APT追踪:Transparent Tribe恶意组织演变分析(上)
一、背景和主要发现
Transparent Tribe(又称为PROJECTM和MYTHIC LEOPARD),是一个高产出的恶意组织,其活动最早可以追溯到2013年。在过去的四年之中,这个APT组织从未休息。他们持续对目标进行攻击,通常是针对印度军方和政府人员。
本系列文章共分为两篇,这是第二篇,继续分享我们对Transparent Tribe恶意组织的调查结果。在上篇文章中,我们分析了各种Crimson RAT组件,并描述了受影响的客户。下面是本文的一些主要发现:
1、我们发现了Transparent Tribe使用的一种新型Android植入工具,用于在移动设备上进行监控。它伪装成色情应用程序或COVID-19追踪应用程序,在印度地区发布。
2、新的证据表明ObliqueRAT与Transparent Tribe之间存在联系。
二、Android植入工具
在我们的分析过程中,发现了一个值得关注的样本,该样本符合前面所描述的攻击模式。攻击过程从一个简单的文档开始,这个文档并不是恶意文档,也不包含任何宏,不会尝试下载其他恶意组件。但是,该文档运用社会工程学技巧,诱导受害者从外部站点下载另一个文档。外部站点地址是:
hxxp://sharingmymedia[.]com/files/Criteria-of-Army-Officers.doc
hxxp://sharingmymedia[.]com/files/7All-Selected-list.xls
15DA10765B7BECFCCA3325A91D90DB37 – Special Benefits.docx:
下载的远程文档是包含嵌入式恶意VBA的两个Microsoft Office文档,其恶意行为与上一篇文章描述的类似,会投放简版Crimson客户端。域名sharingmymedia[.]com就更加值得关注了,它解析到89.45.67[.]160这个地址,该网站是在2020年1月10日在Namesilo进行注册的。
注册者姓名:bluff hunnter
街道:India Dehli
城市:Dehli
州/省:Delhi
邮政编码:110001
国家:IN
电话:+91.4214521212
另一个域名sharemydrives[.]com也使用了相同的信息进行注册,该域名是在2020年1月3日在Namesilo注册的。DNS解析指向相同的IP地址:89.45.67[.]160。
使用卡巴斯基威胁情报门户,我们查询到下述相关URL。
卡巴斯基威胁情报门户查询到的信息:
该文件是MxVideoPlayer的修改版本,MxVideoPlayer是一个适用于Android的简单开源视频播放器,可以从GitHub下载。Transparent Tribe利用这个合法软件投放并执行Android RAT。
Desi-porn.apk截图:
投放工具尝试在系统上查找以下合法软件包:
· 0imo.android.imoim
· snapchat.android
· viber.voip
· facebook.lite
如果发现是小米设备,还会检查com.truecaller软件包是否存在。
用于检查是否安装了合法软件包的代码:
如果发现列表中有未安装的应用程序,则会选择第一个作为目标应用程序。在恶意软件中,嵌入了多个APK文件,这些文件存储在名为“assets”的目录下。我们分析的样本中包含以下软件包:
· apk a20fc273a49c3b882845ac8d6cc5beac
· apk 53cd72147b0ef6bf6e64d266bf3ccafe
· apk bae69f2ce9f002a11238dcf29101c14f
· apk b8006e986453a6f25fd94db6b7114ac2
· apk 4556ccecbf24b2e3e07d3856f42c7072
· apk 6c3308cd8a060327d841626a677a0549
将所选的APK复制到/.System/APK/。默认情况下,应用程序尝试将文件保存到外部存储,如果不存在,则保存到data目录。
最后,应用程序尝试安装复制的APK。最终的恶意软件是AhMyth Android RAT的修改版本,软件可以从GitHub下载。攻击者将恶意Payload绑定到其他合法应用程序中。
原始的AhMyth RAT支持以下命令:
命令:x0000ca
附带字段:
extra = camlist(获取摄像头列表)
extra = 1(从ID为1的摄像头获取照片)
extra = 0(从ID为0的摄像头获取照片)
命令:x0000fm
附带字段:
extra = ls; path = %dirpath%(获取path变量中定义路径的文件列表)
extra = ls; path = %dirpath%(将特定文件上传到C2)
命令:x0000sm
附带字段:
extra = ls(获取短信息列表)
extra = sendSMS; to = %number%; sms = %message%(向另一个号码发送新的消息)
命令:x0000cl(获取通话记录)
命令:x0000cn(获取通讯录)
命令:x0000mc
附带字段:
sec = %seconds%(使用麦克风录制seconds变量中定义的秒数的音频并上传至C2)
命令:x0000lm(获取设备位置)
基本上,恶意软件具有以下功能:
1、摄像头管理(列出设备并窃取屏幕截图);
2、文件管理(列举文件并将其上传到C2);
3、短信管理(获取短信列表或发送短信);
4、获取通话记录;
5、获取通讯录;
6、麦克风管理;
