APT组织BITTER,又称蔓灵花,2013年以来频繁活跃在南亚地区,攻击目标主要为巴基斯坦、中国、孟加拉国和沙特阿拉伯等国家的政府、军工、能源等部门。2021年以来,国资国企在线监管安全运营中心(以下简称安全运营国家中心)持续捕获该组织针对我国重点单位的多轮攻击。
下面对该组织的最新RAT进行简要分析说明。
一、样本信息
上述样本为该组织最新启用的一个远控组件,伪装成微软Office的一个正常dll,通过计划任务进行可持续控制,并利用RPC调用与C2服务器进行通信。
二、样本分析
样本的上传名称为OLMAPI32.dll,意图伪装成微软Office的一个同名正常文件,但样本不具备Office同名dll的导出函数,从导出函数列表来看,样本可能具有被白文件作为version.dll进行侧加载的能力。样本的主要逻辑在导出函数GetFileVersionInfoByHandle中。
(一)信息收集
样本在初始运行阶段会对目标计算机信息进行收集,收集的内容包括操作系统信息、硬件信息、用户名、计算机名等。
(二)可持续控制
样本通过创建计划任务完成对目标计算机的可持续控制。在创建之前,样本会先查看自身根目录下是否存在名为ts.dat的文件,如果不存在则创建计划任务,并创建ts.dat文件。
任务名称为Microsoft Update,创建者被设置为MICROSOFT,触发时间为每天的每小时触发一次:
(三)远程通信
与其他后门常见的连接方式不同的是,样本采用RPC绑定的方式与C2服务器建立连接,而非调用http或socket的相关函数。C2域名为outlook-services.ddns.net,端口为443,协议为tcp:
(四)命令控制
样本支持的远程指令共有以下几种:
1.ID
用于接收一段远程服务器发送的用户ID,保存在C:ProgramData$tmp路径下,作为目标的识别符:
2.INF
将样本信息收集阶段收集到的信息发送到远程服务器:
3.DWN
将远程服务器发送的数据写入到指定路径的文件中:
4.RUN
调用WinExec运行指定路径的文件:
5.DLY
指定下次接收命令之前休眠时间,单位为分钟。在默认情况下,每次接收命令的间隔时间为3分钟。
6.CMD
执行指定cmd命令,接收到的远程命令需要拼接成字符串cmd.exe/c[远程指令]>>c:UsersPubliccr.dat,再调用WinExec执行,也就是说,每一个远程指令都会保存在cr.dat文件中:
三、IOC
域名
Novasapothecary[.]com
Folkmusicstreams[.]com
outlook-services.ddns[.]net
rusjamystarapp[.]com
updnangelgroup[.]comURL
http://novasapothecary[.]com/REXI/info.php?max=
http://folkmusicstreams[.]com/TIME/mac.php?sit=
http://rusjamystarapp[.]com/chn/csp.php?st=
http://updnangelgroup[.]com/ridge/visors.php?crt=转载来源:https://mp.weixin.qq.com/s/OChgISYjL8nN_c6s77zaIA
图片来源网络侵权可联系删除
