疑似APT-C-56透明部落攻击预警

发布于 2021-09-28 15:13:28

APT-C-56(透明部落)别名APT36、ProjectM、C-Major,是具有南亚背景的APT组织,长期对周边国家和地区(特别是印度)的政治、军事等目标进行定向攻击活动,还开发出自己的专属木马CrimsonRAT,曾被发现广泛传播USB蠕虫。该组织在2019年下半年一直非常关注阿富汗地区,2020年开始再次转为关注印度用户。2021年开始利用疫情相关信息对印度医疗、电力等行业进行信息窃取,并且伪装印度国防部会议记录的诱饵文档尝试进行信息窃取。

近日,国内有关安全研究机构在日常情报挖掘中发现并捕获到了多批疑似透明部落攻击印度的文档,该恶意文档最终释放NetWireRAT。

恶意文档1:

该恶意文档标题为Pay and Allowance Details.xls,MD5: c2a38018cf336685e3c760c614bbf4c3,伪装成工资与津贴支付明细的电子表格,打开xls文件后利用图片欺骗目标用户。该文档是使用之前版本的Office文档工具创建的,想要查看详细内容,必须要点击允许编辑按钮,实际上这个按钮是触发xls内部隐藏的恶意宏代码执行的,内部隐藏shell命令,且调用PowerShell。

最终解码后的PowerShell将会从C&C连接下载后续载荷。

最终会下载伪装成GOM P的恶意文件(MD5:f0b43a3f4821a4cf4b514144b496e4d7)。APT-C-56(透明部落)在攻击印度的活动中还曾伪装过hgx-p播放器。APT组织攻击过程中一般都尝试伪装一些主流、能够正常使用的程序软件,以此打消用户的疑虑。

该组织的这些组件大概率还处于开发、测试过程中,捕获到的版本能够看到Dropper的pdb信息,确认与之前发布的报告中的shoot行动一致。

恶意文档2:

另外一个文档标题为schedule2021.docx (MD5: 23f5fcb554e6b8d0a935ce0474ee5a8e),从标题可以看出攻击行动时间是在2021年,同样是诱使相关人员点击运行允许启用宏按钮,其内部的宏代码便开始自动执行。

内部宏代码包含当文档自动打开或关闭时的不同响应函数。

  • 当文档打开时,会自动显示文档内容。

  • 当文档更新时,会从指定C&C下载文件并保存到C:\\Users\\Public\\Adobe.exe。

  • 当文档关闭时,会利用shell命令运行下载的二进制文件。

这与之前捕获到的另一起攻击事件《APT-C-56(透明部落)近期最新攻击分析与关联疑似Gorgon Group攻击事件分析预警》中的宏代码完全一致。

Dropper:

Dropper与之前的分析一致,GOM p版本的dropper采用同样的代码,首先弹出同样的对话框,让用户以为自己的相关组件损坏需要升级,然后加载AmsiScanBuffer并企图通过修改内存进行关闭。

注册GOM P自启动。

远程线程注入写入隐藏于PE内部的二进制文件。

代码有一些较为简单的修改,加载dll的名称出现一点变化。

创建进程启动方式变化。

RAT:

最终跨进程重新写入覆盖的样本为NetwireRAT,是开源的商业RAT软件。

APT组织互相之间伪装、攻击等事件时有发生,主要目的是为了迷惑安全厂商分析人员,从而达到避免暴露自身的目的,印巴区域的这种现象尤为突出。2020年9月,有印度安全厂商称发现了一个针对印度的攻击组织,并且将行动命名为SideCopy,其攻击手法和APT-C-24(响尾蛇)组织高度相似。而同一国家下的APT组织常常技术共享,这也就导致多个APT组织可能都使用了相似的攻击技术。

数字化时代已经到来,在对信息网络高度依赖的情况下,国内有关安全研究机构提醒广大用户、单位应该切实提升安全防护意识,增强网络安全基础设施建设,加大投入研发,才能更好的应对和防范网络安全攻击。

*文章转载自360威胁情报中心

9 条评论