阻擊APT:奇安信QOWL引擎挫敗BITTER針對國內政企的定向攻擊

2021-02-19 網絡安全應急技術國家工程實驗室

蔓靈花(BITTER)是疑似具有南亞背景的APT組織,該組織長期針對中國,巴基斯坦等國家進行攻擊活動,主要針對政府、軍工業、電力、核能等單位進行定向攻擊,竊取敏感資料。近日,搭載了奇安信威脅情報中心自主研發反病毒引擎QOWL的奇安信安全終端「天擎」成功阻斷蔓靈花組織針對國內企業的定向攻擊活動,在此次攻擊活動中,該組織依舊使用了其常用的攻擊手法,企圖釋放執行其常用的下載者進行惡意軟體部署,但被QOWL殺毒引擎成功攔截。

同時,奇安信威脅情報中心紅雨滴團隊在日常的威脅狩獵中也捕獲了蔓靈花組織利用中文誘餌樣本的攻擊活動。捕獲的樣本為偽裝成船舶工業相關誘餌的SFX文件,運行後將向受害者展示誘餌PDF,從而達到迷惑受害者的目的,同時部署惡意軟體開展竊密活動。在此輪攻擊活動中,蔓靈花組織攻擊手法變化不大,且仍然使用奇安信曾披露過的C2伺服器進行通信,同時該C2伺服器分發的插件模塊也與此前攻擊活動中的基本一致。此處僅以公開樣本進行分析闡述。開證裝期郵件.pdf.exe該樣本為SFX自解壓文件,運行在C:\\intel\logs路徑下部署dlhost.exe執行。

該文件為BITTER組織常用的下載器,運行後,首先解密相關配置信息:

獲取受害者基本信息,計算機名稱,用戶名,MachineGuid和SystemInfo各項信息

構造Get請求包數據,與C2通信,獲取數據解析執行。

若返回數據包中存在「YESFILE」則獲取其他插件模塊執行。

在分析過程中,紅雨滴安全研究員成功獲取到部分插件,基本均為BITTER組織常用的插件模塊,插件信息如下:

使用全局消息鉤子SetWindowsHookExA進行Hook。

將獲取的鍵盤信息在每個字符+20進行加密,寫入到後綴為tean的文件裡。

 Lsapip為文件上傳模塊,將其他模塊收集的信息上傳到C2: 72.11.134.216。

MSAServices,MSAServicet模塊是功能相同的遠控木馬,通信的C2伺服器均為pichostfrm.net。支持的命令功能如下表所示:

CERT.msi

該樣本運行後彈出常規安裝窗口,並讓用戶選擇安裝地址。默認地址為C:\intel\logs\。

使用請等待安裝界面,迷惑受害者,並後臺釋放執行下載器。

最後將在C:/intel/logs部署下載器模塊dlhost.exe執行。該模塊與上述dlhost.exe功能基本一致,此處不在贅述,解密的配置信息如下:

遺憾的是,該C2伺服器僅獲取到兩個插件模塊,相關信息如下:

奇安信威脅情報中心紅雨滴團隊結合威脅情報中心ALPHA(ti.qianxin.com)平臺,對此次攻擊活動得手法,惡意代碼等方面關聯分析發現,此次攻擊活動與BITTER存在高度相似性。此次捕獲的樣本與BITTER組織歷史活動中使用的下載器幾乎一致,同時相關模塊也與BITTER組織曾使用過的插件模塊相同。

同時,此次捕獲樣本的C2伺服器162.0.229.203已多次出現在蔓靈花組織相關活動中,奇安信威脅情報中心ALPHA平臺已有相關標籤:

2020年10月中旬,奇安信病毒響應中旬曾發布《網絡安全主題誘餌,配合新型後門WinClouds肆虐南亞地區》[1]一文,文章中提到WinClouds攻擊活動中使用到的RTF公式編輯漏洞利用文檔與BITTER組織使用的漏洞文檔幾乎一致。

在此次捕獲的攻擊行動中,我們再次發現BITTER也使用『^』字符隨機混淆隱藏命令行:

這讓WinClouds活動與BITTER組織的關聯性大增加,期待與安全社區一起完善相關組織拼圖。BITTER APT組織是一個長期活躍的境外網絡攻擊組織,且長期針對國內開展攻擊活動,安信紅雨滴團隊提醒廣大用戶,切勿打開社交媒體分享的來歷不明的連結,不點擊執行未知來源的郵件附件,不運行誇張的標題的未知文件。做到及時備份重要文件,更新安裝補丁。若需運行、安裝來歷不明的應用,可先通過奇安信威脅情報文件深度分析平臺(https://sandbox.ti.qianxin.com/sandbox/page)進行簡單判別。目前已支持包括Windows、安卓平臺在內的多種格式文件深度分析。目前,基於奇安信威脅情報中心的威脅情報數據的全線產品,包括奇安信威脅情報平臺(TIP)、天擎、天眼高級威脅檢測系統、奇安信NGSOC、奇安信態勢感知等,都已經支持對此類攻擊的精確檢測。

IOCs

1475df569f8a31e49a659c6d9764ae93

25a16b0fca9acd71450e02a341064c8d

99dd93a189fd734fb00246a7a37014d3

f6b250aff0e2f5b592a6753c4fdb4475

806626d6e7a283efffb53b3831d53346

a39aa2ecbbb50c97727503e23ce7b8c6

660a678cd7202475cf0d2c48b4b52bab

f4daf0eccf9972bdefb79fbf9f7fb6ee

72.11.134.216

82.221.136.27

pichostfrm.net

162.0.229.203

D:\C++\Reg_Entry\reg_en\Release\reg_en.pdb

參考連結[1]. https://mp.weixin.qq.com/s/R1YRFLa2cK1G2jRpOwMdfA網絡安全主題誘餌,配合新型後門WinClouds肆虐南亞地區

相關焦點

  • 揭秘奇安信天眼的前世今生
    真刀真槍下,奇安信天眼能否扛得住實戰化考驗?》近年來,實戰化成為網絡安全行業最火的詞語。「網絡安全講一百遍不如打一遍」,只有頻繁、高對抗性的組織實戰攻防演練,才能歷練出可靠有效的網絡安全防禦體系。5月18日,奇安信對外發布了針對實戰化威脅,特別是高級威脅的檢測、分析、溯源響應的一體化解決方案天眼新版本,旨在打造一款實戰化利器,適應不斷演化、瞬息萬變的新型攻擊和高級威脅。
  • ​Donot APT團夥使用升級版數字武器針對周邊地區的攻擊活動分析
    該組織具備針對Windows與Android雙平臺的攻擊能力。據奇安信紅雨滴團隊與奇安信APT實驗室監測發現,Donot APT組織近期攻擊頻繁。其利用惡意宏樣本以及公式編輯漏洞利用樣本對周邊國家地區開展了多次攻擊活動,同時,其在移動端攻擊活動也並未停息。根據紅雨滴及APT實驗室研究人員跟蹤分析,Donot此次的攻擊活動有如下特點。
  • COVID-19 | 新冠病毒籠罩下的全球疫情相關網絡攻擊分析報告
    截至目前,奇安信紅雨滴團隊捕獲了數十個APT團夥利用疫情相關信息針對境內外進行網絡攻擊活動的案例,捕獲了數百起黑產組織傳播勒索病毒、遠控木馬等多類型惡意代碼的攻擊活動。並通過基於奇安信威脅情報中心威脅情報數據的全線產品阻斷了數千次攻擊。相關詳細信息均及時上報國家和地方相關主管部門,為加強政企客戶和公眾防範意識,也將其中部分信息摘要發布。
  • APT組織Lazarus開始針對安全研究人員發起定向攻擊
    經過360安全大腦全網遙測分析研判:此事為朝鮮半島APT組織Lazarus(APT-C-26) 首次針對網絡安全行業發起的APT攻擊行動。值得注意的是,此次攻擊籌劃時間長且嚴謹縝密,並使用針對數字加密貨幣和巨頭商業公司等行業相似的社會工程學手法。由於此次攻擊顯現出了有毒「POC」源碼包等攻擊技術特點,為此360安全大腦將此次攻擊行動命名為「破殼行動」。
  • 全球高級持續性威脅(APT)2019年中報告
    APT組織的國家和地域歸屬判斷是綜合了外部情報的結果,並不代表奇安信威脅情報中心自身的判定結論。在過去對APT活動的追蹤過程中,APT攻擊往往伴隨著現實世界重大政治、外交活動或軍事衝突的發生前夕和過程中,這也與APT攻擊發起的動機和時機相符。奇安信威脅情報中心結合公開情報中對APT組織歸屬的結論,按地緣特徵對全球主要的APT組織和攻擊能力進行評估,並對其在2019年最近半年的攻擊活動的總結。
  • 疑似BITTER組織利用LNK文件的攻擊活動分析
    該組織主要針對周邊國家地區的政府,軍工業,電力,核等單位進行攻擊,以竊取敏感資料為目的,具有強烈的政治背景。近期,奇安信威脅情報中心紅雨滴團隊在日常高價值樣本挖掘中,捕獲了BITTER組織多個攻擊樣本,在此次攻擊活動中,BITTER組織首次利用LNK文件作為攻擊入口,從遠程獲取MSI文件執行,最終釋放執行.NET惡意軟體竊取受害者機器敏感信息。
  • 蔓靈花(BITTER)APT組織使用InPage軟體漏洞針對巴基斯坦的攻擊及團夥關聯分析
    概述近期,360威脅情報中心監控到一系列針對巴基斯坦地區的定向攻擊活動,而相關的惡意程序主要利用包含了
  • 2018年全球十大APT攻擊事件盤點
    VPNFilter惡意代碼被製作成包含複雜而豐富的功能模塊,實現多階段的攻擊利用,並被編譯成支持多種CPU架構,使用已知公開的漏洞利用技術獲得控制權。烏克蘭特勤局(SBU)後續也公開披露其發現VPNFilter對其國內的氯氣蒸餾站的攻擊。
  • 蔓靈花(BITTER)APT組織針對中國境內政府、軍工、核能等敏感機構的最新攻擊活動報告
    APT組織,該APT組織為目前活躍的針對境內目標進行攻擊的境外APT組織之一。該組織主要針對政府、軍工業、電力、核等單位進行攻擊,竊取敏感資料,具有強烈的政治背景。該組織最早在2016由美國安全公司Forcepoint進行了披露,並且命名為「BITTER」,同年國內友商360也跟進發布了分析報告,命名為「蔓靈花」,鑑於對「誰先發現誰命名」的原則,我們繼續沿用友商們對該組織的命名。
  • 蔓靈花(BITTER)APT組織針對中國境內軍工、核能、政府等敏感機構的最新攻擊活動報告
    、巴基斯坦等國家進行攻擊活動的APT組織,該APT組織為目前活躍的針對境內目標進行攻擊的境外APT組織之一。該組織主要針對政府、軍工業、電力、核等單位進行攻擊,竊取敏感資料,具有強烈的政治背景。該組織最早在2016由美國安全公司Forcepoint進行了披露,並且命名為「BITTER」,同年國內友商360也跟進發布了分析報告,命名為「蔓靈花」,鑑於對「誰先發現誰命名」的原則,我們繼續沿用友商們對該組織的命名。
  • 響尾蛇組織利用巴菲雙邊協議為誘餌的攻擊活動分析
    近日,奇安信威脅情報中心紅雨滴團隊在日常高價值樣本挖掘中,捕獲了一例響尾蛇組織攻擊樣本,該樣本偽裝為巴基斯坦-菲律賓相關合同協議,誘導受害者執行,一旦受害者執行,該樣本便會通過公式編輯漏洞執行JS腳本,從而部署其常用的.NET遠控木馬控制受害者機器,竊取敏感信息。
  • 卡巴斯基發布2019第一季度 APT 趨勢報告,有哪些看點?
    編譯:奇安信代碼衛士團隊卡巴斯基發布2019年第一季度的 APT 組織活動的趨勢報告,主要說明重大的 APT 活動以及研究發現比如卡巴斯基發現了針對一家德國政治諮詢組織機構的惡意 Word 文檔,並由此發現了針對烏克蘭大選的攻擊活動。分析認為 Sofacy 或 Hades APT 組織有可能是幕後黑手。APT在政治方面採取的行動並不鮮見。最近,美國維吉尼亞一家法庭請微軟查看看似是華盛頓一家智庫登錄網站的一批站點,結果被指是某「疑似發動 DNC 攻擊活動的俄羅斯組織」的基礎設施。
  • APT界勞模:東歐黑客組織使用魚叉郵件定向攻擊烏克蘭活動總結
    概述Gamaredon APT組織是疑似具有東歐背景的APT團夥,該組織攻擊活動最早可追溯到2013年,其主要針對烏克蘭政府機構官員
  • MMCore針對南亞地區的APT攻擊活動分析
    此外Forcepoint也在2017年初曝光過而惡意文件的一些攻擊活動。該惡意文件的活動,主要活躍在亞洲地區,包括中國、巴基斯坦、阿富汗、尼泊爾等。不過Forcepoint也提到該攻擊活動也包含非洲和美國。攻擊的目標主要為軍事目標、媒體、大學等。該攻擊活動可以追溯到2013年,直到2020年,依然存在。
  • 近期雙尾蠍APT組織利用偽造社交軟體等針對多平臺的攻擊活動分析
    文章轉載自奇安信威脅情報中心雙尾蠍(APT-C-23)是一個高級威脅組織,該組織擁有針對Windows和Android雙平臺的攻擊能力
  • 窮源溯流:KONNI APT組織偽裝韓國Android聊天應用的攻擊活動剖析
    而在近期,奇安信威脅情報中心紅雨滴團隊在日常的高級威脅監測過程中,發現多起疑似針對韓國地區Android用戶的惡意代碼攻擊活動。攻擊者通過將惡意安卓應用偽裝成韓國常用移動應用,從而誘導受害者安裝使用。經關聯分析,我們發現此次攻擊活動無論從攻擊手法還是木馬框架都與ESTsecurity披露的KONNI Android木馬一致。
  • Donot團夥(APT-C-35)移動端新攻擊框架工具分析
    肚腦蟲(APT-C-35),
  • 疑似雙尾蠍APT組織以CIA資助哈馬斯相關信息為誘餌的攻擊活動分析
    其至少自2016年5月起,便持續針對巴勒斯坦教育機構、軍事機構等重要領域開展了有組織,有計劃,有針對性的攻擊,該組織擁有針對Windows和Android雙平臺攻擊能力。 近日,奇安信威脅情報中心紅雨滴團隊在日常的威脅狩獵中捕獲多個偽裝成視頻、文檔和圖片的可執行文件,此類樣本將圖標設置為對應的誘餌類型,誘導受害者點擊執行。當樣本執行後,將釋放展示相關誘餌迷惑受害者。
  • 雙尾蠍(APT-C-23)團夥利用帶有政治主題的Android惡意軟體針對巴勒斯坦的攻擊分析
    2016 年 5 月起至今,雙尾蠍組織(APT-C-23)對巴勒斯坦教育機構、軍事機構等重要領域展開了有組織、有計劃、有針對性的長時間不間斷攻擊。攻擊平臺主要包括 Windows 與 Android。Android惡意程序主要偽裝成兩類應用程式:一類為聊天工具,另一類為軟體升級工具。