透明部落针对关键的印度组织

估计阅读时间：5分钟

自2016年以来，快速治疗实验室一直在跟踪这种网络间谍活动。我们已将此攻击确定为操作m_project.。从过去的一年来看，我们在这些APT活动中看到了激增。多年来，攻击者的Modus Operandi仍然存在相同的。攻击者向恶意办公文档发送矛网络钓鱼电子邮件，可以利用办公室漏洞或使用VBA宏 - 在成功开发后，进一步导致下载基于MSIL的RAT。此RAT执行数据窃取活动并将它们发送到C2服务器。

在最近的一项运动中，我们发现了两种不同的变体如下：

变体1：

在观察到的文件文件中，可以看出，攻击者使用军事事件，“第72次印度军队日”，作为诱饵要求接受者打开培训和其他细节的链接。

一旦受害者点击该链接，它会下载并打开另一个doc或xls文件，其中包含实际的恶意宏代码。

包含宏代码的文件对字符串进行解码，并将其写入磁盘作为计算机上的PK（ZIP归档）文件。宏代码定义在其中提取PK（ZIP）文件的位置，并在确定操作系统的版本后提取它，之后它执行PE文件。

有效载荷是.NET程序集，来自Crimson RAT系列的文件，在执行与攻击者控制的CNC服务器连接后。

一旦受害者主机连接到CNC服务器，它将向受害者机器发送命令以获取OS信息以及用户信息。这也意味着如果CNC下降，有效载荷将不做任何事情。

我们观察到有几个模块，执行不同的功能，如拍摄当前机器的屏幕截图，exfiltrate全部重要数据，邮件数据，将文件发送到CNC服务器等。有趣的是，某些模块还可以从受害者服务器中删除文件（s）。

以下是CNC命令通信 -

变体2：

我们观察了另一种变体透明它使用不同技术来执行后门的部落。诱饵文件的内容用于引诱一些政府雇员。诱饵文件在此广告系列中使用如下：

对手使用相对数据将用户欺骗到文档的开放中并执行宏码。启用宏后，恶意活动已开始。首先，它将zip文件与一个vbs脚本和一个cs文件丢弃到'％programdata％\ systemidlepref'位置。与以前的变体不同，其中宏代码本身在磁盘上丢弃并提取单个zip组件，在此变体中，使用.vbs代码用于将文件提取到磁盘中。在执行WindProc.scr之后，它会调用已从RealTime.cs文件编译的RealTime.SCR文件。 RealTime.SCR文件的主要目的是从CNC服务器下载最终有效负载。下载的文件名是x64.scr，它是另一个.NET文件

x64.scr是删除％programdata％\ sppextcomtel文件夹中的组件，与文件夹名称'sppextcomtel.scr'相同。 .lnk文件也是'sppextcomtel'drops，在系统中保持持久性。

当sppextcomtel.scr执行它执行实际恶意活动时，它开始收集系统信息，如运行的流程信息及其PID将其发送到CNC服务器。

最初，它会检查'rundll32.exe'的'c：\ windows \ system32'位置。如果存在，它将进入第一个无限，而循环终止，当从'whatcostus（）'函数有一些值返回时。

以下是'whatcostus（）'的代码

它枚举了过程名称，进程ID，MainWindowtitle和本地阵列中的存储等运行进程信息。使用“HTTP POST”方法将收集的信息发送到CNC服务器。

包含URL信息的可变地址在执行时脱象。

hxxp://awsyscloud[.]com//[email protected]!aBbU0le8hiInks/cred!tors[.]php

在向服务器发送数据后，它会使用控制字（仅当请求有效）响应，这可以分配给文本变量以终止无限的循环。如果响应为null，则循环将再次继续按照WhatCostus（）执行。

稍后，根据代码的分析，它可以下载另一个文件并执行该文件以获取进一步的活动。

临床参与者&CK Coverage:

以下&在APT透明部落中观察到CK技术。

初始访问	执行	坚持	防守逃避	发现	收藏	命令与控制	exfiltration.
羽毛钓鱼附件	命令行界面	注册表运行键/启动文件夹	交货后编译	进程发现	屏幕捕获	自定义命令和控制协议	exfiltration通过命令和控制信道
刺耳的联系	通过模块加载执行		脚本	查询注册表		远程文件副本
	脚本			安全软件发现

附件名称：

• DHCP提供列表的CSOI
• 1562850317-CONCULAL1.XLS.
• 特别优惠.doc.
• 军队官员标准.doc
• 7 - 全选项列表.xls
• 所有国防人员的咨询.doc

IOC’s:

6099E910FC0D4C9F3D884E8DB70BB407	XLS.
4B103160DAB1837CF64EBA8E9FA4C2EC	XLS.
1F8076BAD6A2D7963A813F2F81FE0647	博文
2FBC14F02A8325C9F40DA4640349E95C	博文
A3A0750D74705D235B60556F1331AE9B.	PE.
D333BAE2C45FE431BEFD7A88F1D7A540	PE.

参考-

//blogs.quickheal.com/beware-email-attachments-can-make-victim-spear-phishing-attacks/

//blogs.quickheal.com/quick-heal-labs-report-on-targeted-attack-named-m_project/

//blogs.quickheal.com/wp-content/uploads/2016/03/Report.pdf

//www.proofpoint.com/sites/default/files/proofpoint-operation-transparent-tribe-threat-insight-en.pdf

结论-

由于两种变体用于进行有针对性的攻击，其中一些相似之处是诱饵文档宏，有效载荷传递机制和.NET程序集。由于政治和地理位置兴趣，这种间谍活动将继续瞄准敏感的印度组织。

我们已经详细分析了这一点，因为白皮书 点击这里更多细节。

 

主题专家：

Aniruddha Dolas.

Prashant Tilekar.

Pawan Chaudhari.