概述
摩訶草,又名Hangover、Patchwork、The Dropping Elephant、白象等,奇安信內部跟蹤編號為APT-Q-36[1]。該APT組織被廣泛認為具有南亞地區某國家背景,其最早攻擊活動可以追溯到2009年11月,已持續活躍10餘年。該組織主要針對亞洲地區和國家進行網路間諜活動,攻擊領域為目標國家的政府、軍事、電力、工業、科研教育、外交和經濟機構等。
奇安信威脅情報中心紅雨滴團隊在日常的樣本跟蹤分析過程中,捕獲該組織多個近期針對周邊國家和地區的定向攻擊樣本。結合近幾個月我們收集的資料來看,該組織正在對其武器庫進行更新迭代,並且使用被竊取的簽名偽裝攻擊樣本,我們總結出該組織近期的木馬特點如下:
引入開源加密庫,對加密演算法進行更新;
所屬攻擊樣本大部分都打上了被竊取的簽名,降低在主機上暴露的風險;
Shellcode繞過部分安全產品對重點API調用的監控;
開發新的注入器,並使用mimikatz竊取受害主機金鑰;
線索
今年五月份的時候,我們披露了摩訶草組織最新的攻擊活動,其中使用的攻擊元件BADNEWS木馬攜帶了被竊取的簽名5Y TECHNOLOGY LIMITED,首次披露時該簽名驗證仍然有效[2]。在我們對該簽名進行披露過後,簽名頒發者將該簽名進行了吊銷處理。
後續我們在對該簽名進行持續監控中發現,摩訶草組織從6月份至今仍在使用該簽名對攻擊元件進行偽裝,期間共有15個攻擊樣本被上傳至VirusTotal。
我們在對這些攻擊樣本進行整理後發現,摩訶草組織使用多種不同的感染方式對目標進行攻擊。例如名為‘C’的BADNEWS變種木馬,被摩訶草組織掛載在某個WordPress管理系統的網站上,上傳時間為9月30日17時51分。
BADNEWS變種木馬
該BADNEWS變種木馬的基本資訊如下:
檔案名 | c |
MD5 | 3573fb365cb90f54324ed47ed2bfdfdb |
檔案類型 | exe |
時間戳 | 6336D605 (2022/9/30 19:41:57) |
通過對時間戳來看,樣本在被編譯10分鐘後就被上傳至受害網站上,其工作效率頗高。
該類型的BADNEWS變種木馬我們在5月份的報告中就曾作過詳細分析,這裡我們只分析該木馬近幾個月以來做出的變革,不再贅述相同的部分。
該BADNEWS變種木馬較之前新增了檢測時區這一操作,通過對時區的檢測從而攻擊指定地區的目標,具有一定的定向攻擊功能。
對受害系統的資訊收集逐漸轉變為以命令為主,新增幾個函數對以下命令進行分別查詢。
命令 | 功能 |
wmic product get name | 通過WMI獲取安裝的軟體名稱 |
ipconfig /all | 獲取網路配置相關資訊 |
sc query | 查看所有的已運行的服務 |
systeminfo | 顯示關於計算機及其作業系統的詳細配置資訊 |
對於通訊加密,拋棄了之前我們所披露的RC4演算法,改為使用C++開源加密庫,該C++加密庫於今年8月8日發佈了最新版本[3]。
使用的是該加密庫的AES演算法,其中金鑰為b14ca5898a4e4133bbce2ea2315a191,加密的IV為1234567891234567。
將金鑰轉為16進位制後,對其收集的資訊可進行解密。
通過在IDA中使用字串檢索功能,我們可以看到疑似摩訶草的開發人員使用了admin的使用者名,在後續的關聯中,我們同樣發現了包含admin使用者名的pdb路徑。
在獲取公網IP時,則通過訪問http://myexternalip.com/raw來進行獲取,而在之前的版本中,則是通過執行命令nslookup myip.opendns.com resolver1.opendns.com來進行獲取。
新版本的BADNEWS變種木馬在遠控指令方面未做較大變革,僅新增了一個遠控指令字符‘8’,其指令碼功能如下:
指令碼 | 功能 |
1 | 把收集的檔案上傳 |
2 | 截圖後加密上傳 |
3 | 退出 |
4 | 下載TGJdbkds_kxen.exe並執行 |
5 | 打開指定檔案並將結果寫入檔案加密後上傳 |
6 | 把鍵盤記錄器記錄的atapi.sys檔案經加密後上傳 |
7 | 遠端命令執行 |
8 | 從C2返回的url下載指定檔案 |
Bozok RAT
對收集的樣本進行整理時我們發現當中有一個樣本名稱為TGjdbkds_qfyd.exe,這與上述遠控功能下載的TGJdbkds_kxen.exe名稱上具有一定的相似性。經過分析,TGjdbkds_qfyd.exe為摩訶草組織常用的Bozok RAT木馬,並且極有可能是BADNEWS變種木馬下載的後續元件。
檔案名 | TGjdbkds_qfyd.exe |
MD5 | d063c4647678fcd44a87b4ec269f64c9 |
檔案類型 | exe |
外層樣本實際是一個注入器,樣本多次調用sub_4044A5這個函數,通過列印大量數字來達到延時、躲避沙箱檢測的目的。
對字串採用簡單加密處理,規避靜態檢測。
隨後創建自身的傀儡進程,注入Bozok RAT木馬並執行。
連接的C2為162.216.240.173:1991。
側載攻擊