7、位置管理(追踪设备位置)。
我们分析的RAT与原始的RAT略有不同。其中包括攻击者添加的、用于窃取数据的新功能,同时删减了一些原来的功能,比如从相机中窃取图片。
攻击者添加了以下命令:
x000upd – 从“path”字段中指定的URL下载新的APK。
x000adm – 自动下载工具,在我们分析的版本中不包含此功能,但在其他样本中可用。
此外,攻击者还改进了其音频监听的功能,增加了删除包含特定内容的文本消息的命令。
命令:x000upd
附加字段:
path = %url%(从path变量中指定的URL下载一个新的APK文件)
命令:x000adm(在我们分析的样本中没有实现这一命令,其他样本使用该命令启动一个名为“autodownloader”的类)
命令:x0000mc
附加字段:
extra = au; sec = %seconds%(录制音频x秒钟,然后将结果上传至C2,持续时间在sec变量中指定)
extra = mu(停止录音,将录制内容上传到C2)
extra = muS(开始连续录音,录音文件以MP3格式存储在/.System/Records/目录下)
命令:x0000fm
附加字段:
extra = ls; path = %dirpath%(获取path变量中定义的目录下的文件列表)
extra = dl; path = %filepath%(上传特定文件到hxxp://212.8.240[.]221:80/server/upload.php)
命令:sms
附加字段:
extra = ls(获取短信息列表)
extra = sendSMS; to = %number%; sms = %message%(给特定号码%number%发送新消息%message%)
extra = deleteSMS; to = ; sms = %message%(删除包含%message%内容的短信息,其中to的值被忽略)
命令:x0000cl(获取通话记录)
命令:x0000cn(获取通讯录)
命令:x0000lm(获取设备位置)
其中,“autodownloader”是用于执行以下操作的方法:
1、上传联系人列表;
2、上传短信列表;
3、上传存储在以下目录中的文件:
/.System/Records/
/Download/
/DCIM/Camera/
/Documents/
/WhatsApp/Media/WhatsApp Images/
/WhatsApp/Media/WhatsApp Documents/
攻击者使用上述方法自动收集联系人和短信。此外,该方法还会收集以下内容:
使用“x0000mc”命令创建并存储在/.System/Records/中的音频文件;
通过WhatsApp共享的下载文件、照片、图像、文档;
设备上存储的其他文档。
原始的AhMyth和Transparent Tribe修改版本之间的另一个区别是获取C2地址的方法。原始版本将C2服务器存储为直接嵌入代码的字符串,而修改后的版本则使用不同的方法。它嵌入了另一个以Base64编码的URL,该URL用于获取配置文件,在配置文件中包含真实的C2地址。
在我们的示例中,URL如下:
hxxp://tryanotherhorse[.]com/config.txt
其中包含如下内容;
212.8.240.221:5987
http://www.tryanotherhorse.com
第一行是实际的C2,似乎是一个在荷兰托管的服务器。
修改后的版本通过不同的URL方案进行通信,其中还包括更多信息:
原始URL格式:http://%server%:%port?model=%val%&manf=%val%&release=%val%&id=%val%
修改版URL格式:http://%server%:%port?mac=%val%&battery=%val%&model=%val%&manf=%val%&release=%val%&id=%val%
三、COVID-19追踪应用程序
我们发现证据表明,Transparent Tribe还利用疫情追踪应用程序分发木马。我们找到了一个仿冒Aarogya Setu的APK文件,而Aarogya Setu是印度政府电子和信息技术部下属的国家信息中心开发的COVID-19追踪移动应用程序,允许用户查看印度基本卫生服务信息。
我们发现的应用程序尝试连接到相同的恶意URL以获取C2 IP地址:
hxxp://tryanotherhorse[.]com/config.txt
它使用与前面所述相同的URL方案,并嵌入以下APK软件包:
apk CF71BA878434605A3506203829C63B9D
apk 627AA2F8A8FC2787B783E64C8C57B0ED
apk 62FAD3AC69DB0E8E541EFA2F479618CE
apk A912E5967261656457FD076986BB327C
apk 3EB36A9853C9C68524DBE8C44734EC35
apk 931435CB8A5B2542F8E5F29FD369E010
值得关注的是,在4月底,印度军队发出警告,声称巴基斯坦相关机构设计了类似于Aarogya Setu的恶意应用程序以入侵印度军方人员的手机。
据一些印度新闻网站称,这些应用程序是由巴基斯坦情报人员发送到印度军方人员所在的WhatsApp群组的。文章还提到,这些应用程序后续安装了其他软件包:
· face.apk
· imo.apk
· normal.apk
· trueC.apk
· snap.apk
· viber.apk
基于公开信息,我们认为攻击者可能通过WhatsApp、短信息、网络钓鱼电子邮件或社交媒体的方式发送恶意链接,从而传播恶意应用程序。
