• 新闻
  • 安全
  • 产品展示
  • 关于Seqrite
序列博客 博客
  • 新闻
  • 安全
  • 产品展示
  • 关于Seqrite
首页  /  网络安全 • 端点安全 • 政府 • 恶意软件 • 网络安全 • 网络钓鱼 • 安全  /  针对重要印度组织的透明部落
针对关键国家组织的APT
12 可能 2020

针对重要印度组织的透明部落

撰写者 Prashant Tilekar
Prashant Tilekar
网络安全, 端点安全, 政府, 恶意软件, 网络安全, 网络钓鱼, 安全
预计阅读时间: 5 分钟

自2016年以来,Quick Heal Labs一直在跟踪此网络间谍活动。我们已将这种攻击确定为操作 m_project。在过去的一年中,我们看到了这些APT活动的激增。多年来,攻击者的作案手法一直保持不变。攻击者发送带有恶意Office文档的鱼叉式网络钓鱼电子邮件,该电子邮件利用Office漏洞或使用VBA宏-成功利用后,进一步导致下载基于MSIL的RAT。该RAT执行数据窃取活动,并将其发送到C2服务器。

在最近的广告活动中,我们发现了两个不同的变体,如下所示:

变体1:

图。1。攻击链

在观察到的文件文件中,可以看出攻击者使用军事事件“第72届印度陆军日”作为诱饵,要求接收者打开链接进行培训和其他详细信息。

图2。诱饵文件

一旦受害者单击该链接,它将下载并打开另一个doc或Xls文件,其中包含实际的恶意宏代码。

包含宏代码的文件将对字符串进行解码,并将其作为PK(zip存档)文件写入计算机。宏代码定义提取PK(zip)文件的位置,并在确定操作系统的版本后将其提取,然后执行PE文件。

有效负载是.NET程序集,它是Crimson Rat家族的文件,在执行后与攻击者控制的CnC服务器建立连接。

图3。操作系统名称模块

一旦受害者主机连接到CnC服务器,它将向受害者计算机发送命令以获取OS信息以及用户信息。这也意味着,如果CnC处于关闭状态,则有效负载将不会执行任何操作。

我们观察到有几个模块执行不同的功能,例如对当前计算机进行屏幕截图,提取所有重要数据,邮件数据,将文件发送到CnC服务器等。有趣的是,某些模块还可以从受害者的服务器中删除文件(s)。

以下是CnC命令通讯-

图4。 CnC的Wireshark日志& Victim Machine

形式2:

图5。附加链

我们观察到 透明 它使用不同的技术来执行后门的部落。诱饵文件的内容用于引诱一些政府雇员。诱饵文件在本活动中的使用如下:

图6。诱饵文件

对手使用相关数据来诱骗用户打开文档并执行宏代码。启用宏后,恶意活动开始。首先,它将一个zip文件以及一个VBS脚本和一个CS文件放入“%programdata%\ systemidlepref”位置。与以前的变体不同,在该变体中,宏代码本身负责在磁盘上拖放单个zip组件,而在该变体中,.vbs代码用于将文件提取到磁盘中。在执行windproc.scr后,它将调用从Realtime.cs文件编译的Realtime.scr文件。 Realtime.scr文件的主要目的是从CnC服务器下载最终的有效负载。下载的文件名为x64.scr,这是另一个.NET文件。

图7。流程链

X64.scr会将一个与文件夹名称“ SppExtComTel.scr”相同名称的组件放入%programdata%\ SppExtComTel文件夹中。 .LNK文件也位于启动位置的“ SppExtComTel”中,以永久保留在系统中。

当执行执行实际恶意活动的SppExtComTel.scr时,它将开始收集系统信息,例如运行过程信息,以及将其PID发送到CnC服务器的PID。

最初,它会检查“ rundll32.exe”是否存在于“ C:\ Windows \ system32”位置。如果存在,它将进入第一个无限while循环,当“ whatcostus()”函数返回某些值时终止。

以下是“ whatcostus()”的代码

图8。 whatcostus()函数代码段

它枚举正在运行的进程信息,如进程名称,进程ID,MainWindowTitle,并存储在本地数组中。使用“ HTTP POST”方法将收集到的信息发送到CnC服务器。

包含URL信息的变量地址在执行时被清除。

hxxp:// awsyscloud [。] com // E @ t!aBbU0le8hiInks / cred!tors [。] php

图9。网络活动

将数据发送到服务器后,它将以控制字(仅当请求有效时)做出响应,该控制字可以分配给 文本 变量以终止无限while循环。如果响应为NULL,则while循环将再次根据whatcostus()继续执行。

以后,根据对代码的分析,它可能会下载另一个文件并执行该文件以进行进一步的活动。

斜切ATT&CK Coverage:

跟随ATT&在APT透明部落中观察到的CK技术。

初始访问 执行 坚持不懈 防御规避 发现 采集 命令与控制 渗出
鱼叉式附件 命令行界面 注册表运行键/启动文件夹 交付后编译 流程发现 屏幕截图 自定义命令和控制协议 通过命令和控制通道渗透
鱼叉式链接 通过模块加载执行   脚本编写 查询注册表   远程文件复制  
  脚本编写     安全软件发现    

附件名称:

  • dhcp提供列表的csoi
  • 1562850317-circular1.xls
  • 特别优惠.doc
  • 陆军军官标准.doc
  • 7-All-Selected-list.xls
  • 为所有国防人员提供咨询.doc

国际奥委会’s:

