APT36组织最新活动加大针对Linux系统的攻击力度

2023年 9月 21日 44.2k 0

介绍

2023 年 7 月,Zscaler ThreatLabz 发现巴基斯坦高级持续威胁组织 (APT36) 持续进行的新恶意活动。APT36 是一个复杂的网络威胁组织,有在南亚开展有针对性的间谍活动的历史。我们观察到 APT36 针对印度政府部门使用了以前未记录的 Windows RAT、新的 Linux 网络间谍实用程序、新的分发机制以及针对 Linux 环境的新攻击向量。

在本博客中,我们将研究 APT36 使用的最新工具,这些工具旨在针对 Windows 和 Linux 操作系统。

1、要点

2、简要概述

3、新 Windows RAT ElizaRAT 分析

4、恶意 Linux 桌面入口文件成为新的攻击媒介

5、针对 Linux 的新的基于 Python 的网络间谍实用程序

6、威胁归因

7、威胁行为者基础设施

8、结论

9、Zscaler 覆盖范围

10、MITRE ATT&CK TTP 映射

11、妥协指标 (IOC)

要点

1、更新的 APT36 武器库:威胁行为者重新出现,带来了全新的、功能齐全的 Windows 远程管理工具 (RAT)、Linux 系统上用于网络间谍活动的新颖工具、创新的分发方法和其他攻击媒介。

2、新的 Windows RAT :自定义 RAT(称为 ElizaRAT)已合并到 APT36 工具包中。ElizaRAT 以 .NET 二进制文件形式提供,并通过 Telegram 建立 C2 通信通道,使威胁参与者能够对目标端点进行完全控制。

3、滥用合法服务:合法服务,例如 Google Drive 和 Telegram,在攻击链的不同阶段被滥用。

4、Linux 的新攻击媒介:APT36 现在拥有针对印度政府部门基于 Linux 的端点的 Linux 桌面配置文件的创新武器化。

5、欺骗手段:威胁行为者采取了广泛的措施来隐瞒与巴基斯坦的任何联系。他们精心选择了基础设施和文物,使这些活动看起来像是在印度进行的。

6、基础设施的重用:在某些情况下,APT36 使用相同的 C2 基础设施进行凭证网络钓鱼攻击和分发恶意二进制文件。

简要概述

APT36 是一个高级持续威胁 (APT) 组织,我们非常有信心将其归咎于巴基斯坦。该组织自 2013 年以来一直活跃,主要针对印度政府、国防和教育部门。

该组织利用凭证收集和恶意软件分发攻击来进行网络间谍活动。APT36 利用:

1、针对 Windows 的定制远程管理工具

2、由 Python 编译的轻量级网络间谍工具,针对 Windows 和 Linux 提供特定用途

3、像 Mythic 这样的武器化开源 C2 框架

4、印度政府应用程序(例如 KAVACH 多因素身份验证)的木马安装程序

5、木马化的 Android 应用程序

6、针对印度政府官员的凭证网络钓鱼网站

新 Windows RAT ElizaRAT 分析

由于我们在实时分析 C2 通信通道期间观察到的命令中识别出独特的字符串,因此我们为 APT36 使用的这个基于 Windows 的新后门起了一个绰号“ElizaRAT”。

ElizaRAT 作为 .NET 二进制文件分发,发送到托管在 Google Drive 链接上的受密码保护的存档文件内。在我们的威胁分析过程中,我们收集了 ElizaRAT 的多个样本,它们都具有以下特征:

它们都是 .NET 二进制文件,编译为控制面板小程序 (CPL),并使用“.cpl”文件扩展名。据我们所知,我们相信这是 APT36 第一次将 CPL 文件格式武器化。

二进制文件的大小很大 - 范围从 4MB 到 16MB。

Costura .NET 框架用于将必要的 .NET 程序集嵌入到主要恶意软件中,这导致了二进制文件大小的膨胀。

Telegram API 用于 C2 通信。

对于此技术分析,我们使用以下文件元数据:

