近日,奇安信威胁情报中央在日常监控过程中创造蔓灵花APT组织开始通过邮箱投递包含有恶意脚本Chm文件的RAR压缩包,对国内外干系单位发起定向攻击,经由遥测此类的攻击行动已经持续两年,我们将其成为operation magichm。
经由溯源,本次攻击活动中蔓灵花采取了与以往截然不同的攻击链,利用.net远控作为节点实行命令或者下发插件,并下发了一个之前从未被表露过的新模块。攻击全流程如下:
样本分析
第一阶段样本均通过邮件进行投递,附件中包含
启动Chm后会实行内置的恶意脚本
创建操持任务从远程做事器下载msi并实行,通过天擎日志我们创造一个有趣的征象,受害者在16:21分时打开恶意文件创建操持任务,16:52成功从做事器下载并实行Msi文件,在c:\intel\logs\目录下开释名为dlhost.exe的payload。
文件名
MD5
类型
dlhost.exe
25a16b0fca9acd71450e02a341064c8d
PE
该样本为蔓灵花组织常用的ArtraDownloader
C2:82.221.136.27///RguhsT/accept.php?a=XX&b=XX&c=XX&d=XX&e=
但文件一落地就被天擎查杀,并没有实行后续操作,接着蔓灵花组织花了半小时的韶光来更换做事器上的payload,直到17:21分时受害者才成功下载了一种免杀的Downloader,我们将其命名为MuuyDownLoader,信息如下:
文件名
MD5
类型
otx_live.exe
6452e2c243db03ecbcacd0419ff8bebf
PE
创建“Check”旗子暗记量用于互斥,
检讨是否存在360totalSecurity、Tencent、kaspersky等信息,将自身拷贝到
%userprofile%\appdata\roaming\microsoft\windows\sendto命名为winupd.exe
网络本机信息
进入下载流程解密C2。访问的URL如下
URL
含义
OtPefhePbvw/onlinedata1inf.php?data={网络的本机数据}
发送本机干系信息
OtPefhePbvw/datarcvoninfile.php?idata=
发起下载payload要求,返回payload名称
OtPefhePbvw/nnodata3inf.php?inf1=
检讨payload是否在运行
OtPefhePbvw/xFiiL33i5sx/%payloadName%
若payload没有在运行,则下载
下载成功后会存放在%userprofile%\appdata\roaming\microsoft\windows\sendto目录下,样本信息如下:
文件名
MD5
类型
msmpenq.exe
7cf4ea9df2f2e406fac23d71194c78fd
.net
样本为Bitter组织常用的.net远控程序
C2被转换为十六进制存放在配置文件中,C2:45.11.19.170:34318
在以往对Bitter组织的研究中我们仅仅将.net远控作为ArtraDownloader的一个插件来看待,紧张功能为盗取受害者数据,
但在本次攻击活动中,我们首次创造该团伙将其作为分发插件的节点。分发的插件均做了免杀处理,信息如下:
文件名
MD5
类型
功能
Sysmgr.exe
ade9a4ee3acbb0e6b42fb57f118dbd6b
VC
文件网络模块
scvhost.exe
578918166854037cdcf1bb3a06a7a4f3
VC
键盘记录模块
winsync.exe
eb6f0cfb0dff0f[b]504dc1f060f02adaa
CAB-SFX
备份模块
值得一提的是分发插件前会利用节点远控实行cmd命令,例如会实行tasklist | find “ Sysmgr”命令来判断插件是否正在运行。下发插件后会利用schtasks命令来实现插件的持久化。
Sysmgr.exe是Bitter组织常用文件网络模块的免杀版本,在Bitter以往的攻击活动中该类型的插件名称一样平常都为Lsapip、Lsap、Lsapcr、Lsapc等,均由ArtraDownloader下发。
之后通过POST将数据发送到远程做事器上
C2:svc2mcxwave.net/UihbywscTZ/45Ugty845nv7rt.php
scvhost.exe是Bitter组织常用的键盘记录模块,在在Bitter以往的攻击活动中该类型的插件名称一样平常都为Igfxsrvk、keylogger等名称,同样由ArtraDownloader下发
