疑似雙尾蠍APT組織以CIA資助哈馬斯相關信息為誘餌的攻擊活動分析

2021-02-24 奇安信威脅情報中心
概述

雙尾蠍APT團夥是一個長期針對中東地區的高級威脅組織,其最早於2017年被披露。其至少自2016年5月起,便持續針對巴勒斯坦教育機構、軍事機構等重要領域開展了有組織,有計劃,有針對性的攻擊,該組織擁有針對Windows和Android雙平臺攻擊能力。 

近日,奇安信威脅情報中心紅雨滴團隊在日常的威脅狩獵中捕獲多個偽裝成視頻、文檔和圖片的可執行文件,此類樣本將圖標設置為對應的誘餌類型,誘導受害者點擊執行。當樣本執行後,將釋放展示相關誘餌迷惑受害者。釋放展示的誘餌包括CIA對哈馬斯支持的相關政治類誘餌、巴勒斯坦地區美女視頻圖片、簡歷相關文檔等。奇安信威脅情報中心經過溯源關聯後發現,此次捕獲樣本疑似均來自APT組織:雙尾蠍。 

奇安信威脅情報中心在發現此次攻擊活動的第一時間便向安全社區進行了預警。

樣本信息

此次捕獲的樣本具有Pascal,VC兩個版本,並偽裝成視頻,圖片,文檔等幾種誘餌類型,偽裝成文檔類的樣本信息如下:

文件名

MD5

Financing USA  is illegal and suspicious organizations.exe

9fcb1cb7e8bb3424ce7e83ce5ad9a78d

My Cv.docx.exe

ae0b53e6b378bf74e1dd2973d604be55

serati al  thatia.docx.exe

c27f925a7c424c0f5125a681a9c44607

My  Cv-4786789573896-2347675-docx.exe

faff57734fe08af63e90c0492b4a9a56

釋放展示的文檔內容包括CIA資助哈馬斯相關信息,簡歷信息,誘餌內容如下:

9fcb1cb7e8bb3424ce7e83ce5ad9a78d             ae0b53e6b378bf74e1dd2973d604be55

c27f925a7c424c0f5125a681a9c44607            faff57734fe08af63e90c0492b4a9a56

除文檔類誘餌以外,捕獲的樣本還會釋放展示視頻,圖片等影音類誘餌,此類部分樣本信息如下:

文件名

MD5

sun is crying in a door and what it tells tells my country  Take me on my homelandd.exe

1507f7ecc5fe8ef4c90c853d64e1a9f9

PhoneProviders.exe

9af8f2a02befa7ceb9b72359ce30c0bb

bihbik lamaa bitahki tarsum eishafafik dahka hbihbik lamaa  bitahki.exe

26a1fc2f983fb8abae4b47b0c7edfee6

Her hands are following my pain Irfana, I am suffering What  lightness and my pain wasted me.exe

e0f8e726e4d5a4ad22de8a62c98e1737

gift.mp4.exe

835f86e1e83a3da25c715e89db5355cc

Video02042020.mp4.exe

f5bac4d2de2eb1f8007f68c77bfa460e

影音類誘餌主要以中東地區美女視頻,照片為主,部分誘餌內容如下:

1507f7ecc5fe8ef4c90c853d64e1a9f9        9af8f2a02befa7ceb9b72359ce30c0bb

e0f8e726e4d5a4ad22de8a62c98e1737         835f86e1e83a3da25c715e89db5355cc

  

詳細分析


VC後門

文件名

Financing USA is illegal and  suspicious organizations.exe

MD5

9fcb1cb7e8bb3424ce7e83ce5ad9a78d

誘餌內容

CIA資助哈馬斯相關信息

C2

ansonwhitmore[.]live

圖標

樣本偽裝成word文檔,執行後將從資源中獲取數據釋放到Financing USA is illegal and suspicious organizations.docx,並打開該文檔迷惑受害者。

釋放展示文檔內容為CIA資助哈馬斯行動相關信息,誘餌內容如下:

之後在啟動項目錄創建lnk文件實現持久化

在%temp%目錄下創建SwitcherDataModel文件夾。

嘗試讀取%temp%\\SwitcherDataModel\\Secombe.txt文件,若讀取失敗,則獲取計算機名加隨機字符寫入該文件。

與C2: ansonwhitmore.live/yohann/bordalas/ignasI通信,發送收集的計算機基本信息。

若成功通信則進入後續命令分發函數,獲取Secombe.txt數據與C2: ansonwhitmore.live/yohann/bordalas/alejandro獲取命令執行。

與雙尾蠍組織常用手法一致的是,該樣本也利用人名作為指令。相關指令功能如下:

指令

功能簡介

germain

執行信息收集函數,休眠

gustavo

休眠

steve

請求新地址

Isabella

下載文件並執行。

 

Pascal後門

文件名

My  Cv-4786789573896-2347675-docx.exe

MD5

faff57734fe08af63e90c0492b4a9a56

誘餌內容

簡歷信息

C2

Judystevenson[.]info

圖標

樣本將圖標設置為word文檔圖標,並以簡歷為誘餌名,誘導受害者執行,執行後將釋放展示簡歷信息迷惑受害者。

通過資源文件可發現該樣本存在一個主窗口,三個定時器,兩個按鈕,以及一個Lazarus IDE的多行編輯框memo:

其中三個定時器分別對應不同的功能,兩個按鈕對應Post和Get請求功能,memo記錄每一步操作。

定時器Timer3功能為拷貝自身,當計算機中未安裝卡巴時候,拷貝自身到%PROGRAMDATA%\\SecProcessingWindowsSystem.exe

定時器Timer2則主要負責持久化操作,啟動後首先判斷計算機中是否安裝了如下殺軟:

Kasper

eScan

360

Corporate

F-Secure

Bitdefender

 之後將嘗試建立持久化,將設置自身lnk帶上-rq參數避免每次開機都打開誘餌文檔讓用戶產生懷疑。同時對不同環境將執行不同的持久化操作:

 

 

 

 

 

檢測到系統存在殺軟

WindowsXP

C:\\Documents and  Settings\\Start Menu\\Programs\\Startup\\

SecProcessingWindowsSystem.lnk

除XP外的Windows系統

%APPDATA%\\Microsoft\\Windows\\StartMenu\\Programs\\Startup\\SecProcessingWindowsSystem.lnk並寫入註冊表Software\\Microsoft\\Windows\\CurrentVersion\\Run來實現持久化

未檢測到殺軟

將lnk文件放入startup目錄實現持久化

C:\\Users\\Administrator\\AppData\\Roaming\\Microsoft\\Windows\\StartMenu\\Programs\\Startup

定時器Timer1主要功能為釋放誘餌文檔以及與C2通信當Time1執行後將檢測當前的啟動參數,若不帶-rq則將MYDATA資源中的誘餌文檔釋放到%temp%\\Manal Cv.docx。

之後獲取計算機用戶名,殺軟,系統版本等信息,Base64編碼後以如下格式拼接:

vcqmxylcv

計算機名,用戶名

vcnwaapcv

殺軟信息

vcllgracv

系統版本信息

vcwjlxycv              

當前運行目錄

vccodwfcv

軟體版本

將獲取的信息上傳到hxxp://judystevenson[.]info/vcapicv/vchivmqecv/vbqsrot

與C2通信後獲取指令執行,功能號使用MD5表示:

eadb5aebe89133bccce354dfc68824b1

遠程Shell

25431262a6689fe80d8516eb141fc7ef

截圖

3b040104b112d52d9baef903e9c3c768

下載執行

 

溯源關聯

奇安信威脅情報中心紅雨滴團隊對利用奇安信威脅情報中心ALPHA(ti.qianxin.com)平臺對此次攻擊活動惡意代碼,攻擊手法等方面分析發現,此次捕獲的樣本疑似來自APT組織雙尾蠍。