MD5 哈希值:fc99daa2e1b47bae4be51e5e59aef1f0
文件名:AgendaMeeting.cpl

由于此 Windows RAT 以控制面板小程序的形式到达端点,因此执行时调用的第一个方法是CplApplet() 。

此方法将控制权转移到Program().Main() ,后者又调用异步任务 -  MainAsync() 。在此任务中,执行了所有重要的恶意操作。

下图显示了Program().Main()在端点上启动恶意活动。

图 1:用于在端点上启动恶意活动的 MainAsync() 方法。

ElizaRAT 执行的一些关键操作包括:

1、使用内置Telegram 机器人令牌通过Communicate.ConnectMe()初始化 Telegram 机器人,并将其设置为轮询模式以接收来自威胁参与者的命令。

2、创建目录:%appdata%TextSource

3、生成特定于受感染计算机的 UUID 和用户名。

4、向用户投放并向用户显示诱饵 PDF 文件。

5、在机器上设置持久性。

6、获取计算机上运行的防病毒软件的详细信息,并将信息发送到攻击者控制的 Telegram 机器人。

在以下部分中,我们将更深入地研究其中一些操作。

记录操作

每个执行结果都会记录在端点(客户端)和 Telegram 机器人(服务器端)上。

下面的代码显示日志记录是在本地和远程级别完成的。

唯一标识符生成

为每台受感染的计算机生成 UUID 和用户名,以便威胁行为者可以唯一地识别受害者。它使用 Windows Management Instrumentation (WMI) 获取计算机的处理器 ID和 UUID,并使用这些详细信息生成特定于受感染计算机的 UUID 和用户名

生成的 UUID 和用户名之间的唯一区别是“.cookie”扩展名。用户名是不带“.cookie”扩展名的 UUID。

下图显示了用于生成这些值的相关代码。

图 2:getusername() 方法用于生成 UUID 和用户名以识别受感染的计算机。

C2命令格式

由于威胁行为者使用相同的 Telegram 机器人来管理多个受感染的端点,因此他们使用特定的 C2 命令格式来同步操作并确保给定的命令仅在预期端点上执行。

C2命令格式如下:

**

C2命令

所有 C2 命令均由 Communicate 类内的 Bot_OnMessage() 方法在 switch-case 语句中处理。在执行任何命令之前,RAT 会从 C2 命令中提取用户名,并将其与受感染机器的用户名进行比较。仅当两个值匹配时该命令才能成功执行。

支持以下 C2 命令:

表 1:Telegram 机器人支持的 C2 命令

持久化

为了在受感染的计算机上实现持久化,该僵尸程序会在 Windows 启动目录中创建一个 Windows 快捷方式文件 (LNK)。

下图显示了用于创建此快捷方式文件的代码。快捷方式文件的名称是从配置中定义的“orig_name”设置中获取的。在本例中,快捷方式文件称为TextSource.lnk 。

图 3:buildforts() 方法用于在启动目录中创建 Windows 快捷方式文件以实现持久性。

该快捷方式文件的描述被设置为“Text Editing APP for Windows”,以将其伪装成文本编辑应用程序,使其看起来无害。此外,目标命令行设置为使用rundll32 执行控制面板小程序。

显示诱饵内容

Program类中定义的方法dosome()负责向用户显示诱饵 PDF 文件。该诱饵文件存在于 .NET 二进制文件的资源部分中。

下图显示了诱饵文件。它仅用于分散受害者的注意力,并使其看起来在打开文件时发生了错误。

图 4:向用户显示的诱饵 PDF 文件。

恶意 Linux 桌面入口文件成为新的攻击媒介

APT36 利用 Linux 桌面入口文件作为攻击媒介的情况此前从未有过记录。这种攻击媒介相当新,似乎用于非常低容量的攻击。到目前为止,我们的研究团队已经发现了三个样本——所有这些样本在 VirusTotal 上的检测结果均为 0。

我们首次观察到事件发生在 2023 年 5 月,当时一个用于针对印度政府雇员的凭证网络钓鱼网站也被发现托管一个重定向器,用于分发包含恶意 Linux 桌面条目文件的 ZIP 存档。