winsync.exe是一款之前从未被表露的模块,我们将其称之为备用模块BackupDownloader,由CAB-SFX打包而成,实行过程中开释并实行appsync.vbs脚本。
通过cmstp实行恶意inf脚本,inf脚本调用powershell从远程做事器下载payload(wdisvcnotifyhost.com/n9brCs21/apprun),末了将其注册为操持任务实现持久化。
我们不雅观察到当核心.net节点正常运行时,远程做事器上的Payload一贯处于404状态,当核心节点被杀软或者人工打消,攻击者才会在远程做事器上传免杀后的核心节点,核心节点复活后,攻击者首先实行了键盘记录模块,并利用cmd命令评估丢失情形。
关联剖析基于奇安信遥测数据,我们创造Bitter APT组织最晚于2019年中时开始投递恶意Chm邮件,历史捕获到的样本如下:
文件名
URL
20210225.doc.chm
http://youxiangxiezhu.com/youxi/crt.php?h=
Suspicious NTC Mail Server Access Logs.chm
http://sartetextile.com/img/wnsetup.msi
海事政策剖析和对南亚的港口安全影响.chm
http://windiagnosticsvc.net/jscript/jsp.php?h=
SHIPMENT TO PNS INVOICE NO 03021.chm
http://myprivatehostsvc.com/br/js.php?h=
SOP for Logging out Mail and PCs.chm
http://myprivatehostsvc.com/xuisy/css.php?h=
Invitation To Roundtable.chm
http://msisspsvc.net/img/msiwindef.msi
日程安排.chm
http://w32timeslicesvc.net/jscript/jsp.php?h=
remote.chm
http://sartetextile.com/img/wnsetup.msi
MyPictures.jpg.chm
https://bheragreens.com/img/winsupdater.msi
附件-会议.chm
http://webmailcgwip.com/xingsu/asp.php?h=
…
…
本次活动利用的MuuyDownLoader最早可以追溯到2019年
文件名
MD5
ITW
wupdte
4bcfb31d0e3df826d3615a41149ebf9c
http://galluppakistan.com/images/wupdte
wupd.msi
f38b9ac9d6a1070ac9dbae6f30c1f8aa
老版本的样本包含PDB:
PDB
C:\Users\user\Desktop\360ActiveDefence 1.4 Sep2019\360ActiveDefence 1.4 V2\Release\360ActiveDefence.pdb
新老版本代码构造相似度极高
总结
BITTER APT组织是一个长期生动的境外网络攻击组织,且长期针对海内开展攻击活动,奇安信红雨滴团队提醒广大用户,切勿打开社交媒体分享的来历不明的链接,不点击实行未知来源的邮件附件,不运行夸年夜的标题的未知文件。做到及时备份主要文件,更新安装补丁。
若需运行、安装来历不明的运用,可先通过奇安信威胁情报文件深度剖析平台(https://sandbox.ti.qianxin.com/sandbox/page)进行大略判别。目前已支持包括Windows、安卓平台在内的多种格式文件深度剖析。
目前,基于奇安信威胁情报中央的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高等威胁检测系统、奇安信NGSOC、奇安信态势感知等,都已经支持对此类攻击的精确检测。
IOC
所涉及的目录:
\intel\logs
%userprofile%\appdata\roaming\programdata
%userprofile%\appdata\roaming\
%userprofile%\appdata\roaming\microsoft\windows\sendto
\windows\debug\wia
恶意文件名称:
scvhost.exe
otx_live.exe
winupd.exe
winmgr.exe
msmpenq.exe
sysmgr.exe
winsync.exe
winsc.exe
winapirun.exe
