团伙背景

事件概述

文档携带的宏代码通过一系列VBS和BAT脚本，最终执行Nim编写的后门。根据该Nim后门的代码特征，我们关联到针对尼泊尔和缅甸的攻击样本，其中针对缅甸的攻击时间可追溯到去年11月。

该Nim后门实际上是2021年底国内安全厂商披露的“幼象”（别名BabyElephant）组织C++后门^[1]的变种。2023年2月，Group-IB发布报告^{[2, 3]}披露了响尾蛇组织在2021年6月至11月期间的鱼叉式钓鱼攻击活动，根据恶意软件特点和网络基础设施研究者认为当时归为BabyElephant的攻击活动与响尾蛇存在紧密关联，两个攻击团伙有着密切的联系。基于以上开源情报信息，本文将此次发现的攻击活动统一归属为响尾蛇组织。

详细分析

文档宏代码

Sch_task函数在”%AppData%\Microsoft\Windows\Start Menu\Programs\Startup”目录下释放OCu3HBg7gyI9aUaB.vbs。

Hide_cons函数释放”%LocalAppData%\skriven.vbs”。

Read_shell函数从文档的UserForm1.TextBox1对象的文本中提取zip数据，保存为”%LocalAppData%\Microsoft\svchost.zip”。

Vb_chain函数释放”%LocalAppData%\8lGghf8kIPIuu3cM.bat”。最后该函数调用ActiveDocument.Shapes两次，去掉“启用宏”的图层，展示诱饵内容。

脚本链

宏代码只负责文件释放，恶意样本通过Startup目录下的开机启动文件实现脚本启动，一定程度上可以增加攻击行为的隐蔽性。

(1) OCu3HBg7gyI9aUaB.vbs

(2) skriven.vbs

(3) 8lGghf8kIPIuu3cM.bat

涉及的脚本信息如下：

Nim后门

宏文档释放的svchost.zip压缩包中包含Nim编写的后门svchost.exe，通过上述脚本d.bat创建的计划任务运行。后门样本中有”Store\MACRO\<国家代码>\<国家代码>_apache.nim”字符串，疑似为后门的软件项目路径。

(2) 检查运行时间间隔；

(3) 在早期样本（MD5: 30ddd9ebe00f34f131efcd8124462fe3）中还有CPU数量检查和鼠标移动距离检查。

环境检查通过后，首先复制备选的几个C&C服务器URL。

执行”cmd /c hostname”获取主机名，接着用名为bakery的函数加密主机名，然后进入指令执行循环。

在指令执行循环中，首先通过HTTP GET请求获取C&C服务器下发的指令。将主机名的加密结果用base64编码，拼接在随机选取的一个C&C服务器URL后面，末尾再拼上”.php”后缀，由此得到获取指令的URL。

如果GET请求有响应数据，且与上一次获取指令时得到的响应数据不同，则表明C&C服务器下发了新指令，否则休眠一段时间再向C&C服务器请求指令。

响应数据在函数confectionary解密后，与”cmd /c ”拼接，从而执行C&C服务器下发的命令。执行结果也通过GET请求回传给服务器，由于结果数据可能很多，后门将加密后的执行结果按照100字节一组进行分片再发送出去。

回传结果的URL除了包含随机选择的C&C服务器URL，还添加了多个字段，各个字段拼接的数据如下：

加密函数bakery和解密函数confectionary的Python等价实现如下。加密和解密使用的key在不同Nim后门样本中略有不同，且推测”BTA”可能是BT(Bhutan) Agent的缩写。

溯源关联

(1) 宏代码从文档的文本框窗口中提取zip压缩包数据；

(2) 宏代码启动的脚本链与响尾蛇HTA样本中所用手法基本一致；

(3) 有的Nim后门中也出现了通过鼠标移动距离检测运行环境的代码；

(4) 同样有多个备选的C&C服务器URL，以及在回传信息的URL中使用相同的字段；

(5) 同样的数据加解密算法。

国内外安全厂商都提到幼象与响尾蛇组织存在关联^{[2, 3, 6]}，并且Nim后门内置的C&C域名符合响尾蛇组织模仿被攻击国家相关域名的常用手法，因此我们将此次发现的样本统一归属为响尾蛇组织。

总结

防护建议

若需运行，安装来历不明的应用，可先通过奇安信威胁情报文件深度分析平台（https://sandbox.ti.qianxin.com/sandbox/page）进行判别。目前已支持包括Windows、安卓平台在内的多种格式文件深度分析。

目前，基于奇安信威胁情报中心的威胁情报数据的全线产品，包括奇安信威胁情报平台（TIP）、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等，都已经支持对此类攻击的精确检测。

IOC

7bea8ea83d5b4fe5985172dbb4fa1468

04e9ce276b3cd75fc2b20b9b33080f7e

92612dc223e8f0656512cd882d66f78b

c2184d8fd3dd3df9fd6cf7ff8e32a3a4

b2ab01d392d7d20a9261870e709b18d7

30ddd9ebe00f34f131efcd8124462fe3

C&C

dns-mofgovbt.ddns.net

mail-mofgovbt.hopto.org

microsoftupdte.redirectme.net

updatemanager.ddns.net

mx2.nepal.gavnp.org

cloud.nitc.gavnp.org

dns.nepal.gavnp.org

mx1.nepal.gavnp.org

asean-ajp.myftp.org

dof-govmm.sytes.net

mail-mohs.servehttp.com

drsasa.hopto.org

pdf-shanstate.serveftp.com

myanmar-apn.serveftp.com

mytel-mm.servehttp.com

pdf-shanstate.redirectme.net

URL

hxxp://dns-mofgovbt.ddns.net/update/

hxxp://mail-mofgovbt.hopto.org/update/

hxxp://microsoftupdte.redirectme.net/update/

hxxp://updatemanager.ddns.net/update/

hxxp://mx2.nepal.gavnp.org/mail/AFA/

hxxp://cloud.nitc.gavnp.org/mail/AFA/

hxxp://dns.nepal.gavnp.org/mail/AFA/

hxxp://mx1.nepal.gavnp.org/mail/AFA/

hxxp://asean-ajp.myftp.org/MOFA/

hxxp://dof-govmm.sytes.net/MOFA/

hxxp://mail-mohs.servehttp.com/MOFA/

hxxp://drsasa.hopto.org/MOFA/

hxxp://pdf-shanstate.serveftp.com/MOFA/

参考链接

[2].https://www.group-ib.com/media-center/press-releases/sidewinder-apt-report/

[3].https://www.group-ib.com/resources/research-hub/sidewinder-apt/

[4].https://twitter.com/GroupIB_TI/status/1625762101758140416

[5].https://www.virustotal.com/gui/file/1409f9d855c06f66fb7d7c7bf9f821b5d1631da926b07dcdb260606e09763ad3/community

[6].https://www.antiy.cn/research/notice&report/research_report/20200115.html