印度国家信息中心 (NIC) 网络钓鱼攻击 - 2023 年 5 月

2023 年 5 月,我们发现了一个凭证钓鱼网站email9ov[.]in ,该网站伪装成印度国家信息中心 (NIC) 的官方登录门户,以印度政府官员为目标。我们于 2023 年 5 月向 NIC 通报了该网站及相关威胁情报。

我们还注意到,同一网络钓鱼网站使用 hxxps ://email9ov[.]in/VISIT_OF_MEDICAL URL 将访问者重定向到hxxp://103.2.232[.]82:8081/Tri-Service-Exercise/Delegation_Saudi_Arabia。压缩网址。

访问者可以从这里下载包含恶意制作的 Linux 桌面入口文件的 ZIP 存档。

以下是有关此案例的一些技术细节:

ZIP 存档 MD5 哈希值:9c66f8c0c970822985600bed04e56434
ZIP 文件名:Delegation_Saudi_Arabia.zip
桌面入口文件 MD5 哈希值:f27a4968af4ed64baef8e086516e86ac
桌面条目文件名:Delegation_Saudi_Arabia.desktop

桌面入口文件分析

我们在桌面入口文件中发现以下内容:

这个桌面入口文件的图标被设置为“x-office-document”,看起来就像一个无辜的Office文档。

桌面条目文件中存在的 base64 编码命令解码为:

上面解码的命令执行以下操作:

1.下载诱饵 PDF 并将其保存在/tmp目录中,文件名为:Delegation_Saudi_Arabia.pdf 。

2. 下载 Linux Payload 并将其保存在/tmp目录中,文件名为:185.elf 。

3. 将 Linux 二进制文件标记为可执行文件。

4. 使用LibreOffice打开并显示诱饵PDF文件。

5. 执行Linux有效负载。

在本例中,Linux 有效负载是一个跨平台二进制文件,旨在在 Linux 和 WSL(适用于 Linux 的 Windows 子系统)计算机上运行。由于在分析时它不包含功能齐全的 C2 机制,因此我们认为它仍处于开发阶段,并被威胁行为者用作初始测试。

要了解“Lee”代理的跨平台功能,请访问Lumen 博客。

诱饵 PDF 文件内的内容如下图所示。

图 X:向用户显示的诱饵 PDF。

该 PDF 似乎是印度国防部的一份文件,描述了沙特阿拉伯代表团九名成员的访问,他们在那里与印度武装部队医疗官员讨论了问题。

膨胀文件攻击 - 2023 年 6 月

从 2023 年 6 月开始,我们检测到 APT36 在 IP 地址为 153.92.220.59 的服务器上建立其运营基础设施。威胁行为者继续注册该 IP 上托管的多个域。威胁行为者基础设施部分提供了对这种攻击者控制的基础设施的进一步深入了解。

8 月份,我们注意到一项重大进展,其中很少有域充当诱饵 PDF 文件的托管平台。这些 PDF 链接在恶意 Linux 桌面入口文件中,威胁者以 zip 档案形式分发这些文件。

以下是有关此案例的一些技术细节:

ZIP 存档 MD5 哈希值:36b19ca8737c63b9c9a3365ff4968ef5
ZIP 文件名:Meeting_agenda.zip
桌面条目文件 MD5 哈希值:65167974b397493fce320005916a13e9
桌面条目文件名:approved_copy.desktop

桌面入口文件分析

文件大小膨胀

我们观察到的第一个异常是 Linux 桌面入口文件过大。Linux 桌面条目文件大小超过 1 MB 的情况很少见。查看该文件后发现,威胁行为者通过添加超过一百万个“#”字符来夸大文件的大小。我们认为这是威胁行为者试图绕过安全扫描解决方案的行为。

下图显示了添加到膨胀的 Linux 桌面条目文件中的额外字符。

图 6:膨胀的 Linux 桌面条目文件。

Linux桌面入口文件的相关内容如下所示。

该桌面文件执行以下主要操作:

1、从https://admin-dept[.]in/approved_copy.pdf URL下载诱饵 PDF 文件并将其显示给受害者。该诱饵文件包含一条错误消息以分散用户的注意力。图 7 显示该桌面文件的图标设置为application-pdf ,这样做是为了将恶意软件伪装成无害文件。

2、在用户的主目录中创建一个名为 local/share 的隐藏目录路径。

3、使用 wget 从 URL 64.227.133[.]222/zswap-xbusd 下载 Linux 负载。将其保存为之前创建的隐藏目录中的 zswap-xbusd。

4、将简短的 shell 脚本写入文件 /dev/shm/myc.txt。shell 脚本会重新启动计算机,然后启动 Linux 负载。

5、在当前用户名下设置一个 cron 作业来运行 /dev/shm/myc.txt 脚本的内容。

6、删除 shell 脚本。

7、执行 Linux 负载。

图7:桌面配置文件的图标设置为PDF,使其更有说服力。

在我们进行分析时,服务器64.227.133[.]222并未为 Linux 负载提供服务。我们继续监控该基础设施,并注意到 2023 年 8 月 29 日,注册了一个名为admin-br[.]in的新域,并用于分发新的 Linux 桌面入口文件。在这种情况下,我们能够检索有效负载并得出威胁归因于 APT36 的结论。

以下是新 Linux 桌面条目文件中的元数据:

MD5 哈希值:574013c4a22ca2d8d8c76e65ef5e8059
文件名:approved_copy.desktop

Linux桌面入口文件的相关内容如下所示。  

该文件的功能与之前的Linux桌面入口文件类似。

下图显示了一个诱饵 PDF 文件,其中显示一条错误消息,指出“无法加载 PDF 文档”。这用于在后台发生恶意活动时分散用户的注意力。

图 8:向用户显示的诱饵 PDF 文件。

在这种情况下,Linux 桌面入口文件从位于以下位置的服务器检索恶意 Linux 负载:

64.227.138[.]127
134.209.159[.]9 

检索到的两个文件被巧妙地命名,以将自己伪装成合法的软件实用程序。

以下是 Linux 负载的元数据:

MD5 哈希值:98279047a7db080129e5ec84533822ef
文件名:pickle-help
MD5 哈希值:248d4e6bb0f32afd7a1cfb975910235a
文件名: ziputils-help

快速的技术分析确定这些 Linux 有效负载为神话波塞冬二进制文件。由于 Mythic 是一个开源框架,在 GitHub 上有详细的文档记录,因此我们不会在本博客中探讨其技术细节。

下面列出了从每个恶意 Linux 负载中提取的相应 C2 服务器。

可以通过访问在端口7443运行的服务器上的URI 路径/new/login来访问 Mythic Poseidon 的 C2 面板。

例如,可以通过h xx ps://108.61.163[.]195:7443/new/login访问108.61.163 [.]195 的 C2 面板。

图 9:Poseidon 二进制文件的 Mythic C2 面板。

针对 Linux 的新的基于 Python 的网络间谍实用程序

在我们的分析过程中,我们还发现了 APT36 用于网络间谍目的的新的基于 Python 的 ELF 二进制文件。这些二进制文件针对印度政府组织中的 Linux 环境,其命名看起来像是合法的 Linux 系统服务。

在本节中,我们回顾了我们的研究团队发现的两种类型的网络间谍工具。

GLOBSHELL - 定制的文件渗透 Linux 实用程序

正在分析的间谍工具包括以下元数据:

MD5 哈希值:3c3c9303ae33f3bae2e139dbb1db838e
文件名:rcu-tasks-kthread

该 ELF 二进制文件是使用 PyInstaller 编译的。我们提取了反编译的Python代码来了解它的功能。下图是反编译后的代码。

图10:基于Python的网络间谍工具类型1的反编译代码。

这些是该脚本执行的关键操作:

1、 该脚本包含一个预定义的文件扩展名列表,这些文件扩展名会在/media目录中递归扫描。文件扩展名列表包括各种类型,例如图像文件、MS Office 文件、LibreOffice 和 PDF。

2、构建文件列表后,它将文件复制到路径中的隐藏目录:~/.config/bossconfig/usnconfig/

3、该目录中的内容被存档到名为usnconfig.zip的 ZIP 文件中。

4、数据通过 HTTP POST 请求渗透到 URL hxxp://baseuploads[.]com/myf/test.php 。计算机的用户名、主机名和当前时间戳会与 ZIP 文件一起发送。

我们发现了另一个名为mm-precpu-wq的 ELF 二进制文件,其功能与上面讨论的 ELF 二进制文件相同。但是,该二进制文件包含更深入的预定义文件扩展名和文件路径列表,它会扫描这些文件以窃取文件。除了/media目录之外,此二进制文件还搜索以下路径:

/home/{user}/Downloads/**/
/home/{user}/Documents/**/
/home/{user}/Desktop/**/
/home/{user}/Pictures/**/
/home/{user}/.local/share/Trash/**/

PYSHELLFOX - 定制的 Firefox 会话窃取 Linux 实用程序

如果用户打开的浏览器选项卡包含以下任何标题或 URL,我们发现的第二种网络间谍工具会窃取用户的 Firefox 浏览器会话详细信息:

email.gov.in/#
inbox
web.whatsapp.com

从该列表中可以明显看出,威胁行为者有兴趣窃取用户的印度政府收件箱详细信息以及 WhatsApp 对话。

下图显示了执行此操作的相关代码部分。

图11:基于Python的网络间谍工具类型2的反编译代码。

正在分析的间谍工具包括以下元数据:

MD5 哈希值: c86f9ef23b6bb200fc3c0d9d45f0eb4d
文件名:events-highpri

这些是该脚本执行的关键操作:

1、通过扫描路径.mozilla/firefox/*default*/sessionstore-backups/recovery.js*获取所有实时 Firefox 会话的列表。

2、对于列表中的每个文件,代码都会定位包含魔术字节mozLz40x00作为前 8 个字节的文件。

3、使用 LZ4 解压缩从 magic bytes 文件中提取 JSON 数据。此 JSON 数据包含有关当前实时 Firefox 会话中的窗口和选项卡的详细信息。

4、迭代每个 Firefox 窗口中的每个选项卡,从每个选项卡中提取标题和 URL。然后,代码检查它们是否与前面提到的预定义列表中的任何值匹配。

5、如果找到匹配项,代码会将~/.mozilla/firefox目录内容存档到/dev/shm/firefox.zip ZIP 存档中。

6、在 HTTP POST 请求中将ZIP 存档上传到hxxp://baseuploads[.]com/myf/test.php 。除了上传数据之外,代码还上传用户名、主机名和当前时间戳。

基于 Linux 的新攻击向量的原因

为什么 APT36 突然为 Linux 环境添加新的攻击媒介?

Linux 在印度政府部门历史悠久且广泛使用:基于 Linux 的操作系统在印度政府部门广泛使用。由 CDAC 开发的基于 Debian 的操作系统 BOSS(Bharat 在线软件解决方案)被各邦部委甚至印度国防部队使用。有关 Linux Boss 在印度使用情况的更多详细信息,请访问电子和信息技术部。

扩展到与政府相关的垂直领域:印度政府最近宣布推出 Maya OS,这是一种基于 Debian Linux 的操作系统,将在政府和国防部门取代 Microsoft Windows 操作系统。因此,APT36 和其他以印度为目标的民族国家威胁行为者现在有很大的动力将新的攻击向量和 Linux 有效负载纳入其武器库。基于 Linux 的系统在更多垂直领域的普遍使用意味着更多的潜在受害者。

威胁归因

我们将这些新的基于 Windows 和 Linux 的攻击归因于 APT36,因为它们提供诱饵 PDF 文件的方法、元数据及其 Linux 命令几乎与以前的攻击相同,这些攻击已知并与 APT36 相关。除此之外,C2 基础设施也与之前的 APT36 攻击重叠,我们将在相应部分中更详细地描述这一点。

诱骗 PDF 文件

ElizaRAT 将诱饵 PDF 文件放入受害者计算机上与恶意 DLL 相同的目录中。此 PDF 文件的元数据表明作者为“Apolo Jones”,并且 PDF 文件本身是使用 Microsoft Office Word 生成的。

这两个指标都与我们自 2022 年 11 月起对 APT36 的技术分析一致。

除此之外,针对 Linux 平台的攻击活动中从攻击者控制的服务器下载的诱饵 PDF 文件也共享相同的元数据。

Linux命令

虽然用于分发 Linux 有效负载的攻击媒介在本次活动中是全新的,但桌面条目文件中使用的 Linux 命令和文件路径与之前用于分发 Linux 有效负载的 APT36 活动有相似之处。

2023 年 3 月,APT36 使用 Python 编译的 ELF 二进制文件针对印度政府部门的 Linux 环境。您可以在Uptycs 博客上阅读相关内容。

通过对比 2023 年 3 月反编译的 Python 代码中使用的 Linux 命令和最新桌面入口文件(2023 年 8 月)中使用的 Linux 命令,我们可以看到明显的相似之处。

下图显示了两者的并排比较。

图 12:APT36 执行的 2023 年 3 月和 2023 年 8 月活动中的 Linux 命令的并排比较。

以下是两个案例之间的相似之处:

1、在以下位置创建隐藏目录路径结构: ~/.local/share 。

2、负责重新启动机器并执行 Linux 负载的简短 shell 脚本被写入 /dev/shm/ 。

3、执行相同的 crontab 命令。

4、shell脚本被删除。

5、命令顺序类似。

威胁行为者基础设施

在 2023 年 4 月以来观察到的 APT36 攻击中,威胁行为者采取了广泛的措施来掩盖与巴基斯坦的任何联系,使基础设施看起来像是由印度威胁行为者控制的。我们非常有信心地评估,这并非巧合,而是 APT36 为避免将攻击归咎于巴基斯坦而故意使用的欺骗策略。

C2 域名的注册国家/地区

从 2023 年 6 月开始,威胁行为者开始在 IP 地址为 153.92.220.59 的服务器上注册多个域。IP 地址与 Hostinger ASN 相关。该基础设施参与了前面讨论的分发恶意 Linux 桌面条目文件的攻击。

虽然所有这些域名的 WHOIS 信息都已被编辑,但我们仍然可以看到注册人所在国家/地区。对于大多数域,威胁行为者采取了充分的措施来确保注册国家/地区是印度 (IN)。但是,对于其中一个域名admindesk[.]in ,我们可以看到注册人国家/地区是 PK(巴基斯坦)。

下图显示了威胁行为者在同一基础设施上注册并在同一攻击中使用的两个域的 WHOIS 信息示例。

图 13:来自与相同活动和基础设施相关的两个攻击者注册域的 WHOIS 信息的并排比较。

我们认为这是威胁行为者犯下的 OPSEC 错误。

C2 基础设施重叠

最新活动与 APT36 之前的攻击实例之间存在 C2 基础设施重叠。

2022 年,IP 地址为 153.92.220[.]48 的服务器用于托管 APT36 注册的以下域名:

Govscholarships[.]in
Kavach-apps[.]com
Kavach-app[.]in
Rodra[.]in
ksboard[.]in

在最新实例中,IP 地址为 153.92.220[.]59 的服务器用于托管 C2 域。两个 IP 地址属于同一子网:153.92.220.0/24

这些 IP 地址属于 ASN - AS 47583 (Hostinger),该地址过去曾被 APT36 滥用。

与恶意 Google 云端硬盘链接关联的电子邮件

ElizaRAT 使用恶意 Google Drive 链接进行分发。利用链接中的 Google 云端硬盘 ID,我们收集了有关 Google 云端硬盘所有者和相应电子邮件地址的其他信息。下图显示了我们检索到的信息。

图 14:Google Drive 链接详细信息揭示了所有者信息。

与 Google 云端硬盘链接关联的电子邮件地址和所有者姓名是:

电子邮件地址: nandk1689@gmail.com
业主姓名:“Nand Kishore”

由于“Nand Kishore”在印度是一个常见名字,因此添加假所有者是为了暗示来自印度的威胁行为者,而不是 APT36 的起源地巴基斯坦。

攻击者控制的服务器 IP 地址

在少数情况下,威胁行为者分发了恶意 Linux 桌面入口文件,其中嵌入的有效负载托管在位于印度的服务器上。这种利用与目标国家位于同一地区的服务器进行攻击的策略是 APT36 所采用的另一种欺骗手段。

以下是托管恶意 Linux 负载的四台服务器的 IP 地址列表:

103.2.232[.]82
64.227.133[.]222
64.227.138[.]127
134.209.159[.]9

恶意域名的顶级域名 (TLD)

在我们为本博客审查的所有攻击中,TLD 始终设置为.in - 与印度国家相对应。APT36 在少数情况下使用的另一种策略是将不良 URL 伪装成与印度政府相关的官方网址。

结论

我们的研究团队正在积极监控 APT36 的 C2 基础设施,该基础设施用于注册用于针对 Linux 环境的攻击的新域。在本博客发布时,基础设施仍然处于活动状态。我们在本博客末尾提供了一份完整的妥协指标 (IOC) 列表,并敦促研究界更新他们的检测。我们还主动、负责任地向印度国家信息中心 (NIC) 披露了 IOC 详细信息和相关威胁情报。

APT36 引入了新的文件格式、新的攻击向量和新的后门,表明他们正在积极更新其战术、技术和程序 (TTP)。除了掌握这些威胁之外,Zscaler 的 ThreatLabz 团队还持续监控新威胁并与更广泛的社区分享其发现。

Zscaler 覆盖范围

Zscaler的多层云安全平台可检测各个级别的指标。

Win32.RAT.ElizaRAT
Win64.RAT.ElizaRAT
Linux.Payload.GLOBSHELL
Linux.Payload.PYSHELLFOX
Linux.Backdoor.Mythic

下图显示了攻击中使用的新 Windows RAT ( ElizaRAT ) 的沙箱检测。

MITRE ATT&CK TTP 映射

IOCs

Windows平台

Linux平台

Linux 桌面配置文件和 Poseidon 二进制文件

攻击者基础结构

以下域和 URL 涉及用于针对具有桌面入口文件的 Linux 环境的攻击。请注意,他们都使用“.in”作为 TLD。

admincell[.]in
admin-dept[.]in
coordbranch[.]in
adminbr[.]in
coordbr[.]in
admin-desk[.]in
admindesk[.]in
adminsec[.]in
admindept[.]in
admin-br[.]in
hxxps://email9ov[.]in/VISIT_OF_MEDICAL/
hxxp://103.2.232[.]82:8081/ISEPC-12-2023-Agenda-for-meeting/

以下域名和 URL 与基于 Python 的网络间谍工具相关。

baseuploads[.]com
baseuploads[.]com/myf/test.php
indiauc[.]com
indiauc[.]com/myf/test.php

用于托管分发 ElizaRAT 的受密码保护的存档文件的 URL:

hxxps://drive.google.com/uc?export=download&id=1SaBv9C5EJlXKCQQ_8Tlkl1cBJ9-9XN8u
hxxps://drive.google.com/uc?export=download&id=140KPyaNuYZgOhP3Q7sTQPZ6a-q6x5j-h

转载来源: https://www.zscaler.com/blogs/security-research/peek-apt36-s-updated-arsenal

图片来源网络侵权可联系删除

相关文章

Mallox勒索软件新Linux变种现世
伪装成破解程序和商业工具的新型恶意软件正在传播
Orcinius后门新样本分析
Poseidon窃取程序通过Google广告感染Mac用户
大选开始之际,欧盟各政党遭受 DDoS 攻击
微软2024

发布评论