經關聯分析,我們從樣本庫中發現樣本7ef3520da2151c3724e3615943833a5f與此次捕獲VC版本後門樣本代碼幾乎一致。

且樣本7ef3520da2151c3724e3615943833a5fC2:katesacker[.]club在ALPHA平臺已有雙尾蠍組織相關標籤。

同時雙尾蠍組織常常在樣本中使用人名組成C2路徑等,此次捕獲的樣本中也是如此。總結

雙尾蠍組織是常年活躍在中東地區APT團夥,其具有Windows和Android雙平臺攻擊武器,且僅Windows平臺惡意代碼就豐富多變,具有多種語言編譯的後門,奇安信威脅情報中心將持續追蹤該組織。

同時基於奇安信威脅情報中心的威脅情報數據的全線產品,包括奇安信威脅情報平臺(TIP)、天擎、天眼高級威脅檢測系統、奇安信NGSOC等,都已經支持對此類攻擊的精確檢測。

 

IOCs

89e9823013f711d384824d8461cc425d

21aa63b42825fb95bf5114419fb42157

9fcb1cb7e8bb3424ce7e83ce5ad9a78d

4694bf0093c95fa9a7f49af3a7722211

1507f7ecc5fe8ef4c90c853d64e1a9f9

26a1fc2f983fb8abae4b47b0c7edfee6

9af8f2a02befa7ceb9b72359ce30c0bb

e0f8e726e4d5a4ad22de8a62c98e1737

ae0b53e6b378bf74e1dd2973d604be55

c27f925a7c424c0f5125a681a9c44607

835f86e1e83a3da25c715e89db5355cc

f5bac4d2de2eb1f8007f68c77bfa460e

faff57734fe08af63e90c0492b4a9a56

c4a90110acd78e2de31ad9077aa4eff6

9d76d59de0ee91add92c938e3335f27f

a0e681a0637988baea55b50cfff5c3ad 

51ae5a914f10945edcc4668550c5d880

 

