【高级威胁追踪(APT)】响尾蛇组织使用DLL劫持加载Cobalt Strike攻击巴基斯坦政府

2023-06-09 8,030




概述


近期,深信服深瞻情报实验室监测到响尾蛇组织对巴基斯坦政府单位的最新攻击动态。响尾蛇组织, 又称Sidewinder、APT-C-17、T-APT-04,是一个来自于南亚地区的境外APT组织。该组织主要针对中国、巴基斯坦等亚洲地区国家进行网络间谍活动,其中以窃取敏感信息为主。相关攻击活动最早可以追溯到2012年,至今还非常活跃。在针对巴基斯坦地区的攻击中,该组织主要针对政府机构、军事单位进行攻击。


在本次攻击活动中,我们监测到响尾蛇组织使用钓鱼邮件攻击政府单位的事件,本次事件相关的邮件附件名称为“ Adv-16-2023”,是关于巴基斯坦内阁部门发布的网络安全咨询16号文件。


钓鱼文件内容以文档被微软Azure云安全保护为由,引诱用户下载带有密码的压缩包文件,压缩包中包含一个恶意lnk文件,用于下载第二阶段HTA下载脚本,最后劫持本地Onedrive客户端程序及其更新程序实现DLL侧加载,最终上线Cobalt Strike载荷,用户机器中Onedrive定时更新的计划任务也会成为响尾蛇组织的持久化计划任务,整个攻击过程与之前披露的攻击大相径庭,攻击过程更为简单,样本制作成本更低。


分析


在本次攻击活动中,我们捕获响尾蛇组织的钓鱼文件,以Adv-16-2023.pdf命名,诱导用户下载RAR压缩包文件,并提供解压密码。



下载的RAR压缩文件包含一个lnk文件,文件名后缀为.pdf.lnk来伪装成pdf文件,引诱用户打开文件,该lnk文件信息如下。


描述

详细信息

名称

Advisory-16-2023.pdf.lnk

文件大小

2300 bytes

文件类型

LNK

文件功能

Downloader

编译时间

/

开发平台及语言

/

是否加壳

VT首次上传时间

/

md5

AAA784E212**F65E95B43F56B81E4AB4

Sha256

C1BFF4A3E396EBABC8ABBA92AF92B5345ED5E044366A346480E141E847B47BF9


打开文件后,会使用mshta下载执行远程something.hta文件。



下载的hta文件中会执行VBScript脚本,继续下载后续组件。


描述

详细信息

名称

something.hta

文件大小

680 bytes

文件类型

HTA

文件功能

Downloader

编译时间

/

开发平台及语言

/

是否加壳

VT首次上传时间

/

md5

2BCE7A8E34E4751C8E421BAA4**A0ADA

Sha256

F0CB23D26AF39BBFAE450F37BC7642B59D30EE346020485FECC5CD8C33D2190A


下载version.dll放置在本地Onedrive目录,当本地64位的Onedrive.exe和OneDriveStandaloneUpdater.exe执行时会被劫持以加载恶意version.dll,定时执行OneDriveStandaloneUpdater.exe更新Onedrive的计划任务也会变成响尾蛇组织的常驻项。



另外从巴基斯坦的内阁部门官方网站(cabinet.gov.pk)下载“Advisory No. 16”网络安全咨询16号文件,对应钓鱼文件中提及的内容。



下载的version.dll的存放路径为%LOCALAPPDATA%MicrosoftOneDrive,文件为64位,需要同为64位的Onedrive.exe和OneDriveStandaloneUpdater.exe加载,恶意的version.dll相关信如下。


描述

详细信息

名称

version.dll

文件大小

275456 bytes

文件类型

DLL

文件功能

RAT

编译时间

/

开发平台及语言

/

是否加壳

VT首次上传时间

/

md5

F2974B8D6B0B2774F49642D53BDEE8A4

Sha256

37E3465D6FCCFAE6E1C29526AA015A766F8FC26CC61ED821F3E0B44D794C99EC


其导出函数GetFileInfoSize和GetFileVersionInfoSizeW指向同一个偏移量,是Onedrive.exe导入dll后会调用的函数。



GetFileInfoSize和GetFileVersionInfoSizeW函数中会调用函数FUN_180001120解密执行后续的载荷。



函数中先读取系统目录下的ntdll中的.text段替换掉当前进程加载的ntdll中的.text,解除函数挂钩,如果有安全软件通过在ntdll中设置钩子实现对进程行为的监控,那么该恶意文件的操作会让这种类型的监控方式失效。



通过计算硬编码16字节的数据的SHA256值,作为AES-256解密的密钥,解密出shellcode,最后执行。



执行的shellcode会反射加载一个Cobalt Strike的beacon,连接攻击者C2:35.175.135.236,实现远程控制。


关联分析


另外通过关联分析找到关联域名finance-govpk.servehttp.com和csd-govpk.servehttp.com



与csd-govpk.servehttp.com关联的https[:]//csd-govpk.servehttp.com/Advisory-16-2023.rar攻击过程和上诉分析一致。不同的是finance-govpk.servehttp.com关联到一个钓鱼文档,其详细信息如下。

描述

详细信息

名称

Elligible- Employee-List.xls

文件大小

134656 bytes

文件类型

XLS

文件功能

Downloader

编译时间

/

开发平台及语言

/

是否加壳

VT首次上传时间

2023-05-19 20:36:03 UTC

md5

d2bebe3912a5700d76635af29f098cfb

Sha256

135efe01516830bed632b746171c14650f4b0ceb943ea4a6ce91c0fdcb9876c4

文档打开后,只有允许宏执行才能看到内容,来诱导用户执行文档中恶意宏代码。



宏代码将诱导用户打开宏的图片删除显示出诱饵信息,然后使用UrlDownloadFileA下载version.dll放置到Onedrive目录下,进行dll劫持。其功能和上文分析的something.hta相近,但使用不同的钓鱼方式。


溯源归因


溯源归因-基础设施:

通过分析ntc-govpk.servehttp.com,finance-govpk.servehttp.com,csd-govpk.servehttp.com的域名构造,符合格式[xxx]govpk.servehttp.com,这是响尾蛇组织常用的域名构造方式,以及钓鱼C2只允许巴基斯坦等攻击目标区域IP才能下载文件的访问控制,都与响尾蛇组织的特征非常相似,此外多个外部情报也将ntc-govpk.servehttp.com等域名归为响尾蛇组织。


总结


响尾蛇组织常使用鱼叉攻击对目标进行打点攻击,具有一定的危险性。主要针对政府机构和军事单位等行业进行攻击,窃取该类单位的高新技术研究资料或规划信息等,相关行业及单位需要警惕并加强网络防御。本次事件中,响尾蛇组织使用了制作成本更低的样本,简化了攻击环节,最后使用渗透测试中常用的远程控制程序Cobalt Strike,安全公司应加强相关技术的检测。

IOC


IOC类型

详细信息

domain

ntc-govpk.servehttp.com

domain

finance-govpk.servehttp.com

domain

online-csdgovpk.servehttp.com

domain

nlc-govpk.servehttp.com

domain

nhsrcgovpk.servehttp.com

domain

fintech-govpk.servehttp.com

domain

financegovpk.servehttp.com

domain

cap-mofagovpk.servehttp.com

domain

sdmx-financegovpk.servehttp.com

domain

financeptcl-govpk.servehttp.com

domain

ntc-govpk.servehttp.com

domain

csd-govpk.servehttp.com

domain

35.175.135.236

url

https://ntc-govpk.servehttp.com/Advisory-16-2023.rar

url

https://ntc-govpk.servehttp.com/something.hta

url

https://ntc-govpk.servehttp.com/favicon.ico 

url

https://csd-govpk.servehttp.com/Advisory-16-2023.rar

url

https://finance-govpk.servehttp.com/favicon.ico

md5

7162E20A67DD282521551BF837262AEB

md5

10037294980F113455F24AADA64090F2

md5

AAA784E212**F65E95B43F56B81E4AB4

md5

2BCE7A8E34E4751C8E421BAA4**A0ADA

md5

F2974B8D6B0B2774F49642D53BDEE8A4

md5

07CF5EC1D5C06AAA044ECF6EEDC22BE8

参考链接


 https://twitter.com/JVPv5sIM3eFmGyi/status/1664535596331859968





11





本文作者:Further_eye

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/201630.html

Tags:
评论  (0)
快来写下你的想法吧!

Further_eye

文章数:319 积分: 2105

深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号