在對BADNEWS變種木馬的線索挖掘中,我們發現了兩例使用CVE-2017-11882漏洞的RTF文件,釋放隱藏的mcods.exe、McVsoCfg.dll檔案。由mcods.exe側載McVsoCfg.dll執行惡意程式碼,其中McVsoCfg.dll與上述分析的BADNEWS木馬幾乎一致,AES金鑰均未改變。
誘餌1
以巴基斯坦總理水災救濟基金相關文件為誘餌。
誘餌相關資訊如下:
檔案名 | ContributionStatus.doc |
MD5 | 236b62124c862664c4cb179b4b3b844a |
檔案大小 | 1635712 bytes |
樣本上傳地 | 巴基斯坦 |
誘餌2
以巴基斯坦相關部門研討註冊表單相關文件為誘餌。
誘餌相關資訊如下:
檔案名 | AML-CFT.doc |
MD5 | 43e2a8601a4f70897d73353c4908f224 |
檔案大小 | 1916332 bytes |
樣本上傳地 | 巴基斯坦 |
漏洞利用
兩個釣魚文件都內建了CVE-2017-11882漏洞利用程式碼,通過觸發Office應用中公式編輯器元件的棧溢出漏洞,從而執行指定的shellcode。
漏洞利用將觸發兩段shellcode。第一段shellcode的主要功能為通過棧地址計算得到第二段shellcode的起始位置,並跳轉至第二段shellcode執行。
Shellcode使用動態獲取的方式獲取API進行調用,首先在C:\ProgramData\Microsoft\DeviceSync目錄下釋放隱藏的mcods.exe和McVsoCfg.dll檔案,併為mcods.exe添加註冊表啟動項。
值得一提的時,在最終調用ShellExecuteA執行mcods.exe時,shellcode專門申請了一塊記憶體空間,將ShellExecuteA函數前31位位元組碼拷入該空間,後經計算將將ShellExecuteA函數第32位位元組碼的調用地址填充在後,隨後跳轉到該地址執行。通過上述操作,可以繞過部分安全產品對重點API調用的監控。
執行的mcods.exe偽裝成McAfee病毒掃描元件,其pdb路徑為E:\BuildEngineSpace\Temp\f3d8b4dd-f3fc-447e-85ad-7e6a57a9176f\build\Win32\Release\mcods.pdb,並且攜帶了被竊取的簽名。
由mcods.exe側載偽裝成McVsoCfg.dll的BADNEWS變種木馬,其木馬與前述分析基本一致,其C2為51.89.251.8。
疑似針對我國的攻擊
無獨有偶,我們還發現摩訶草疑似針對我國的攻擊,其誘餌名稱為登記表,執行後經CVE-2017-11882釋放BADNEWS木馬。
該BADNEWS木馬的基本資訊如下:
檔案名 | mcods.exe |
MD5 | bb7445a70c39e4fc04c0ee4d36659fff |
檔案類型 | exe |
時間戳 | 63201318 (2022/9/13 13:20:24) |
該BADNEWS木馬會檢測中國時區來實施定向攻擊,並且木馬的C2: 74.119.193.145位於香港。
該木馬同樣使用AES加密,且金鑰為DD1876848203D9E10ABCEEC07282FF37,早在2019年我們就在《摩訶草團伙利用公用平臺分發C&C配置攻擊活動揭露》[4]一文中披露過類似木馬,這裡就不在贅述其相關功能。
有趣的是,我們很好奇該金鑰為什麼使用四年之久仍未更換,且其位數為32位,這與MD5的位數不謀而合,於是我們嘗試反向查詢。果然,該金鑰為字串‘whitehouse’的MD5,或許是摩訶草開發人員的戲謔,或是有別的隱情,耐人尋味。
關聯分析
摩訶草組織似乎對木馬進行簽名情有獨鍾,在對相同簽名的關聯分析中,我們發現近期摩訶草組織在使用mimikatz竊取受害主機金鑰。
MD5 |
17a6881088d1214e2a58b7a7cc09e9d6 |
3114808176d8adaa4078a5c536a8fb7c |
該木馬在運行初期創建互斥體「MyCompanyappsUpdate」,我們在摩訶草組織的多個木馬中均觀察到了該互斥體。另外,樣本還包含pdb路徑「C:\Users\admin\source\repos\Cryptcmdpylod\x64\Release\Cryptcmdpylod.pdb」,其中「admin」使用者名與我們在BADNEWS變種木馬中看到的一致。
並且該木馬與Bozok RAT木馬所使用的注入器有比較強的相似性,並且木馬還會列印步驟註釋,種種跡象表明,摩訶草組織複用了部分程式碼,正在開發新的注入器。
該注入器將內嵌在樣本中的mimikatz解密後,創建自身的傀儡進程,將mimikatz注入其中執行。
注入的mimikatz為最新版本,該項目可以從記憶體中提取明文密碼、哈希、PIN 碼和 kerberos 憑證等,摩訶草組織應該是通過 mimikatz收集密碼等資訊為橫向移動以及持久駐留做準備。
總結