malpas-west-rook[.]live

charmainellauzier[.]host

judystevenson[.]info

jaime-martinez[.]info

krasil-anthony[.]icu

ansonwhitmore[.]live

gonzalez-anthony[.]info

gallant-william[.]icu

doloresabernathy[.]icu

參考連結

[1]. https://twitter.com/RedDrip7/status/1331458999628091395

[2]. https://mp.weixin.qq.com/s/yobOH_jdKx69m4_i1qDrLA

近期雙尾蠍APT組織利用偽造社交軟體等針對多平臺的攻擊活動分析

相關焦點

  • 近期雙尾蠍APT組織利用偽造社交軟體等針對多平臺的攻擊活動分析
    文章轉載自奇安信威脅情報中心雙尾蠍(APT-C-23)是一個高級威脅組織,該組織擁有針對Windows和Android雙平臺的攻擊能力
  • 響尾蛇組織利用巴菲雙邊協議為誘餌的攻擊活動分析
    概述響尾蛇(又稱SideWinder)是疑似具有南亞背景的APT組織,其攻擊活動最早可追溯到2012年,主要針對其周邊國家政府
  • 疑似白象APT組織最新攻擊武器分析
    據了解,該組織主要的攻擊範圍為中國、巴基斯坦等亞洲地區的國家,其目的主要是竊取敏感信息。其最早的攻擊活動還要追溯到2009年11月。在歷來針對中國地區的攻擊中,主要針對政府機構、科研教育領域開展攻擊,尤其以科研教育領域為主。
  • 疑似BITTER組織利用LNK文件的攻擊活動分析
    該組織主要針對周邊國家地區的政府,軍工業,電力,核等單位進行攻擊,以竊取敏感資料為目的,具有強烈的政治背景。近期,奇安信威脅情報中心紅雨滴團隊在日常高價值樣本挖掘中,捕獲了BITTER組織多個攻擊樣本,在此次攻擊活動中,BITTER組織首次利用LNK文件作為攻擊入口,從遠程獲取MSI文件執行,最終釋放執行.NET惡意軟體竊取受害者機器敏感信息。
  • 疑似白象組織針對巴基斯坦、孟加拉國等南亞國家的最新攻擊活動報告
    ,攻擊者構造具有惡意宏代碼的word文檔做為郵件附件發送到攻擊目標郵箱,誘餌文檔內容包含對PAEC(巴基斯坦原子能委員會)的相關描述。除了巴基斯坦的目標外,我們還發現疑似有孟加拉國某組織的高級技術管理人員也被進行了攻擊。經過關聯分析,該次攻擊疑似白象組織所為。而有意思的是,經過對基礎設施的關聯分析,我們還發現某次攻擊,而該攻擊活動又可以關聯到BITTER(蔓靈花)組織。
  • ​Donot APT團夥使用升級版數字武器針對周邊地區的攻擊活動分析
    概述Donot「肚腦蟲」(APT-C-35)是疑似具有南亞背景的APT組織,其主要以周邊國家的政府機構為目標進行網絡攻擊活動
  • Donot(APT-C-35)組織對在華巴基斯坦商務人士的定向攻擊活動分析
    360威脅情報中心在本文中對本次的釣魚攻擊活動的過程與技術細節進行揭露,希望相關組織和個人能夠引起足夠重視並採取必要的應對措施。 2017年,360公司發現並披露了主要針對巴基斯坦等南亞地區國家進行網絡間諜活動的組織[1],內部跟蹤代號為APT-C-35,其後網絡安全廠商Arbor公開了該組織的活動並命名為Donot[2]。
  • Hermit(隱士)APT組織2020年最新攻擊活動分析
    ,並且根據關聯分析確定跟KONNI為同一組織所為。該組織的攻擊對象包括與朝鮮半島相關的非政府組織、政府部門、貿易公司、新聞媒體等。SYSCON/SANNY木馬是一個非常有特色的遠程控制木馬,通過ftp協議來進行C&C控制,該後門的主要攻擊目標為朝鮮半島相關的重要政治人物或者要害部門,偶爾也會針對東南亞等國進行攻擊。該活動自2017年下半年開始活躍,並且對多個目標進行了攻擊活動。被曝光後,該組織活動沒有任何減弱的跡象。
  • 蔓靈花(BITTER)APT組織針對中國境內軍工、核能、政府等敏感機構的最新攻擊活動報告
    組織是一個長期針對中國、巴基斯坦等國家進行攻擊活動的APT組織,該APT組織為目前活躍的針對境內目標進行攻擊的境外APT組織之一。騰訊御見威脅中心在今年五月份捕捉到了疑似該組織對我國境內敏感單位的攻擊活動,但是由於當時無法下載到具體的攻擊模塊,因此無法進行進一步的關聯和分析。而在10月底,騰訊御見威脅情報中心再次捕捉到了疑似該組織對我國的軍工業、核能、政府等重點單位的攻擊,並且獲取到了完整的攻擊武器庫,經過進一步的關聯分析,我們確認該攻擊組織就是2016年曝光的蔓靈花。
