Bitter盗取巴基斯坦警察部门签名进行攻击活动分析
2019-09-22 09:00:51 Author: www.freebuf.com(查看原文) 阅读量:205 收藏

概述

Bitter团伙是一个长期针对中国、巴基斯坦等国家进行攻击活动的APT组织,该组织主要针对政府、军工业、电力、核等单位进行攻击,窃取敏感资料,具有强烈的政治背景。

最近,在上班摸鱼闲逛某不存在网站的时候,发现红雨滴大佬披露的bitter盗用巴基斯坦某警察部门数字签名的攻击事件

1.png

遂在免费沙箱anyrun上找到该样本进行分析学习

样本分析

先从诱饵文档开始分析

MD5 226d33f02acb6b8d0a1b9ecf4f7a1752
样本来源 https://app.any.run/tasks/8173c927-2c4d-4415-a5a0-6a9c8bc34430/

该样本采取模板注入的方式获取执行后续payload,此类方式可以起到极好的免杀效果。

2.png

VT 目前57家杀软也仅仅只有11家报毒

3.png

执行后,从模板外链地址http://w32infinitisupports.net/win/ ctfd 获取文件执行。此类方式缺点也比较明显,执行时会有明显的从服务器获取文件的界面,如下所示

4.png

模板注入的文件

文件名 Ctfd
MD5 fa6d27a7df1a47fe9fc2f6595f7ab700  
文件来源 http://w32infinitisupports.net/win/ ctfd

模板注入加载的文件是公式编辑器漏洞利用文档,oletools查看如下

5.png

通过执行命令rtfobj.exe cftd –s all将文档中的ole对象dump出来,用16进制查看器进行分析。在末尾可看到执行的shellcode。

6.png

从w32infinitisupports.net\win\ctf获取文件保存到C:\Inf\dwm.exe路径,并执行

7.png

Downloader

文件名 Dwm.exe
Md5 596ec0f90c25fdbe3d8ade3f4ea4cd38        
文件来源 w32infinitisupports.net\win\ctf
C2 blth32serv.net
Pdb C:\Users\Asterix\Documents\Visual Studio 2008\Projects\25July2019DN\Release\25July2019DN.pdb

该文件的主要功能为与c2进行通信获取其他插件执行,入口处一股bitter味

8.png

运行后创建目录c:\\Driver\\,并将自身拷贝到该目录下重命名为nsdtcv.exe

9.png

之后将nsdtcv.exe设为启动项实现持久化

20.png

之后获取计算机信息加密处理和与c2:http://blth32serv.net/ourtyaz/qwf.php?进行通信

10.png

从c2获取数据,判断数据前几位是否为”WIT: #,若”WIT: #后跟了字符串内容,则下载执行该插件

11.png

在分析的过程中未获取到其他插件

同源样本

根据红雨滴大佬的线索,另一个具有相同c2的样本信息如下

Md5 d8b2cd8ebb8272fcc8ddac8da7e48e01
C2 blth32serv.net
pdb c:\Users\Asterix\Documents\VisualStudio2008\Projects\25July2019DN\Release\25July2019DN.pdb

该样本与Downloader功能c2全部一致,而该样本甚至具有数字签名,如下所示:

12.png

通过数字签名邮箱@sindhpolice.gov.pk可以得知该签名属于巴基斯坦信德警察局

13.png

信德地区处于巴基斯坦与印度交界处,emmm,你懂得

14.png

在某不存在的网站,@blackorbird大佬推测是攻击者获取签名生成器

15.png

与bitter的关联

Downloade与之前公开报告中bitter的下载马基本一致

16.png

Pdb与之前bitter使用的pdb基本相似

17.png

 结合上述信息,此次进行盗取警察签名这种嚣张行为的组织应该是来自bitter团伙。

Ioc:

Md5:

226d33f02acb6b8d0a1b9ecf4f7a1752

fa6d27a7df1a47fe9fc2f6595f7ab700  

d8b2cd8ebb8272fcc8ddac8da7e48e01

cc:

blth32serv.net

 *本文原创作者:fuckgod,本文属FreeBuf原创奖励计划,未经许可禁止转载


文章来源: https://www.freebuf.com/articles/paper/214232.html
如有侵权请联系:admin#unsafe.sh