四、ObliqueRAT的关联分析
ObliqueRAT是另一个恶意程序,Cisco Talos曾在2月发表一篇文章对其进行分析。之所以将该恶意程序归因于Transparent Tribe,是因为其中某些样本是通过恶意文档分发的,这些文档使用了用于分发Crimson RAT的恶意宏。
在Talos的分析文章中,描述了两个ObliqueRAT变种,一种通过恶意文档作为感染媒介进行分发,另一种名为“Variant # 0”,通过Dropper进行分发。
4a25e48b8cf515f4cdd6711a69ccc875429dcc32007adb133fb25d63e53e2ac6
遗憾的是,根据Talos,该Dropper目前的初始感染方式暂时未知。
到现在,我们还没有完整的感染链,但是我们可以从另一个角度去分析,因为sharemydrives[.]com还托管了另一个文件。
卡巴斯基威胁情报门户中的信息:
wifeexchange.exe样本是另一个Dropper,它伪装成色情视频。
该可执行文件使用与Windows多媒体文件相同的图标。
Dropper图标:
执行后,该进程将尝试在文件映像中查找特定的标记(“*#@”),然后投放并打开以下文件:
· frame.exe – 4a25e48b8cf515f4cdd6711a69ccc875429dcc32007adb133fb25d63e53e2ac6
· movie.mp4
Frame.exe是Talos分析的Dropper,而movie.mp4是一个较小的色情视频片段。
五、总结
Transparent Tribe成员正在尝试添加新工具以扩展其恶意活动并感染更多的移动设备。他们还开发了新的自定义.NET工具,例如ObliqueRAT。正如在上篇报告中所描述的,该恶意组织不太会放慢速度,我们也将继续监测他们的活动。
六、威胁指标
下面的威胁指标是不完整的。如果你想了解有关APT的更多信息以及完整的威胁指标列表,可以选择成为卡巴斯基威胁情报报告的客户。
15DA10765B7BECFCCA3325A91D90DB37 – Special Benefits.docx
48476DA4403243B342A166D8A6BE7A3F – 7All_Selected_list.xls
B3F8EEE133AE385D9C7655AAE033CA3E – Criteria of Army Officers.doc
D7D6889BFA96724F7B3F951BC06E8C02 – wifeexchange.exe
0294F46D0E8CB5377F97B49EA3593C25 – Android Dropper – Desi-porn.apk
5F563A38E3B98A7BC6C65555D0AD5CFD – Android Dropper – Aarogya Setu.apk
A20FC273A49C3B882845AC8D6CC5BEAC – Android RAT – face.apk
53CD72147B0EF6BF6E64D266BF3CCAFE – Android RAT – imo.apk
BAE69F2CE9F002A11238DCF29101C14F – Android RAT – normal.apk
B8006E986453A6F25FD94DB6B7114AC2 – Android RAT – snap.apk
4556CCECBF24B2E3E07D3856F42C7072 – Android RAT – trueC.apk
6C3308CD8A060327D841626A677A0549 – Android RAT – viber.apk
CF71BA878434605A3506203829C63B9D – Android RAT – face.apk
627AA2F8A8FC2787B783E64C8C57B0ED – Android RAT – imo.apk
62FAD3AC69DB0E8E541EFA2F479618CE – Android RAT – normal.apk
A912E5967261656457FD076986BB327C – Android RAT – snap.apk
3EB36A9853C9C68524DBE8C44734EC35 – Android RAT – trueC.apk
931435CB8A5B2542F8E5F29FD369E010 – Android RAT – viber.apk
hxxp://sharingmymedia[.]com/files/Criteria-of-Army-Officers.doc
hxxp://sharingmymedia[.]com/files/7All-Selected-list.xls
hxxp://sharemydrives[.]com/files/Laptop/wifeexchange.exe
hxxp://sharemydrives[.]com/files/Mobile/Desi-Porn.apk
hxxp://tryanotherhorse[.]com/config.txt – APK URL
212.8.240[.]221:5987 – Android RAT C2
hxxp://212.8.240[.]221:80/server/upload.php – Android RAT用于上传文件的URL
本文翻译自:https://securelist.com/transparent-tribe-part-2/98233/如若转载,请注明原文地址: