疑似摩訶草組織利用WarHawk後門變種Spyder窺伺多國

團伙背景

摩訶草,又名Patchwork、白象、Hangover、Dropping Elephant等,奇安信內部跟蹤編號APT-Q-36。該組織被普遍認為具有南亞地區背景,其最早攻擊活動可追溯到2009年11月,已持續活躍10餘年。該組織主要針對亞洲地區的國家進行網路間諜活動,攻擊目標包括政府、軍事、電力、工業、科研教育、外交和經濟等領域的組織機構。

事件概述

近期,奇安信威脅情報中心在日常樣本跟蹤分析過程中,發現一批與摩訶草存在關聯的惡意樣本,攻擊者使用的後門並非摩訶草組織此前常用的木馬。無獨有偶,國外安全研究人員也發現了其中幾個樣本[1],根據C2伺服器登入界面的資訊將該後門命名為Spyder,並指出樣本與WarHawk後門存在相似之處。後者由Zscaler在去年10月發佈的報告[2]中披露,被認為是南亞另一個APT組織響尾蛇(Sidewinder)的攻擊武器。

根據Spyder後門早期樣本使用的數字簽名和以此關聯到的Remcos木馬樣本,我們更傾向於認為背後的攻擊團伙是摩訶草。此外我們由攻擊者使用的一個IP發現了另一款用C#編寫的輕量級後門。

詳細分析

捕獲到的Spyder樣本基本資訊如下:

MD5

創建時間

數字簽名

檔案名稱

eb9068161baa5842b40d5565130526b9

2023-04-09 19:36:29 UTC

LIST OF SIGNAL ADDRESSES, CALL SIGN 10 Apr 2023.exe

87d94635372b874f18acb3af7c340357

2023-04-13 09:20:42 UTC

PN SHIP OVERSEAS DEPLOYMENT PLAN TO FAR EAST CHINA.exe

1fa3f364bcd02433bc0f4d3113714f16

2023-04-30 17:34:16 UTC

Rocket Launch System THE UPDT LIST OF MLRS PROB-.exe

1f599f9ab4ce3da3c2b47b76d9f88850

2023-06-07 07:24:01 UTC

Read-Me New Naxal VPN Configration Settings.exe

53b3a018d1a4d935ea7dd7431374caf1

2023-06-13 09:22:05 UTC

Read-Me New Naxal VPN Configration Settings.exe

1f4b225813616fbb087ae211e9805baf

2023-06-13 09:22:05 UTC

BAF Operations Report CamScannerDocument.exe

上述樣本均以Word、Excel、PDF等文件圖示進行偽裝。按照樣本大小、創建時間和程式碼相似性,可以分為原始版(4月樣本)和新版(6月樣本)兩類,新版相比原始版的程式碼進行了部分改動。結合樣本名稱、VT上傳地和樣本中的配置資訊,Spyder後門的攻擊目標包括中國、巴基斯坦、尼泊爾警察局、孟加拉國空軍。

Spyder新版

6月攻擊樣本幾乎一樣,包括C2資訊,僅部分配置資料不同。以下面樣本為例進行分析。

MD5

1f599f9ab4ce3da3c2b47b76d9f88850

檔案大小

380928位元組 (372.00 KB)

檔案類型

PE32 EXE

首先獲取檔案資源”FONTS”類別下”TRUETYPE”中的資料,用”ROUND9″作為異或解密的key,解密得到一系列配置資料。

解密得到的資料部分如下所示,包括後門agent代號(配置資料中最開始的4位元組,數值為「3」)、互斥量名稱和C2通訊URL。

除了從配置資料中獲得關鍵字串,後門還常用如下異或的方式解密所需字串。

調用CreateMutexA創建互斥量之後,後門開始收集感染設備相關資訊,收集的資訊以及獲取方式分別如下:

資訊類型

獲取方式

Machine GUID

查詢註冊表HKLM\SOFTWARE\Microsoft\Cryptography中MachineGuid的資料

主機名

調用GetComputerNameExW

使用者名

調用GetUserNameW

系統版本

查詢註冊表HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion中ProductName的資料

系統位數

調用GetNativeSystemInfo

殺軟資訊

WMI查詢root\SecurityCenter2中資料

Profile

從資源區解密的配置資料中獲取

Mail

從資源區解密的配置資料中獲取

使用Base64編碼的變體Y64對上面資訊分別進行編碼。

向用於C2通訊的URL(”hxxp://plainboardssixty.com/drive/bottom.php”)發送POST請求,回傳資訊為Machine GUID和配置資料中的郵箱名。如果響應為”1″,則直接進入休眠狀態。

將當前檔案複製為使用者”C:\Users\[user_name]\AppData\Roaming”目錄下的DllHostcache檔案,創建一系列計劃任務,運行時間為第二天指定時間。

回傳之前收集的資訊
回傳之前收集的資訊

回傳之前收集的資訊。

回傳之前收集的資訊

欄位名稱

含義

hwid

Machine GUID

username

使用者名

compname

主機名

osname

系統版本

arch

系統位數

av

殺軟資訊

agent

配置資料中的後門agent代號(數值為「3」)

profile

配置資料中的profile資訊

mail

配置資料中的郵箱名

然後進入while循環,每次循環首先從配置資料中的另一個URL “hxxp://plainboardssixty.com/drive/chilli.php”下載檔案保存在Startup目錄中,如果下載成功則運行該檔案。

之後與C2進行多次互動,下載後續載荷並運行,互動過程如下。

(1) 獲取指令

向C2發送”hwid=%s&deploy=1″,獲取返回指令。後門提供的指令只有字符”1″,”2″,”3″三種,三種指令功能均為獲取後續載荷並運行。

(2) 獲取包含後續載荷的壓縮包名稱和解壓密碼

選擇具體指令後,向C2發送”hwid=%s&deploy=%d&bakmout=1″,hwid欄位仍為編碼後的Machine GUID,而deploy欄位對應所選指令數字。

此次響應訊息為JSON字串,包含name和pass兩個欄位,分別對應壓縮包名稱和解壓密碼。

(3) 下載壓縮包並解壓執行

下載URL為”hxxp://plainboardssixty.com/drive/[name].zip”的壓縮包,以pass欄位保存的密碼解壓。下載的壓縮包和解壓出的檔案均保存在”C:\Users\[user_name]\AppData\Local”目錄中,接著運行解壓得到的檔案。

(4) 通知C2操作結束

(4) 通知C2操作結束

向C2發送”hwid=%s&deploy=0″,表示已運行下載的載荷,刪除下載的壓縮包,休眠2s後進入下一次循環。

後門指令詳細說明如下

後門指令詳細說明如下。

指令

說明

“1”

下載壓縮包的本地保存名稱為slr.zip,壓縮包中1.bin檔案解壓保存為slb.dll,通過rundll32運行該DLL的匯出函數CreateInterfaace。

“2”

下載壓縮包的本地保存名稱為slr_2.zip,壓縮包中2.bin檔案解壓保存為sihost.exe,運行該EXE檔案。

“3”

下載壓縮包的本地保存名稱為slr_3.zip,壓縮包中3.bin檔案解壓保存為secd.exe,運行該EXE檔案。

其他

無操作

6月另外兩個樣本與上述樣本幾乎一樣,不同之處在於:

  1. 配置資料中的互斥量、profile和email的名稱不同;

  2. 循環開始時從hxxp://plainboardssixty.com/drive/chilli.php下載檔案的保存名稱為gameinput.exe;

  3. 指令”2″和”3″釋放檔案保存名稱分別為”Microsoft.Web.PageInspector.exe”和”DocumentFormat.OpenXml.exe”,保存在”AppData\Local”的”Microsoft.Web”子目錄下。

Spyder原始版

4月的原始版樣本與6月的新版樣本之間的差異不大,主要不同之處在以下幾個方面:

(1) 配置用的關鍵字串在初始化函數中異或解密,而不是像新版樣本從資源區解密得到;