近期南亞板塊熱點事件頻發,利用熱點事件進行定向攻擊成為趨勢。摩訶草組織攻擊武器較為豐富,其攻擊武器並不會因為被安全公司多次曝光而有所收斂,反而會持續更新其攻擊武器庫。此次捕獲的攻擊活動也可以看出該組織攻擊手法靈活多變,是攻擊能力較強的APT團伙。
奇安信紅雨滴團隊在此提醒廣大使用者,切勿打開社交媒體分享的來歷不明的連結,不點選執行未知來源的郵件附件,不運行誇張標題的未知檔案,不安裝非正規途徑來源的APP。做到及時備份重要檔案,更新安裝補丁。
若需運行,安裝來歷不明的應用,可先通過奇安信威脅情報檔案深度分析平臺(https://sandbox.ti.qianxin.com/sandbox/page)進行判別。目前已支持包括Windows、安卓平臺在內的多種格式檔案深度分析。
目前,基於奇安信威脅情報中心的威脅情報資料的全線產品,包括奇安信威脅情報平臺(TIP)、奇安信天狗漏洞攻擊防護系統、天擎、天眼高級威脅檢測系統、奇安信NGSOC、奇安信態勢感知等,都已經支持對此類攻擊的精確檢測。
IOCs
PDB
C:\Users\admin\source\repos\Cryptcmdpylod\x64\Release\Cryptcmdpylod.pdb
E:\BuildEngineSpace\Temp\f3d8b4dd-f3fc-447e-85ad-7e6a57a9176f\build\Win32\Release\mcods.pdb
互斥體
MyCompanyappsUpdate
MD5
17a6881088d1214e2a58b7a7cc09e9d6
3573fb365cb90f54324ed47ed2bfdfdb
3114808176d8adaa4078a5c536a8fb7c
8bbc427565b008cd61af90d50256865b
d063c4647678fcd44a87b4ec269f64c9
bb7445a70c39e4fc04c0ee4d36659fff
327ab2061b7965f741ac10ffcf4dcc86
5fc1d8fa666a60c65d74b6a4dbf10413
53dd49f39b0f8d41756edc2787473b67
90cf2ef763b2b70e74dd5ffec1b90327
df7f14690566ad5f1c0e0048c9b3197c
5dc86d29f26cb9792a285533fdff8835
1f7f6928534ff002dbe843380d619e45
4870de0cad3c841327990fd9b7513328
c55682d9dbf45e1d91329d890b7fb49c
e6abe882ca98e0a69d9e72d23f270161
103f7c56772b5463a51c4992d1a1289f
a36cc3ad0d74b621b8414fd33b65caad
5b3498a0315f7a79dbfd34e5f048f11c
9f2ff05f9f14b430d3207644268048bc
6f2dd8fa31ec31a80d7d907f301fc62d
7421610c8b7fb075bcff720b851bd2c9
864bc9880c9f8c7123637f1bec3d0959
f03314a168aa57bfdedba22dd837ad6f
6cfa3be03fafa99546c7031169454fe1
c5321b4083e6f006293feaac615550ee
d7f5790287e1fc092685ac9d0a323435
b07c9827d340011db8ff006de307f0a4
af44bb69d3b03b9fffc71b347ab91c9a
3101670f41f457b87d7d2fe6da30f22d
236b62124c862664c4cb179b4b3b844a
43e2a8601a4f70897d73353c4908f224
C2
74.119.193.145
125.209.76.62
192.227.174.165
172.81.62.200
162.216.240.173:1991
housingpanel.info
參考連結
[1] https://ti.qianxin.com/apt/detail/5aa10b90d70a3f2810c4d3c5?name=%E6%91%A9%E8%AF%83%E8%8D%89&type=map
[2] https://ti.qianxin.com/blog/articles/analysis-of-the-attack-activities-of-patchwork-using-the-documents-of-relevant-government-agencies-in-pakistan-as-bait/
[3] https://github.com/weidai11/cryptopp
[4] https://ti.qianxin.com/blog/articles/capricorn-gang-uses-public-platform-to-distribute-c&c-configuration-attacks/
點選閱讀原文至ALPHA 5.0
即刻助力威脅研判
