自2016年以来,Quick Heal Labs一直在跟踪此网络间谍活动。我们已将这种攻击确定为操作 m_project。在过去的一年中,我们看到了这些APT活动的激增。多年来,攻击者的作案手法一直保持不变。攻击者发送带有恶意Office文档的鱼叉式网络钓鱼电子邮件,该电子邮件利用Office漏洞或使用VBA宏-成功利用后,进一步导致下载基于MSIL的RAT。该RAT执行数据窃取活动,并将其发送到C2服务器。
在最近的广告活动中,我们发现了两个不同的变体,如下所示:
变体1:
在观察到的文件文件中,可以看出攻击者使用军事事件“第72届印度陆军日”作为诱饵,要求接收者打开链接进行培训和其他详细信息。
一旦受害者单击该链接,它将下载并打开另一个doc或Xls文件,其中包含实际的恶意宏代码。
包含宏代码的文件将对字符串进行解码,并将其作为PK(zip存档)文件写入计算机。宏代码定义提取PK(zip)文件的位置,并在确定操作系统的版本后将其提取,然后执行PE文件。
有效负载是.NET程序集,它是Crimson Rat家族的文件,在执行后与攻击者控制的CnC服务器建立连接。
一旦受害者主机连接到CnC服务器,它将向受害者计算机发送命令以获取OS信息以及用户信息。这也意味着,如果CnC处于关闭状态,则有效负载将不会执行任何操作。
我们观察到有几个模块执行不同的功能,例如对当前计算机进行屏幕截图,提取所有重要数据,邮件数据,将文件发送到CnC服务器等。有趣的是,某些模块还可以从受害者的服务器中删除文件(s)。
以下是CnC命令通讯-
形式2:
我们观察到 透明 它使用不同的技术来执行后门的部落。诱饵文件的内容用于引诱一些政府雇员。诱饵文件在本活动中的使用如下:
对手使用相关数据来诱骗用户打开文档并执行宏代码。启用宏后,恶意活动开始。首先,它将一个zip文件以及一个VBS脚本和一个CS文件放入“%programdata%\ systemidlepref”位置。与以前的变体不同,在该变体中,宏代码本身负责在磁盘上拖放单个zip组件,而在该变体中,.vbs代码用于将文件提取到磁盘中。在执行windproc.scr后,它将调用从Realtime.cs文件编译的Realtime.scr文件。 Realtime.scr文件的主要目的是从CnC服务器下载最终的有效负载。下载的文件名为x64.scr,这是另一个.NET文件。
X64.scr会将一个与文件夹名称“ SppExtComTel.scr”相同名称的组件放入%programdata%\ SppExtComTel文件夹中。 .LNK文件也位于启动位置的“ SppExtComTel”中,以永久保留在系统中。
当执行执行实际恶意活动的SppExtComTel.scr时,它将开始收集系统信息,例如运行过程信息,以及将其PID发送到CnC服务器的PID。
最初,它会检查“ rundll32.exe”是否存在于“ C:\ Windows \ system32”位置。如果存在,它将进入第一个无限while循环,当“ whatcostus()”函数返回某些值时终止。
以下是“ whatcostus()”的代码
它枚举正在运行的进程信息,如进程名称,进程ID,MainWindowTitle,并存储在本地数组中。使用“ HTTP POST”方法将收集到的信息发送到CnC服务器。
包含URL信息的变量地址在执行时被清除。
hxxp:// awsyscloud [。] com // E @ t!aBbU0le8hiInks / cred!tors [。] php
将数据发送到服务器后,它将以控制字(仅当请求有效时)做出响应,该控制字可以分配给 文本 变量以终止无限while循环。如果响应为NULL,则while循环将再次根据whatcostus()继续执行。
以后,根据对代码的分析,它可能会下载另一个文件并执行该文件以进行进一步的活动。
斜切ATT&CK Coverage:
跟随ATT&在APT透明部落中观察到的CK技术。
| 初始访问 | 执行 | 坚持不懈 | 防御规避 | 发现 | 采集 | 命令与控制 | 渗出 |
| 鱼叉式附件 | 命令行界面 | 注册表运行键/启动文件夹 | 交付后编译 | 流程发现 | 屏幕截图 | 自定义命令和控制协议 | 通过命令和控制通道渗透 |
| 鱼叉式链接 | 通过模块加载执行 | 脚本编写 | 查询注册表 | 远程文件复制 | |||
| 脚本编写 | 安全软件发现 |
附件名称:
- dhcp提供列表的csoi
- 1562850317-circular1.xls
- 特别优惠.doc
- 陆军军官标准.doc
- 7-All-Selected-list.xls
- 为所有国防人员提供咨询.doc
国际奥委会’s:
| 6099E910FC0D4C9F3D884E8DB70BB407 | XLS |
| 4B103160DAB1837CF64EBA8E9FA4C2EC | XLS |
| 1f8076bad6a2d7963a813f2f81fe0647 | 文件 |
| 2fbc14f02a8325c9f40da4640349e95c | 文件 |
| A3a0750d74705d235b60556f1331ae9b | 聚乙烯 |
| D333BAE2C45FE431BEFD7A88F1D7A540 | 聚乙烯 |
参考-
//blogs.quickheal.com/beware-email-attachments-can-make-victim-spear-phishing-attacks/
//blogs.quickheal.com/quick-heal-labs-report-on-targeted-attack-named-m_project/
//blogs.quickheal.com/wp-content/uploads/2016/03/Report.pdf
结论-
由于这两种变体都用于进行有针对性的攻击,因此某些相似之处是诱饵文档宏,有效载荷传递机制和.NET组装。由于政治和地理利益,这种间谍活动将继续针对敏感的印度组织。
我们已经详细分析了该APT, 白皮书 点击这里 for more details.
主题专家:
阿尼鲁达(Aniruddha Dolas)
Prashant Tilekar
潘旺乔杜里
没意见