  • 蔓靈花(BITTER)APT組織針對中國境內政府、軍工、核能等敏感機構的最新攻擊活動報告
    騰訊御見威脅中心在今年五月份捕捉到了疑似該組織對我國境內敏感單位的攻擊活動,但是由於當時無法下載到具體的攻擊模塊,因此無法進行進一步的關聯和分析。而在10月底,騰訊御見威脅情報中心再次捕捉到了疑似該組織對我國的軍工業、核能、政府等重點單位的攻擊,並且獲取到了完整的攻擊武器庫,經過進一步的關聯分析,我們確認該攻擊組織就是2016年曝光的蔓靈花。
  • MMCore針對南亞地區的APT攻擊活動分析
    此外Forcepoint也在2017年初曝光過而惡意文件的一些攻擊活動。該惡意文件的活動,主要活躍在亞洲地區,包括中國、巴基斯坦、阿富汗、尼泊爾等。不過Forcepoint也提到該攻擊活動也包含非洲和美國。攻擊的目標主要為軍事目標、媒體、大學等。該攻擊活動可以追溯到2013年,直到2020年,依然存在。
  • 「靈貓」組織針對中東地區的攻擊活動分析報告
    「靈貓」組織(又名Moonlight、Molerats、Gaza Hackers Team、Gaza Cybergang)是一個來自加沙地區的APT攻擊組織,其最早的攻擊活動時間可追溯至2012年。國外安全廠商ClearSky曾在2016年所發的「Operation DustySky」報告[1]中指出該組織的背後為哈馬斯(伊斯蘭抵抗運動組織的簡稱)。
  • 全球APT活動每周簡報 05.16-05.22
    本周重點關注近期,伊朗相關的APT組織頻頻出手,使其周邊地區也遭受了不同程度的網絡間諜攻擊。歐洲超級計算機被黑客入侵用於開採加密貨幣;安全研究人員發現一起雙尾蠍組織針對中東地區的攻擊活動;Greenbug組織針對巴基斯坦的電信公司發起攻擊;Chafer APT組織針對科威特和沙烏地阿拉伯政府部門進行網絡間諜活動;以色列大量網站遭到黑客篡改,顯示反以色列的視頻信息。
  • 疑似「海蓮花」組織早期針對國內高校的攻擊活動分析
    漏洞文檔,通過對該漏洞文檔及相關攻擊活動的分析,我們關聯到該組織近期針對南亞國家的攻擊活動。並且發現了疑似「海蓮花」組織在2017年5月初針對國內實施的一次集中式的攻擊活動,結合內部的威脅情報數據,我們認為這是該組織利用「永恆之藍」漏洞實施的一輪重點針對國內高校的攻擊活動。本報告將詳細分析「海蓮花」組織新的攻擊活動中利用的攻擊技術細節,並披露其在2017年5月實施的攻擊行動詳情,以及其中的關聯性。
  • 南亞APT組織"蔓靈花"歷史攻擊活動分析
    ,主要攻擊目標為巴基斯坦和中國。該組織最早在2016由美國安全公司Forcepoint進行了披露,並且命名為「BITTER」,同年360也跟進發布了分析報告,命名為「蔓靈花」。由於該組織早期特馬數據包頭部以"BITTER"作為標識,因此國外廠商將其命名為BITTER,但是值得注意的是,自從該活動被曝光後,該組織就修改了數據包結構,不再以"BITTER"作為數據包的標識,改為五字節的隨機字符進行代替。
  • 雙尾蠍(APT-C-23)團夥利用帶有政治主題的Android惡意軟體針對巴勒斯坦的攻擊分析
    2016 年 5 月起至今,雙尾蠍組織(APT-C-23)對巴勒斯坦教育機構、軍事機構等重要領域展開了有組織、有計劃、有針對性的長時間不間斷攻擊。攻擊平臺主要包括 Windows 與 Android。Android惡意程序主要偽裝成兩類應用程式:一類為聊天工具,另一類為軟體升級工具。
  • 疑似DarkHotel APT組織針對中國貿易行業高管的定向攻擊披露
    而從該次攻擊的手法、技術特點、攻擊對象等來看,跟DarkHotel組織高度相似。不過暫未發現確鑿的關聯證據,我們也希望安全同行能跟我們一起來完善攻擊者拼圖。DarkHotel(編號:T-APT-02,中文名「黑店」)是一個被認為來自韓國的APT組織(亦有研究團隊認為與朝鮮有關)。騰訊御見威脅情報中心最早跟蹤到的該組織的攻擊活動發生在2011年。
  • 【黑客攻擊】俄羅斯黑客組織Gamaredon的攻擊活動分析
    該組織不以破壞或獲利為主要目的,旨在竊取目標的敏感信息。Gamaredon是最為活躍的APT組織之一,與傳統的APT攻擊模式不同的是,該組織在攻擊活動中使用了大量的基礎的域名,這種TTP在網絡犯罪團夥中較為常見。近年來,該組織的攻擊活動雖然被多次暴露,但其並沒有停止攻擊的步伐,依然動作頻頻。