三步执行二进制程序实现感染。

第一阶段

Office 宏病毒源码如下:

启用宏,主动弹框“该文件已损坏”:

目的为从窗体中读取二进制数据写入x6teyst.zip文件,调用unRafzaizip解压x6teyst.zip数据包,执行zip中的x6teyst.bat批处理文件.

Zip以二进制形式存放于Form中:

第二阶段

批处理文件源码如下:

主要目的为创建隐藏文件夹,记录设备基本信息到win.txt,删除自身原文件并移动到当前用户目录%userprofile%\DriveData\Wins下,创建定时任务BackupData 实现持久化。

 

第三阶段

x6teyst.txt重命名为yldss.exe。文件为PE格式,包含的证书信息如下:

伪装信息:

释放木马

支持的系统版本为xp及以上

上传本机基本信息,通过Content-Type 来区分接收的指令。

1.下载文件(Content-Type:application)

2.cmd命令执行(Content-Type:cmdline)

3.批处理命令执行(Content-Type:batcmd)

独有字符串信息:

 

内置远控域名:

回连C&C下载组件,本地路径如下。由于分析时组件已下载不到,后续攻击行为无法跟踪。

%userprofile%\\DriveData\\Files\\test.bat

%userprofile%\\DriveData\\Files\\Wuaupdt.exe

一个有意思的细节,判断当前主机语言环境是否为挪威语:

以“信用”、“挪威”、“巴基斯坦”为关键词搜索得到新闻信息:

 

诱饵文件二

攻击流程

该诱饵文档内容为空,执行宏代码弹框。

Cmd 运行bat.bat

释放bat.bat到C:\\user\%currentuser%\AppData\ 目录。

其中kylgr.exe和svchots.exe和友商报道的组件名一致。由于C2不再活跃,组件无法获取。

释放juchek.exe伪装java更新程序(真正的java更新程序名是Jusched.exe)。其具有下载器功能,下载组件释放到DriveData\Files\目录。

释放木马

juchek.exe支持的平台为win7及以上:

和yldss.exe对比是同一个模板但不同版本的样本,两者对比发现yldss.exe主要增加了一些错误处理:

远控支持的指令等没有变化:

远控域名unique.fontsupdate.com

从win.txt读取信息

具有的功能包括下载器、cmd命令执行、bat命令执行等。

 

诱饵文件三

注:NBP - 巴基斯坦国家银行

 

攻击流程

前两个释放bat脚本如下:

第三个样本释放bat脚本如下:

后续攻击流程与之前相同,不作详述。

 

释放木马

跟上述两个样本有一定关联,属于同一个远控模板的不同版本,加入了反调试部分:

支持的远控指令没有变化:

内置的远控域名为data-backup.online:

 

4.关联对比

从样本攻击手法分析,此次肚脑虫样本与历史披露信息相符,关联点包括:

1.样本的制作者信息中出现的“Qaatil”,中文翻译“刺客、杀手”,与Donot APT组织存在关联

 

2.宏代码和历史报道的肚脑虫组织宏代码相似度高

3.使用多种方法伪装合法的应用程序、组织和服务,如Ichecker,java update,AMD update、伪造数字签名

4.样本作者信息频繁出现“Testing”字段,以此推测上述样本可能是攻击者仍在测试中的武器框架。

 

5.IOC

 

6.参考链接

https://www.netscout.com/blog/asert/donot-team-leverages-new-modular-malware-framework-south-asia

由于篇幅关系内容有所精简,需详细报告请联系邮箱zionlab@dbappsecurity.com.cn

分享到: