BITTER组织最新RAT分析

2023年 10月 8日 98.4k 0

APT组织BITTER,又称蔓灵花,2013年以来频繁活跃在南亚地区,攻击目标主要为巴基斯坦、中国、孟加拉国和沙特阿拉伯等国家的政府、军工、能源等部门。2021年以来,国资国企在线监管安全运营中心(以下简称安全运营国家中心)持续捕获该组织针对我国重点单位的多轮攻击。

下面对该组织的最新RAT进行简要分析说明。

一、样本信息

上述样本为该组织最新启用的一个远控组件,伪装成微软Office的一个正常dll,通过计划任务进行可持续控制,并利用RPC调用与C2服务器进行通信。

二、样本分析

样本的上传名称为OLMAPI32.dll,意图伪装成微软Office的一个同名正常文件,但样本不具备Office同名dll的导出函数,从导出函数列表来看,样本可能具有被白文件作为version.dll进行侧加载的能力。样本的主要逻辑在导出函数GetFileVersionInfoByHandle中。

(一)信息收集

样本在初始运行阶段会对目标计算机信息进行收集,收集的内容包括操作系统信息、硬件信息、用户名、计算机名等。

(二)可持续控制

样本通过创建计划任务完成对目标计算机的可持续控制。在创建之前,样本会先查看自身根目录下是否存在名为ts.dat的文件,如果不存在则创建计划任务,并创建ts.dat文件。

任务名称为Microsoft Update,创建者被设置为MICROSOFT,触发时间为每天的每小时触发一次:

(三)远程通信

与其他后门常见的连接方式不同的是,样本采用RPC绑定的方式与C2服务器建立连接,而非调用http或socket的相关函数。C2域名为outlook-services.ddns.net,端口为443,协议为tcp:

(四)命令控制

样本支持的远程指令共有以下几种:

1.ID

用于接收一段远程服务器发送的用户ID,保存在C:ProgramData$tmp路径下,作为目标的识别符:

2.INF

将样本信息收集阶段收集到的信息发送到远程服务器:

3.DWN

将远程服务器发送的数据写入到指定路径的文件中:

4.RUN

调用WinExec运行指定路径的文件:

5.DLY

指定下次接收命令之前休眠时间,单位为分钟。在默认情况下,每次接收命令的间隔时间为3分钟。

6.CMD

执行指定cmd命令,接收到的远程命令需要拼接成字符串cmd.exe/c[远程指令]>>c:UsersPubliccr.dat,再调用WinExec执行,也就是说,每一个远程指令都会保存在cr.dat文件中:

三、IOC

域名

Novasapothecary[.]com
Folkmusicstreams[.]com
outlook-services.ddns[.]net
rusjamystarapp[.]com
updnangelgroup[.]com

URL

http://novasapothecary[.]com/REXI/info.php?max=
http://folkmusicstreams[.]com/TIME/mac.php?sit=
http://rusjamystarapp[.]com/chn/csp.php?st=
http://updnangelgroup[.]com/ridge/visors.php?crt=

转载来源:https://mp.weixin.qq.com/s/OChgISYjL8nN_c6s77zaIA

图片来源网络侵权可联系删除

相关文章

Mallox勒索软件新Linux变种现世
伪装成破解程序和商业工具的新型恶意软件正在传播
Orcinius后门新样本分析
Poseidon窃取程序通过Google广告感染Mac用户
大选开始之际,欧盟各政党遭受 DDoS 攻击
微软2024

发布评论