(2) 在創建一系列計劃任務和回傳收集的資訊之前,沒有與C2互動並根據響應選擇是否休眠的操作;

(3) 與C2通訊的循環開始時,沒有從另一個額外的URL下載載荷並執行;

(4) 雖然兩個版本的樣本回傳資訊的格式一致,但是原始版本中的profile只是代號,mail沒有郵箱名,不像新版中具有明確的指向。

4月樣本的配置資料如下所示。

MD5

eb9068161baa5842b40d5565130526b9

C2

(通訊) hxxp://gclouddrives.com/spyder/smile.php

(下載) hxxp://gclouddrives.com/spyder/[name].zip

profile

TS-001

mail

N

MD5

87d94635372b874f18acb3af7c340357

C2

(通訊) hxxp://alibababackupcloud.com/spyder/smile.php

(下載) hxxp://alibababackupcloud.com/spyder/[name].zip

profile

TS-002

mail

N

MD5

1fa3f364bcd02433bc0f4d3113714f16

C2

(通訊) hxxp://cloudplatfromservice.one/cpidr/balloon.php

(下載) hxxp://cloudplatfromservice.one/cpidr/[name].zip

profile

TS-004

mail

N

值得注意的是,早期樣本的C2路徑中也出現了”spyder”字串,而且樣本中的profile均為”TS-“格式,中間缺失的代號意味著4月的攻擊很可能還有其他受害者。

與WarHawk的比較

Spyder與Zscaler披露的WarHawk後門[2]存在一些相似之處,但後門指令對應的操作有較大差別。

相似之處

(1) 向C2發送POST請求的函數相似,且使用的User Agent相同。

(2) 收集的設備資訊相似,並且均以hwid(即Machine GUID)作為C2通訊中的受害者標識。

(3) 兩者的C2指令均以數字字符區分不同操作,且下發的C2指令均存在JSON格式的字串。

差異

兩種後門的差別體現在後門指令的分發形式和具體功能上。WarHawk後門在指令循環中依次調用實現每種指令功能的函數,各個函數首先詢問C2是否進行該操作,然後根據C2伺服器的回覆選擇執行或者跳過。下圖為WarHawk後門的相關程式碼。

WarHawk後門支持的功能包括下載並執行後續載荷、命令執行、檔案資訊收集回傳、下載檔案。而Spyder後門的功能集中在下載並執行後續載荷。

溯源關聯

歸屬

Spyder後門早期樣本(MD5: eb9068161baa5842b40d5565130526b9)帶有的數字簽名”Integrated Plotting Solutions Limited”也被摩訶草的其他樣本使用過。

此外,根據另一個Spyder後門樣本(MD5: 87d94635372b874f18acb3af7c340357)使用的數字簽名”HILLFOOT DEVELOPMENTS (UK) LTD.”關聯到一個Remcos木馬樣本。

檔案名

smss.exe

MD5

acbae6919c9ce41f45ce0d1a3f3fedd4

創建時間

2023-04-17 15:47:39 UTC

數字簽名時間

2023-04-18 07:24:00 UTC

檔案大小

1026840位元組 (1002.77 KB)

該樣本首先創建一系列計劃任務,做法與Spyder後門相似。

然後解密出Remcos木馬的PE檔案資料,記憶體載入執行。

而摩訶草組織在此前的攻擊活動中也常用Remcos木馬。綜合以上線索,我們認為Spyder後門攻擊活動背後的團伙很可能是摩訶草。

其他關聯樣本

上述Remcos木馬樣本的C2為192[.]169.7.142:80。

關聯到另一個樣本與該IP通訊,為C#編寫的輕量級後門。

檔案名

MD5

e3b37459489a863351d855e594df93bf

創建時間

2075-03-07 02:18:38 UTC

VT上傳時間

2023-05-26 20:26:23 UTC

檔案大小

17408位元組 (17.00 KB)

Config資料如下,與C2伺服器通訊的URL格式為”hxxps://192.169.7.142:4546/search?q=search[“。

Main_Load函數中調用Fetch和Reply方法實現簡單的後門功能。

Fetch方法通過GET請求從C2伺服器獲取指令資料,然後對獲取資料進行處理,包括逆序、GZ解壓、消除字串”XXPADDINGXXPADDINGXXPADDINGXX”。創建cmd.exe進程,程式碼頁設置為437,執行上述處理後的指令資料。

Reply方法將cmd.exe進程執行命令的結果處理後,通過POST請求發送給C2伺服器。處理過程為添加字串”XXPADDINGXXPADDINGXXPADDINGXX”、GZ壓縮、逆序。

該輕量後門功能極其簡單,很可能是在攻擊過程中結合其他惡意軟體使用。

更進一步,我們發現該C#後門還有其他樣本也上傳到VT,實現程式碼略有不同。

檔案名

not_default_config.exe

MD5

4a25a52244f3360b0fffd0d752833bf1

創建時間

2098-11-29 07:58:55 UTC

VT上傳時間

2023-05-09 10:01:52 UTC

檔案大小

56320位元組 (55.00 KB)

配置資料中C2伺服器為內網IP,意味著該樣本可能是測試版本。

總結

總結

南亞地區的多個APT組織之間存在千絲萬縷的聯繫,此次攻擊多國目標的Spyder後門就是一個例子。它與此前披露的響尾蛇組織WarHawk後門存在不少相似之處,而根據早期樣本的數字證書和關聯的Remcos木馬樣本,Spyder後門更可能是出自摩訶草之手。此外,我們通過攻擊者使用的基礎設施還發現了其他後門,以上跡象表明攻擊者在不斷地擴充自己的武器庫。

防護建議

奇安信威脅情報中心提醒廣大使用者,謹防釣魚攻擊,切勿打開社交媒體分享的來歷不明的連結,不點選執行未知來源的郵件附件,不運行標題誇張的未知檔案,不安裝非正規途徑來源的APP。做到及時備份重要檔案,更新安裝補丁。

若需運行,安裝來歷不明的應用,可先通過奇安信威脅情報檔案深度分析平臺(https://sandbox.ti.qianxin.com/sandbox/page)進行判別。目前已支持包括Windows、安卓平臺在內的多種格式檔案深度分析。

目前,基於奇安信威脅情報中心的威脅情報資料的全線產品,包括奇安信威脅情報平臺(TIP)、天擎、天眼高級威脅檢測系統、奇安信NGSOC、奇安信態勢感知等,都已經支持對此類攻擊的精確檢測。

IOC

IOC

MD5

(Spyder)

eb9068161baa5842b40d5565130526b9

87d94635372b874f18acb3af7c340357

1fa3f364bcd02433bc0f4d3113714f16

1f599f9ab4ce3da3c2b47b76d9f88850

53b3a018d1a4d935ea7dd7431374caf1

1f4b225813616fbb087ae211e9805baf

(Remcos)

acbae6919c9ce41f45ce0d1a3f3fedd4

(C#後門)

e3b37459489a863351d855e594df93bf

4a25a52244f3360b0fffd0d752833bf1

C&C

plainboardssixty.com

gclouddrives.com

alibababackupcloud.com

cloudplatfromservice.one

192[.]169.7.142:80

192[.]169.7.142:4546

URL

hxxp://plainboardssixty.com/drive/

hxxp://gclouddrives.com/spyder/

hxxp://alibababackupcloud.com/spyder/

hxxp://cloudplatfromservice.one/cpidr/

hxxps://192.169.7.142:4546/search?q=search[

參考連結

[1].https://twitter.com/Axel_F5/status/1669794530592170001

[2].https://www.zscaler.com/blogs/security-research/warhawk-new-backdoor-arsenal-sidewinder-apt-group-0

點選閱讀原文至ALPHA 6.0

即刻助力威脅研判

相關文章

馬斯克割掉了最後一顆雷達

馬斯克割掉了最後一顆雷達

楊淨 豐色 發自 凹非寺 量子位 | 公眾號 QbitAI 100%純視覺信念者馬斯克,現在扔掉了最後一個雷達。 如今的特斯拉傳感器方案,有...