来自TransparentTribe APT组织的窃密

近期，深信服安全团队通过对海外第三方数据样本的监控，捕获到疑似TransparentTribe APT组织变种样本（当前在国内尚未发现该病毒活动迹象）。该组织又被称为ProjectM、C-Major，通常通过鱼叉式钓鱼邮件对特定国家政府发起针对性的攻击，主要为窃取受害者主机的敏感信息。

启用宏之后，诱饵文件正文如下，该诱饵文件伪装为“2019英勇奖名单”，另外我们发现正文中“SENA MEDAL”为印度的荣誉奖项，由此推断该诱饵文件是投递到印度区域，结合目前印巴网络战持续升温，该诱饵文件很可能是针对相关军事人员。

查看诱饵文件的宏代码，其主要恶意代码位于Module1的userShorbaLoadr函数。

userShorbaLoadr函数主要行为包括：

◆ 创建：

%ALLUSERSPROFILE\Mtech\revamp.scr文件，并写入UserForm1的数据；

◆将revamp.scr：拷贝到

 %ALLUSERSPROFILE\Mtech\revamp.zip；

◆ 最后运行revamp.scr；

释放的revamp.scr 是个PE文件，主要功能：

◆ 释放PE文件：

%PROGRAMDATA%\PowerIso\PowerIso.scr,

并设置为只读权限。

◆ 自启动 ：

%APPDATA%\microsoft\windows\start menu\programs\startup\PowerIso.lnk

恶意文件PowerIso.scr核心代码分析如下：

1) 通过硬编码，创建key和iv向量；

2) 跟进Translate函数，该函数对程序数据进行解密，首先通过对程序数据进行base64解码，再结合key和iv向量进行AES解密，最终解密出编码表，如下所示：

3) 接着程序开始向C2服务器构造请求，首先初始化变量，获取本机信息，随机重新生成key和iv向量和创建主机唯一标识（UserComp/PComp）。

4) 进入_flows函数，与C2通信：

5) 获取证书

URL：kmcodecs.com/A1L5C3endRa@l/b2sp-inutor/motos.php 

数据包内容如下：

6) 对随机生成的key和iv进行加密，得到str 和str2；

7) str和str2发送至：

kmcodecs.com/A1L5C3endRa@l/b2sp-inutor/motos.php ,并得到返回结果cipherText，

若为6f6e6c79706172616e6f696473757276697665 ，

则连接成功；

8) 连接成功后,继续向C2发送数据，如下所示：

9) 最后调用damnit函数，携带加密后的usercomp和pcomp对C2发送POST请求（请求包如下所示），接着不断轮询C2等待下发指令。

1） 经分析，我们发现该样本与腾讯披露的巴基斯坦TransparentTribe APT组织样本十分类似：

◆ 首先诱饵文件宏代码与TransparentTribe APT组织所使用的宏代码相似度极高，如下图所示，左边为深信服捕获的诱饵文件，右边为TransparentTribe APT诱饵文件。

◆ 其次，与被披露的TransparentTribe APT组织样本MariaDB.exe(MD5：0fa9b24535f55ec64be0f02a75d637b3)相比较，相似度高，如下图所示（PowerIso为深信服捕获样本，MariaDB为TransparentTribe APT组织样本），不同在于PowerIso增加了C2指令、数据加密频率更多、更新了C2域名等等。

◆ 结合诱饵文件正文，由此我们推断该样本源自TransparentTribe APT组织。

2） 域名信息关联

该样本使用C2域名为kmcodecs.com，其注册时间为2019年8月17日，对应的解析IP为206.81.26.164，最早解析时间为2019年8月21日。并且VirusTotal扫描结果仅一家引擎判黑，由此可见，该域名是针对某次攻击所新注册的域名。

3）结论

该样本为TransparentTribe APT组织新变种样本，其IOC信息如下所示：

不管攻击者的入侵计划是多么的缜密，总会由于技术的限制留下些许蛛丝马迹，譬如软件的植入、网络流量的产生，这些痕迹可能并不足以作为APT攻击的证据，但一旦发现，就必须提高警惕，并及时的保存现场，通知安全相关人员，对疑似感染的主机进行隔离和检查。同时也要注意日常防范措施，在思想上和技术上双管齐下：

1. 升级office系列软件到最新版本，不要随意运行不可信文档中的宏；

2. 不打开来历不明的邮件附件，对于邮件附件中的文件要谨慎运行