Bitter团伙是一个长期针对中国、巴基斯坦等国家进行攻击活动的APT组织,该组织主要针对政府、军工业、电力、核等单位进行攻击,窃取敏感资料,具有强烈的政治背景。
最近,在上班摸鱼闲逛某不存在网站的时候,发现红雨滴大佬披露的bitter盗用巴基斯坦某警察部门数字签名的攻击事件
遂在免费沙箱anyrun上找到该样本进行分析学习
先从诱饵文档开始分析
MD5 | 226d33f02acb6b8d0a1b9ecf4f7a1752 |
---|---|
样本来源 | https://app.any.run/tasks/8173c927-2c4d-4415-a5a0-6a9c8bc34430/ |
该样本采取模板注入的方式获取执行后续payload,此类方式可以起到极好的免杀效果。
VT 目前57家杀软也仅仅只有11家报毒
执行后,从模板外链地址http://w32infinitisupports.net/win/ ctfd 获取文件执行。此类方式缺点也比较明显,执行时会有明显的从服务器获取文件的界面,如下所示
文件名 | Ctfd |
---|---|
MD5 | fa6d27a7df1a47fe9fc2f6595f7ab700 |
文件来源 | http://w32infinitisupports.net/win/ ctfd |
模板注入加载的文件是公式编辑器漏洞利用文档,oletools查看如下
通过执行命令rtfobj.exe cftd –s all将文档中的ole对象dump出来,用16进制查看器进行分析。在末尾可看到执行的shellcode。
从w32infinitisupports.net\win\ctf获取文件保存到C:\Inf\dwm.exe路径,并执行
文件名 | Dwm.exe |
---|---|
Md5 | 596ec0f90c25fdbe3d8ade3f4ea4cd38 |
文件来源 | w32infinitisupports.net\win\ctf |
C2 | blth32serv.net |
Pdb | C:\Users\Asterix\Documents\Visual Studio 2008\Projects\25July2019DN\Release\25July2019DN.pdb |
该文件的主要功能为与c2进行通信获取其他插件执行,入口处一股bitter味
运行后创建目录c:\\Driver\\,并将自身拷贝到该目录下重命名为nsdtcv.exe
之后将nsdtcv.exe设为启动项实现持久化
之后获取计算机信息加密处理和与c2:http://blth32serv.net/ourtyaz/qwf.php?进行通信
从c2获取数据,判断数据前几位是否为”WIT: #,若”WIT: #后跟了字符串内容,则下载执行该插件
在分析的过程中未获取到其他插件
根据红雨滴大佬的线索,另一个具有相同c2的样本信息如下
Md5 | d8b2cd8ebb8272fcc8ddac8da7e48e01 |
---|---|
C2 | blth32serv.net |
pdb | c:\Users\Asterix\Documents\VisualStudio2008\Projects\25July2019DN\Release\25July2019DN.pdb |
该样本与Downloader功能c2全部一致,而该样本甚至具有数字签名,如下所示:
通过数字签名邮箱@sindhpolice.gov.pk可以得知该签名属于巴基斯坦信德警察局
信德地区处于巴基斯坦与印度交界处,emmm,你懂得
在某不存在的网站,@blackorbird大佬推测是攻击者获取签名生成器
Downloade与之前公开报告中bitter的下载马基本一致
Pdb与之前bitter使用的pdb基本相似
结合上述信息,此次进行盗取警察签名这种嚣张行为的组织应该是来自bitter团伙。
Md5:
226d33f02acb6b8d0a1b9ecf4f7a1752
fa6d27a7df1a47fe9fc2f6595f7ab700
d8b2cd8ebb8272fcc8ddac8da7e48e01
cc:
blth32serv.net
*本文原创作者:fuckgod,本文属FreeBuf原创奖励计划,未经许可禁止转载