TransparentTribe 2019年針對印度的攻擊活動報告
一、 報告背景
進行2019年以來,騰訊御見威脅情報中心檢測到多起針對印度政府部門、軍事目標等的攻擊活動,誘餌內容包括”印度空襲分裂主義組織(英譯漢)”、”聯合國軍事觀察員(英譯漢)”等。經過分析關聯確認,攻擊組織為TransparentTribe APT組織。
TransparentTribe APT組織,又稱ProjectM、C-Major,是一個來自巴基斯坦的APT攻擊組織,主要目標是針對印度政府、軍事目標等。該組織的活動最早可以追溯到2012年。該組織的相關活動在2016年3月被proofpoint披露,趨勢科技隨後也跟進進行了相關活動的披露。
騰訊御見威脅情報中心對該組織進行持續和深入的分析和跟蹤,掌握了該組織的相關攻擊TTPs(“攻擊者的戰術,技術和過程”的縮寫),並且認為該組織跟另一個由Paloalto Unit42團隊披露的Gogron Group也存在一定的關係。
二、 攻擊活動分析
1、攻擊誘餌
該組織的攻擊採用魚叉攻擊的方式,誘餌主要有兩種型別,xls和doc,誘餌內容跟印度相關,具體如下:
| 檔案hash | 7fa6689ec0a8863e5084d30de4b9b252 |
|---|---|
| 檔名 | UNITED_NATIONS_MILITARY_OBSERVERS____COURSE___UNMOC-19_.xls |
| 檔案型別 | MS Excel Spreadsheet |
| 文件作者 | Cloner |
| 最後修改者 | Cloner |
| 最後修改時間 | 2019:01:07 07:58:00 |
| 上傳到VT時間 | 2019/1/30 11:31 |
其中,CUNPK為聯合國維持和平中心,是一個在印度新德里的一個組織,該組織的主要職能是為聯合國的相關人員提供服務,如為聯合國觀察員提供培訓服務等。
該誘餌提到的就是在2019年2月的對聯合國軍事觀察員的一個培訓的相關內容。
此外,根據該誘餌檔案,我們還找到了一個跟該誘餌檔案非常相似的檔案,包括內容、惡意程式碼等都一致,僅個別位元組有改動:
| f2260694b2ecb02bf03181e774140f29 | |
|---|---|
| 檔名 | N/A |
| 檔案型別 | MS Excel Spreadsheet |
| 文件作者 | Cloner |
| 最後修改者 | Cloner |
| 最後修改時間 | 2019:01:07 07:58:00 |
| 上傳到VT時間 | 2019/2/5 16:26 |
| 檔案hash | b16d4956f6609104eb93a521b60c6f42 |
|---|---|
| 檔名 | EoMA_PGA_2019.xls |
| 檔案型別 | MS Excel Spreadsheet |
| 文件作者 | Cloner |
| 最後修改者 | Roche |
| 最後修改時間 | 2019:02:18 07:13:14 |
| 上傳到VT時間 | 2019/2/25 11:19 |
該誘餌主要提到的內容是在2019年印度共和國日,印度總統給印度空軍人員辦法傑出服務獎和英勇獎的相關內容。
其中IAF為印度空軍,因此該報告疑似跟軍事目標相關:
| 檔案hash | 1b7b5c85fe5b9daf2264b7d5f6b364e9 |
|---|---|
| 檔名 | contacts.doc |
| 檔案型別 | MS Word Document |
| 文件作者 | swear |
| 最後修改者 | swear |
| 最後修改時間 | 2019:02:03 12:59:00 |
| 上傳到VT時間 | 2019/2/7 13:07 |
該誘餌文件沒什麼實際的意義,為一堆亂碼,攻擊背景不詳。
| 檔案hash | 41b70737fa8dda75d5e95c82699c2e9b |
|---|---|
| 檔名 | Exclusive_Pictures__destruction_of_Jaish_Camp_and_dead_bodies_of_terrorists.doc |
| 檔案型別 | MS Word Document |
| 文件作者 | sara123 |
| 最後修改者 | sara123 |
| 最後修改時間 | 2019/2/28 0:56 |
| 上傳到VT時間 | 2019/2/28 4:17:25 |
該誘餌提到了最新的印度空襲巴基斯坦恐怖組織訓練營的事件。
2、巨集技術細節
這些攻擊誘餌的巨集程式碼基本類似,如下:
巨集程式碼啟動後,都會將窗體控制元件內容進行解密後釋放到相關的資料夾中,並解壓出可執行檔案執行。
但是細節上,doc版本的誘餌文件跟xls版本的誘餌文件,稍微有點差異。
如doc版本的誘餌文件:
Doc文件開啟後,首先會呼叫內建VBA函式ShadrifileLdr,隨後將其窗體UserShiForm控制元件文字內容顯示到文件中。
因此未啟動巨集的時候,顯示空白:
然後VBA函式ShadrifileLdr的功能則是解密窗體kashForm控制元件文字內容,並寫入到建立在”ALLUSERSPROFILE”\\Hurmz\rgiwsdasxa.zip壓縮檔案中,隨後在呼叫內建解壓縮函式解壓到”ALLUSERSPROFILE”\\Hurmz\rgiwsdasxa.exe並執行。
但xls版本的誘餌文件:
啟動巨集程式碼後,VBA函式同樣將窗體UsersobiForm控制元件文字內容釋放到%USERPROFILE%\Documents\Hadram.zip檔案,並且將Hadram.zip解壓到當前目錄下Hadram.exe。但是會判斷相應的系統版本,來釋放不同的內容(以win7和win8&win10做分界線):
3、惡意檔案分析
Doc版本和xls 版本在釋放的惡意檔案上也有一定的差異。
1) Doc版本釋放的惡意檔案分析,以誘餌4釋放的檔案rgiwsdasxa.exe來進行分析:
檔案執行後,首先會上傳本地機器資訊和當前rat資訊到伺服器,並設定登錄檔自啟動:
隨後接受遠端指令進行下一步操作,該rat支援超過20多個指令功能,包括截圖,鍵盤記錄,木馬跟新,上傳檔案等功能:
木馬會通過內建兩個ip和多個埠號進行通訊,如果當前預設無法聯通c2伺服器則更換另一個ip或者埠號進行通訊:
最終的通訊c2為:216.176.190.98。
該RAT最終被確認的RAT家族為CrimsonRAT。
2) Xls版本釋放的惡意檔案分析,以誘餌1釋放的檔案Hadram.exe來進行分析:
Hadram.exe實際名為lioeek.exe,lioeek.exe首先會嘗試是否能訪問google,如果能訪問則釋放exe到%ALLUSERSPROFILE%\ekeoil\ekeoil.exe並啟動,最後結束時建立lnk檔案設定登錄檔自啟:
Ekeoil.exe分析
首先會去訪問
https://www.quora.com/If-programming-languages-had-honest-slogans-what-would-they-be ,並且查詢該html頁面中<span>標籤是否為”Quora”:
如果存在則會去ping firebasebox.com,如果firebasebox.com存活,則會繼續訪問C2伺服器:
http://firebasebox.com/tootie292/reboshw/c0_nCussi0N.php ,並判斷返回值是否為”7375636b6d796469636b”:
如果正確則會判斷是否存在C:\ProgramData\ekeoil\ekeoil.xml檔案並讀取xml檔案中的username和password,用於與C2伺服器通訊。否則通過本地資訊已經木馬版本號建立username和password並建立xml寫入:
隨後繼續收集本地資訊和程序列表帶上username和password分別傳送給不同url:
如本地機器資訊:
如程序列表:
隨後進行迴圈訪問c2伺服器,根據返回的內容進行上傳下載檔案,解除安裝,設定登錄檔自啟等操作:
而最終,會下載執行一個基於python的惡意檔案Axess.exe。
Axess.exe分析
首先檢查登錄檔和自身檔名和路徑,如果不正確則設定登錄檔自啟並且在”%appdata%”下建立axess資料夾,並複製自身到該資料夾下並重命名為axess_xxxx.exe,xxxx為1000-9999的隨機數。然後重新啟動自身:
重新啟動後,首先在配置檔案中選擇伺服器地址,判斷伺服器是否存活。隨後建立本地資料庫檔案”axess.db”,然後建立username和password,並且將username和password傳送到伺服器。隨後對通過配置檔案規則對本地進行檔案收集:
最後迴圈訪問c2伺服器,等待伺服器下發的功能指令,等待的過程中會上傳收集到的本地檔案:
該版本支援下載,更新,上傳,獲取當前執行任務等功能:
該RAT最終確認為PeppyRAT。
三、 關聯分析
根據該輪的攻擊樣本,我們又從騰訊御見威脅情報中心的大資料庫中關聯到了一些相似的攻擊樣本:
如誘餌檔案:
| 檔案hash | 91e5c5afcf42f8912d5ae3b7dafcda22 |
|---|---|
| 檔名 | Officer_Course_for_FY_2018_19-4.xls |
| 檔案型別 | MS Excel Spreadsheet |
| 文件作者 | Qaatil |
| 最後修改者 | Qaatil |
| 最後修改時間 | 2018:10:23 06:53:39 |
| 上傳到VT時間 | 2018/10/29 19:04 |
檔案內容依然跟印度相關。該檔案的巨集跟上述分析的基本一致,不過也有一些小的區別:
該檔案的巨集執行後,會解密窗體控制元件文字內容釋放到%USERPROFILE%\AppData\下檔名為6個字元的scr檔案,並執行:
src檔案執行後會釋放一個可執行檔案到”ALLUSERSPROFILE”\ewbusm\ewbusm.exe 並且在啟動資料夾下建立同名lnk檔案用於自啟:
從版本號上來看,該版本為2.1.2.9,該.net檔案跟上述分析的.net(xls版本釋放的惡意檔案)基本一致:
而從關聯到的樣本來看,該版本惡意檔案也是經過了持續的迭代,從版本號1.0.0.0一直更新到了8.7.18.11。
雖然在持續進行迭代,但是該些.net檔案變化不大,功能和程式碼結構基本一致。
四、 攻擊TTPs總結
| 事項 | 說明 |
|---|---|
| 攻擊目標 | 印度政府、軍事目標等 |
| 投遞方式 | 魚叉攻擊 |
| 誘餌型別 | 帶有VBA巨集的doc、xls文件等。並且把相關的內容和惡意檔案以整形的資料形式存放在窗體控制元件中。 |
| 誘餌內容 | 以攻擊目標感興趣的新聞和通知等內容 |
| 特馬家族 | CrimsonRAT、.net loader、.net droper、PeppyRAT |
| 攻擊目的 | 竊取相關資料檔案 |
五、 溯源關係
1、同TransparentTribe關係
從攻擊TTPs來看,該次攻擊活動可以確定是同TransparentTribe相關的。
如:使用CrimsonRAT、基於python的PeppyRAT。
2、同GorgonGroup的關係
通過騰訊御見威脅情報中心的大資料,我們又關聯到一個新的攻擊樣本。
樣本hash:10f6cc542bf69acdd749f8e226200cf5
該檔案最終會釋放檔案Intel Graphics.exe(c9401cdee589b69c5d57b4c747a950af),經過分析,該檔案跟上述xls版本釋放的.net檔案幾乎一致。
該檔案的訪問域名也被騰訊安圖高階威脅溯源系統標記為ProjectM:
此外,該樣本的來源為: http://stemtopx.com/work/i/2.exe ,該域名被標記為Gorgon Group:
此外,友商360的報告《利用了多種Office OLE特性的免殺樣本分析及溯源》(參考文章5)中提到的組織為ProjectM,該報告也被Paloalto的Unit42的團隊歸結為Gorgon Group的一部分(參考文章3)。
此外,攻擊者背景都為來自巴基斯坦的團隊,而攻擊目標也主要為印度的相關敏感目標。因此我們判斷這兩個組織存在一定的關聯。
六、 總結
近期,印巴衝突是國際社會重點關注的大事,隨著印巴衝突的不斷升級,兩國間的網路攻擊也不斷升級:騰訊御見威脅情報中心在2019年多次檢測到雙方針對對方重要部門的網路攻擊事件。
”沒有網路安全,就沒有國家安全”,隨著政治形勢的變化,國家間的網路攻擊行為成為一種全新的博弈手段,針對國家敏感部門等的APT攻擊會愈演愈烈。因此各大部門和單位切不可掉以輕心,隨時保持高度警惕,防止被攻擊而影響國家或者重要單位的資訊保安。
七、 安全建議
1、 不要開啟不明來源的郵件附件;除非非常清楚文件來源可靠,否則建議不要啟用Office執行巨集程式碼; 2、 及時打系統補丁和重要軟體的補丁; 3、 使用防毒軟體防禦可能的病毒木馬攻擊
八、 附錄
1、 IOCs
MD5:
41b70737fa8dda75d5e95c82699c2e9b e0e9c625adab63c255a0e16fe8683189 2eb4469c76f5230c66626a6918c7664f 79d690b27e287a0a24c91b6be91254cf 7fa6689ec0a8863e5084d30de4b9b252 0f3488c89f4f519ceba2c97e83d12af2 801f94eedb9481fb65709457c1f4c47a ab68db5c97f9ee12ca29c1eed881781d b16d4956f6609104eb93a521b60c6f42 512dd1f7380b3507f670c061e756f005 2c94776b6a145854f305a9febf95fd00 1b7b5c85fe5b9daf2264b7d5f6b364e9 b709529e2db6356c4578000de02725cb 1300ef72d620d298d5413658e01ee7e8 973ca595e9abe9f4c6e6cf5a624f21d7 3b3b39cb3c2306e38f9e06b23c4a645e ec544e62d65474e4f033fdc4d4aff639 11bfb965c20327564f4555734e966cdc 93350312094d1ffcf2656c8d8df694bf 91e5c5afcf42f8912d5ae3b7dafcda22 4dfde74cb13ed3890e33082b7f296f57 208606ace2e34c4b2fefeb4909c66d50
Domain
hxxp://firebasebox.com
hxxp://cynqms.com
hxxp://bdrive.club
hxxp://Cloudserve.online
hxxp://Bdrive.space
hxxp:// www.scan9t.com
hxxp://tprlink.com
ip
216.176.190.98 210.115.241.121
2、 參考連結
3) https://unit42.paloaltonetworks.com/unit42-gorgon-group-slithering-nation-state-cybercrime/