6099E910FC0D4C9F3D884E8DB70BB407 XLS
4B103160DAB1837CF64EBA8E9FA4C2EC XLS
1f8076bad6a2d7963a813f2f81fe0647 文件
2fbc14f02a8325c9f40da4640349e95c 文件
A3a0750d74705d235b60556f1331ae9b 聚乙烯
D333BAE2C45FE431BEFD7A88F1D7A540 聚乙烯

参考-

//blogs.quickheal.com/beware-email-attachments-can-make-victim-spear-phishing-attacks/

//blogs.quickheal.com/quick-heal-labs-report-on-targeted-attack-named-m_project/

//blogs.quickheal.com/wp-content/uploads/2016/03/Report.pdf

//www.proofpoint.com/sites/default/files/proofpoint-operation-transparent-tribe-threat-insight-en.pdf

结论-

由于这两种变体都用于进行有针对性的攻击,因此某些相似之处是诱饵文档宏,有效载荷传递机制和.NET组装。由于政治和地理利益,这种间谍活动将继续针对敏感的印度组织。

我们已经详细分析了该APT, 白皮书 点击这里 for more details.

 

主题专家:

阿尼鲁达(Aniruddha Dolas)

Prashant Tilekar

潘旺乔杜里

 Previous Post以冠状病毒为主题的活动交付特斯拉恶意软件
下一篇文章 什么是SASE,它如何增强网络安全性?
Prashant Tilekar
关于普拉尚特(Prashant Tilekar)

Prashant Tilekar是Quick Heal 安全 Labs的HIPS(基于主机的入侵防御系统)团队的成员。他研究过各种安全漏洞。

Prashant Tilekar在本刊中的所有文章»

相关文章

  • 在这个假期,保护您的企业免受专门的网络攻击。

    假期的网络安全:将网络攻击的风险降至最低

    2020年12月11日
  • 加速企业数字化转型是否会导致网络威胁?

    加速企业数字化转型是否会导致网络威胁?

    2020年11月25日
  • 网络攻击渗透到IT-OT融合的格局中

    IT-OT融合为企业带来了网络安全漏洞

    2020年11月20日

没意见

发表评论。您的电子邮件地址将不会被发布。

取消回复

验证码图片
刷新图像

热门帖子

  • Thanos勒索软件通过RIPlace战术逃避反勒索软件的保护 Thanos勒索软件通过RIPlace战术逃避反勒索软件的保护 2020年11月18日
  • 在企业中拥有入侵防御/检测系统的好处 在企业中拥有入侵防御/检测系统的好处 2018年2月15日
  • 您应该采取的5项安全措施来保护您的组织’s network 您应该采取的5项安全措施来保护您的组织’s network 2017年8月11日

特色作者

  • 序列
    序列

    关注我们以获取与安全相关的最新更新和见解...

    阅读更多..
  • 维拉·塔里科特卡(Viraj Talikotkar)
    维拉·塔里科特卡(Viraj Talikotkar)

    Viraj是Quick Heal Technologies的首席技术作家。他一直在...

    阅读更多..
  • 桑杰·卡特(Sanjay Katkar)
    桑杰·卡特(Sanjay Katkar)

    桑杰·卡特(Sanjay Katkar)是...的联合董事总经理兼首席技术官

    阅读更多..

最新的帖子

  • 假期的网络安全:将网络攻击的风险降至最低

    假期的网络安全:将网络攻击的风险降至最低

    2020年12月11日
  • 网络保险可以代替网络安全吗?

    网络保险可以代替网络安全吗?

    2020年12月7日
  • 加速企业数字化转型是否会导致网络威胁?

    加速企业数字化转型是否会导致网络威胁?

    2020年11月25日

保持更新!

主题

Linux防毒软件 (10) 服务器防病毒 (9) 自带设备 (9) 网络攻击 (31) 网络攻击 (56) 网络攻击 (12) 网络安全 (270) 网络安全 (25) 网络威胁 (29) 网络威胁 (44) 数据 (10) 数据泄露 (50) 数据泄露 (27) 资料遗失 (28) 防止数据丢失 (33) 数据保护 (21) 数据安全 (13) DLP (49) 加密 (16) 端点安全 (102) 企业安全 (14) 每股收益 (9) 利用 (12) 防火墙 (11) 骇客 (9) 事件响应计划 (9) 物联网 (9) 恶意软件 (58) 恶意软件攻击 (22) 恶意软件攻击 (12) MDM (25) 移动设备管理 (9) 网络安全 (18) 补丁管理 (12) 网络钓鱼 (16) 勒索软件 (54) 勒索软件攻击 (29) 勒索软件攻击 (30) 勒索软件保护 (12) 序列 (24) 序列加密 (27) 序列 每股收益 (33) 序列服务 (16) UTM (34) 脆弱性 (10)

产品展示

  • 端点安全(EPS)
  • 序列加密管理器
  • 序列 端点安全云
  • 云端安全
  • 序列 mSuite
  • 序列 MobiSMART
  • 统一威胁管理
  • 序列安全Web网关
  • 服务器防病毒
  • Linux防毒软件

资源资源

  • 白皮书
  • 数据表
  • 威胁报告
  • 说明书
  • 实例探究

关于我们

  • 公司简介
  • 领导
  • 为什么选择SEQRITE?
  • 获奖情况& Certifications
  • 编辑部

档案

  • 按日期
  • 按类别

©2020 Quick Heal Technologies Ltd.(以前称为Quick Heal Technologies Pvt。Ltd.) Cookie政策 私隐政策

我们的网站使用cookie。 Cookies使我们能够提供最佳体验,并帮助我们了解访问者如何使用我们的网站。
浏览本网站即表示您同意我们的 Cookie政策。