概述
近期,深信服深瞻情报实验室联合深信服安服应急响应中心监测到APT组织对国内高校和科研单位的最新攻击动态,将该样本归因为CNC组织发起的攻击,并结合深信服创新研究院混动图AI模型分析,验证了此次归因结论。自去年西工大事件之后,国内科研机构越来越成为境外APT组织关注的目标。据监测,自2023年1月至今,CNC组织频繁地针对国内多个教育、科研机构进行窃密攻击。此外,该组织攻击活动也被发现出现在巴基斯坦某大学,并首次出现在菲律宾、印度尼西亚等南亚国家。
根据目前已知情况,CNC组织最早于2019年被披露,经常使用鱼叉式钓鱼邮件,针对国内军工、教育、科研机构及航空航天等行业进行攻击,窃取该类单位的高新技术研究资料或规划信息等。该组织疑似与南亚APT组织Patchwork(摩诃草、白象)存在一定关联。
分析
在本次攻击活动中,我们观察到其使用的组件伪装为图片查看器,其详细信息如下表,通过确认该组件与曾披露过的“摆渡木马”功能相似。
运行初始化预解密,解密出C2地址“https://146.59.223.210/”。
获取目标机器用户名信息。
拷贝可疑的伪造png后缀文件以及获取自身模块名称,并尝试连接白域名“https://www.163.com”进行网络测试以便后续的网络通信。
检测其是否存在于“appdata\roming”路径下。
获取磁盘名称字符串,不断检测是否存在新设备接入,如果检测到新设备,将当前文件复制到新设备,并且检测是否联网,当网络通畅时将“-oneid”拼接到主机名后,当无网络连接时将“-lastid”拼接到主机名后。
并于当前执行目录读取资源数据创建PNG文件“私人图像.png”并打开。
打开的图片内容为“中秋快乐”(该文件编译时间为2023年3月份,与图片内容的中秋节存在差异,疑似为攻击者粗心遗留)
接着判断是否存在“%appdata%imagedrvhost.exe,当存在时跳过所有操作结束流程。当不存在时判断是否存在网络连接,当存在网络连接时开始与C2进行通信。”
拼接域名“githubusercontent.com”,并获取目标伪造文件名称。
拼接出路径名称“%appdata%\SangSupport.exe”。
拼接通信C2地址“https://146.59.223.210/solution-basic/gecko/SangSupport”。
最终向上述C2进行通信,下载第二阶段载荷至“%temp%\SangSupport”,将下载载荷复制到“%appdata%\SangSupport.exe”,并删除temp目录下载的第二阶段载荷“%temp%\SangSupport”。
创建任务计划“SangSupportApp”并伪造目标为国内企业相关文件信息以执行第二阶段载荷
后续通过WTSEnumerateProcessesW枚举系统进程信息。
将窃取的进程信息使用base64编码,通过“ http://146.59.223.210/wp-includes?”传输。
在关联分析中,我们发现该组织使用的另一个组件“YoudaoDictHelp.exe”,该组件通过伪装国内某用户量很大的翻译软件用以欺骗目标,该组件详细信息如下。
该文件与上述下载器组件存在相同的磁盘容量大小检测逻辑。
解密出路径“C:WindowsSystem32driversetchosts”。
检测域名“ke.youdao.com”是否存在与本地hosts文件中。
当检测到域名不存在于hosts文件中时,解密出硬编码的C2地址“https://149.154.153.155/”。
当检测到域名存在于hosts文件中时,获取temp目录并解密名称“Rtxtemp823243”拼接出路径“%temp%Rtxtemp823243”并检测该文件是否存在。
当不存在时生成随机字符串,并将生成的字符串写入该文件。
使用硬编码C2通信时,使用随机字符串与硬编码C2拼接URL地址“https://149.154.153.155/copyright98/[15字节随机字符串]/GetBanner”
使用域名时,使用随机字符串与域名进行拼接形成"https://ke.youdao.com/en-US=[15字节随机字符串]/region=CN"
在与上述C2通信的同时也会尝试从该github地址下载配置数据“https://raw.githubusercontent.com/kkrightjackhuiyongxx1635/controlid/main/config.json”
该github地址内容已经失效
由于C2数据已失效,后续行为无法跟踪,通过分析可判断出该组件存在命令执行、文件执行、文件列出(“ls”)、退出(“q”)等功能。
溯源归因
溯源归因-文件归因:
通过监测到的“imagedrvhost.exe”、“YoudaoDictHelp.exe”、 “YoudaoDictDesk.exe”等文件名称特征,发现这些特征均符合该组织使用国内企业文件信息伪装的一贯习惯。分析事件中出现的组件,也发现与曾披露的“摆渡木马”同功能,通信的模式及URL格式等符合该组织的通信特征。
除此之外,通过深瞻情报实验室累积的情报数据,深信服创新研究院混动图AI模型也将该样本归因到CNC组织。
溯源归因-基础设施:
通过发现的多个C2地址的SSL证书进行分析,该组织常使用伪造的163邮箱、qq邮箱及国内企业邮箱等信息创建自签名证书,符合该组织一贯的基础设施创建策略。
在C2“149.154.153.155”中,该组织使用虚假的163邮箱(“shyngwood@163.com”,该邮箱并不存在)以及中国地区信息创建了自签名证书用于加密通信。
对关联的C2“152.89.247.104”,使用虚假的163邮箱创建自签名证书用于加密通信。
IOCS
总结
CNC组织常使用鱼叉、水坑及渗透的方式对目标进行打点攻击,具有一定的危险性。其在2022年至2023年期间较为活跃,主要针对军工、教育、科研机构及航空航天等行业进行攻击,窃取该类单位的高新技术研究资料或规划信息等,相关行业及单位需要警惕并加强网络防御。从跟踪情况来看,该组织一直在改造其攻击组件,不断加强其窃密、反分析及反取证能力,安全公司应加强相关技术的检测。
本文作者:Further_eye
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/199021.html