APT-C-48(CNC)是一个拥有南亚地区政府背景的APT组织,该组织主要攻击目标为政府、军工、教育、科研、医疗、媒体等行业。
近期360安全大脑监测到多起通过投递携带有“简历”相关话题的钓鱼鱼叉邮件作为初始访问阶段攻击载荷,诱导用户收取并打开其中携带的压缩包附件。CNC组织通过将压缩包内携带的恶意可执行文件的图标修改成正常PDF文件图标,并在文件名中加入大量空白字符隐藏真实的文件后缀名来进一步降低用户的警惕性,诱导用户打开恶意可执行文件。
通过对攻击者所使用的技战术和相关资源进一步分析,确认为CNC组织发起的钓鱼攻击。
CNC组织通过通过投递携带有“简历”相关话题的钓鱼鱼叉邮件,将压缩包内携带的恶意可执行文件的图标修改成正常PDF文件图标,并在文件名中加入大量空白字符隐藏真实的文件后缀名,诱导用户打开恶意可执行文件。当恶意可执行文件执行后,将会从远端服务器上下载并打开为伪装文档及后续攻击组件。
其攻击流程图如下图1-1所示:
在本次行动中,我们捕获到了一批CNC组织所使用的样本,其功能大同小异,同属于下载器。攻击者将样本图标修改为PDF文档图标,如下图1-2所示,降低用户警惕性。
在样本中,相关字符串采取动态解密的方式用以规避反病毒软件静态扫描,解密算法采用chacha20,如下图1-3所示。
在样本执行后,首先会动态获取相关API地址、动态解密相关字符串,其中涉及字符串主要包含以下内容:
下载伪装PDF文档及后续攻击组件相关URL
伪装PDF文档名、攻击组件名、攻击组件落地路径
计划任务等信息相关字符串
接着下载伪装文档到当前目录下,其名称通常涉及“简历”相关话题。
通过”C:\Windows\System32\cmd.exe /c”命令打开该伪装PDF文档用以迷惑用户。
紧接着通过遍历进程列表比对进程名来进行反调试,并且在未发现进程列表中存在相关敏感进程后,将通过查询注册表HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosVersion项来进行反虚拟机操作。其中,主要涉及进程如下表1-1所示:
ollydbg.exe | x64dbg.exe | idag.exe | idaw.exe | idaq.exe |
idaq64.exe | ImmunityDebugger.exe | Wireshark.exe | dumpcap.exe | HookExplorer.exe |
ImportREC.exe | LordPE.exe | PEiD.exe | PETools.exe | procexp.exe |
procexp64.exe | procmon.exe | windbg.exe | ResourceHacker.exe | ProcessHacker.exe |
QzhddrUpdate.exe | QzhddrSrv.exe | QzhddrGuard.exe | iSafeClient.exe | nedr-agent.exe |
antivirus.exe | nedr-etd.exe | procdump64.exe | vmtoolsd.exe | vmware-tray.exe |
vmware.exe | VGAuthService.exe | vm3dservice.exe | VirtualBox.exe | VBoxManage.exe |
VirtualBoxVM.exe | vboxtray.exe |
表1-1 反调试及反虚拟机阶段检查进程名
如果在此阶段发现“自身”正处于调试环境或是处于虚拟机当中,则该样本将触发“自毁机制”,利用SetFileInformationByHandle函数删除自身,如下图1-7所示:
然后将当前用户名、当前进程列表及模块列表发送到服务端,并通过InternetOpenUrl函数打开访问远程资源,以备后面下载攻击组件使用,如下图1-8、1-9、1-10所示:
当上线包发送成功后,获取当前时间,利用COM组件创建计划任务,其目标指向正是要下载的两个后续的攻击组件。该计划任务将会以当前时间为开始,无限期的每隔10分钟执行一次。
但可惜的是,在分析阶段我们没有获取到其后续的攻击组件。涉及计划任务相关信息如下表1-2所示:
任务名 | 动作 |
SCS-Update | 启动 %Appdata%\SCSCloudService\scs64.exe |
User_Feed_Synchronization | 启动 %UserProfile%\AppData\Local\Microsoft\Feeds\msfeedsync.exe |
图1-2计划任务信息
在上述主要工作完成后,将使用SetFileInformationByHandle函数删除自身清理痕迹,如下图1-12所示:
在本次行动中涉及样本主要行为逻辑与历史APT-C-48(CNC)组织所使用样本基本一致。
在样本持久化方面采用了COM组件创建计划任务的形式,同时将后续攻击组件的启动从直接创建进程改为了计划任务启动,有效规避反病毒软件动态查杀。
通过投递带有“招聘”、“推荐信”、“简历”等题材为话题压缩包附件的鱼叉钓鱼邮件作为初始访问阶段攻击载荷是CNC组织惯用手法。
通过诱导用户自主打开其精心准备的“下载器”,释放伪装文档迷惑用户的同时,在后台下载并执行后续攻击组件,对目标设备进行窃密活动。
APT-C-48(CNC)组织长时间关注教育科研领域,所选鱼叉邮件题材也与之相关。在本次行动中涉及样本主要行为逻辑与历史APT-C-48(CNC)组织所使用样本基本一致,结合受影响用户所处行业领域,我们高度怀疑该行动为APT-C-48(CNC)组织发起。
基于对本次报告中提到的攻击流程进行分析,我们认为可以从以下几个方向排查设备是否存在被感染的痕迹:
Hash:
e74d7351a73c0343c2b607c8f137f847
974f51eb0ea821434504cb22c36fbfab
ef98ed09bedea8daef9d09ec62ffe9cc
https://panbaiclu[.]com/Guide/Architecture.pdf
https://panbaiclu[.]com/Guide/structure
https://panbaiclu[.]com/Metadata/indexes
https://panbaiclu[.]com/APIs/BaiduSearchAPI
panbaiclu[.]com - 158.255.215[.]248