疑似“肚脑虫”APT组织近期针对孟加拉国的攻击活动分析
2021-12-23 18:30:39 Author: www.freebuf.com(查看原文) 阅读量:16 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

概述

Donot“肚脑虫”( 奇安信内部跟踪编号APT-Q-38)是疑似具有南亚背景的 APT 组织,其主要以周边国家包括巴基斯坦、孟加拉国、尼泊尔和斯里兰卡的政府和军​​事为目标进行网络攻击活动,通常以窃取敏感信息为目的。该组织具备针对 Windows 与 Android 双平台的攻击能力。

近日,奇安信威胁情报中心红雨滴在日常的威胁狩猎捕获一起 Donot APT 组织近期疑似针对孟加拉国攻击活动,在此攻击活动中,攻击者主要以”孟加拉国职业大学2021年电子工程专业演示文稿”为主题,将PPT诱饵文件通过钓鱼邮件发送给受害者。当受害者打开诱饵文件并执行宏后,会上传计算机和用户基本信息到远程服务器,并下载后续攻击模块到本地执行。

样本信息

相关恶意样本基础信息如下:

文件名

EE 2021 B Final ppt BUP.ppt

MD5

6e4699cd07f8c5da62c5c4acc4b392b7

文件大小

1533952 bytes

“EE 2021 B Final ppt BUP.ppt”是包含宏的诱饵文档,以”BUP(孟加拉国职业大学)”、”EE(电子工程)”命名文件,””演示文稿2021(PRESENTATION 2021)”为主页内容,诱导受害者打开诱饵文件。1640255202_61c44ee2c2a9998badaef.png!small?1640255203063

详细分析

“EE 2021 B Final ppt BUP.ppt”文档中的宏执行后会释放"%Public%\Music\delta.dll"文件,并在系统启动目录下释放”sdelta.bat”文件。

1640255214_61c44eeeb5bcc4d569c55.png!small?1640255215991

”sdelta.bat”主要是创建计划任务”deckteck”,用来加载"%Public%\Music\delta.dll"的导出函数”qdsfakraksdfkdkfjk”,以实现delta.dll自启动,值得注意的是文件delta是”德尔塔”毒株的希腊名称,以delta名称命名,可用来迷惑用户。1640255223_61c44ef76946b70941a96.png!small?1640255223631

最后弹出构造的“错误”弹框用来迷惑用户,掩盖释放文件的恶意行为,这种弹框方式在以往Donot组织攻击活动中也是经常使用,点击弹框中的”确定”或”取消”按钮后显示为空白界面,但恶意行为却早已被执行。

1640255229_61c44efd30c22e763dd1e.png!small?1640255229919

文件名

delta.dll

MD5

6867687889de3c7f82999a82505c2c4b

文件大小

442841 bytes

delta.dll文件执行后主要是收集被害者的机器指纹信息,并下载后续攻击模块执行;

delta.dll包含一个名为”qdsfakraksdfkdkfjk”的导出函数,加载后会判断是否存在%public%\Music\acrobat.dll文件。1640255247_61c44f0f43df8c2df6a6c.png!small?1640255247856

若acrobat.dll文件不存在,则通过GET方式上传当前计算机名、用户名、GUID全局标识符到https://stickme.live,上传格式为”计算机名~用户名~GUID全局标识符/uiekkdslrertukjudjkgfkkj”,并读取返回的数据保存到%public%\Music\acrobat.dll。

1640255256_61c44f18c3d6ca3cab4d3.png!small?1640255257274

当%public%\Music\acrobat.dll文件存在时,则创建计划任务”hmomci”,实现acrobat.dll的自启动,启动方式是通过rundll32加载acrobat.dll名为”nikioioeioolla”的导出函数。1640255263_61c44f1f624ba62f1b73f.png!small?1640255263763

1640255272_61c44f281ee0ea7d3605f.png!small?1640255272389

在实际分析过程中,远程服务器端口开放,收集的用户信息可以上传成功,但服务器未返回后续模块acrobat.dll,可能是服务器端只会对部分”有价值”的目标进行后续攻击载荷的下发。

溯源与关联

奇安信威胁情报中心对此次捕获样本攻击手法,代码逻辑层面分析,发现此次捕获的攻击样本与Donot组织常用攻击手法,恶意代码基本一致,下面主要和以往Donot组织样本进行对比分析:

攻击手法:

构造相似的”错误”弹框,通过宏释放文件,通过创建计划任务的方式实现自启动。1640255306_61c44f4aec1c9c0c7021e.png!small?1640255307275

代码结构:

1640255322_61c44f5accf299422b447.png!small?1640255324006

字符串解密:

对每个字符进行自减解密。

1640255336_61c44f68348e4465a3d48.png!small?1640255336755

C2信息:

Donot 本次活动和以往活动中的C2注册信息都较有特点:注册时间都为1年、注册商主要是namecheap、NameSilo。

1640255350_61c44f768710645d41a4c.png!small?1640255350803

总结

此次捕获的样本主体功能没有较大变动,依然延续构造”错误弹框”、字符自加减进行字符串解密的风格。其主要针对南亚地区开展攻击活动,国内用户不受其影响。

奇安信红雨滴团队提醒广大用户,切勿打开社交媒体分享的来历不明的链接,不点击执行未知来源的邮件附件,不运行夸张标题的未知文件,不安装非正规途径来源的APP。做到及时备份重要文件,更新安装补丁。1640255371_61c44f8baa67324ece341.png!small?1640255372424

IOCs

MD5

6e4699cd07f8c5da62c5c4acc4b392b7

6867687889DE3C7F82999A82505C2C4B

URL

stickme.live


文章来源: https://www.freebuf.com/articles/paper/317244.html
如有侵权请联系:admin#unsafe.sh