1、事件概述
Confucius是Palo Alto Networks于2016年披露的APT组织,该组织自2013年开始活跃,主要针对南亚及东亚地区政府、军事等进行攻击。此外,该组织还针对Android平台进行攻击。
Confucius的部分攻击手法包括:
使用InPage漏洞利用文档作为初始负载、使用商业木马WarzoneRAT、开源木马QuasarRAT 进行远控、利用Yahoo!和quora论坛作为C2服务器。
近日,安恒信息猎影实验室在在日常威胁狩猎过程中发现Confucius利用LNK文件传播C#文件窃取器的攻击活动。此活动使用巴基斯坦电信管理局发布的安全上网指南为诱饵文件,下发多阶段恶意软件,具有隐蔽的持久化驻留、文件窃密等特点。为方便跟踪,我们将Confucius在此次活动中使用的文件窃密器命名为River Stealer。
此次捕获的Confucius攻击样本特征如下:
1. 使用ZIP+LNK文件的形式作为初始攻击负载;
2. LNK文件读取自身数据并释放VBS到本地;
3. VBS脚本及后续释放的DLL文件中均含有大量无效数据填充。
此次攻击活动流程整体如下:
ZIP->LNK->VBS->PDF/DLL->River Stealer
初始为ZIP文件,其中包含有伪装成PDF的LNK文件,LNK文件执行后将读取自身数据并释放VBS到本地。
VBS脚本将检查反病毒软件Avast的安装情况,并根据安装情况设置后续恶意文件存放路径,随后设置隐藏属性的计划任务,用于每5分钟启动一次DLL Loader文件。DLL Loader加载后将继续下载后续负载并执行,最终实现本机指定后缀文件的窃取与上传。
除本次捕获样本所用的诱饵外,我们还发现了其网络资产上存在的其他疑似针对政府、能源、军事和宗教等方向诱饵文件。
2、诱饵分析
此次攻击活动中,Confucius以Social-Media-Advisory.pdf为ZIP文件名,引诱用户解压运行包含在其中的LNK文件,该文件运行后释放了由巴基斯坦电信管理局发布的安全上网指南。
在该组织的网络基础设施中,我们还发现了其他疑似用于攻击活动的诱饵文件。
- 诱饵一(话题涉及宗教及电信公司)
伊斯兰工作道德的影响,奖励制度和组织环境对员工公民行为的影响 :巴基斯坦电信有限公司案例
- 诱饵二(话题涉及政治政策)
巴基斯坦2025年“一个国家,一个愿景”执行摘要(Pakistan 2025 One Nation - One Vision Executive Summary)
- 诱饵三(话题涉及电信行业)
巴基斯坦电信管理局发布的另一安全上网指南
- 诱饵四(涉及知名人士及外交官)
伊斯兰堡俱乐部-会员申请表(伊斯兰堡俱乐部是巴基斯坦许多知名人士和外交官的专属中心)
- 诱饵五(话题涉及宗教)
国家宗教间和谐和平委员会NPCIH(National Peace Committee For Interfaith Harmony)身份证件
- 诱饵六(话题涉及能源)
讨论巴基斯坦可再生能源的前景
- 诱饵七(话题涉及电力行业)
国家电力监管局-听证通知书,关于能源部(电力部门)提出的有关 K-Electric 消费者终端电价建议和统一季度调整政策指南
- 诱饵八(话题涉及政府、军事)
巴基斯坦政府内政部(全巴基斯坦武器许可证)
以上诱饵文件结合攻击者后续下发的恶意软件,我们推测与此次攻击活动相关的Confucius活动还涵盖了针对电信、能源、军事、政府和宗教等行业以及相关人士的信息窃取。以上目标与Confucis的历史攻击目标保持了一致。
3、样本分析
LNK文件
LNK文件包含的指令将查找自身数据 "MLdfi67D47NdfjeS69N.*",并将匹配内容输出至 "%tmp%Ldsfer.vbs",随后通过wscript执行位于%temp%目录中的 "Ldsfer.vbs" 脚本文件。
VBS脚本
VBS脚本中包含大量填充数据,在去除填充数据,对脚本进行分析后,我们发现该脚本的主要功能如下:
1. 检查本机是否安装Avast反病毒软件,并根据安装情况设置文件路径变量:如果Avast已安装,它会将某些文件操作路径更改为适应Avast的安装目录 "C:Program FilesAvast Software" 。如果Avast未安装,则会继续使用默认的路径。
2. 创建名为 "Adode Check" 的计划任务,该计划任务的属性被设置为隐藏,创建者被设置为 "Administrator",描述被设置为 "To check upcoming details",用于每5分钟执行一次Powershell指令。
该Powershell指令用于加载NdsfkjhewriWsau.dll文件,然后创建一个对象并调用其Helloworld()函数。
3. 从指定URL下载DLL以及PDF文件,并打开保存在本地的PDF文件
下载地址及本地保存路径如下:
下载并打开的PDF文件是由PTA(Pakistan Telecommunication Authority)巴基斯坦电信管理局发布的安全上网指南
DLL文件
NdsfkjhewriWsau.dll DLL文件使用与VBS脚本相似的数据填充方式,主要功能为获取网络资源(二进制数据),通过反射加载程序指定方法
其中下载地址如下,后续获取的Carret.bbw/rockgoled.bbw资源同样为C#语言编译,下载到本地的文件名为GoiuhkNvhgfkuy.dll
GoiuhkNvhgfkuy.dll DLL文件使用与上述相同的数据填充方式,主要功能为:
1. 获取C盘的卷序列号(Volume Serial Number)
2. 将C盘卷序列号拼接"__" + machineName + "__" + userName ".txt"请求C2服务器,以获取该用户已上传至服务器的文件Hash
请求地址如下
3. 遍历主机中的文档、下载、桌面、图片、视频、音乐目录及子目录,以及所有除C盘外的可用磁盘目录及子目录,查找指定后缀文件。
该恶意软件尝试获取的完整文件后缀列表如下
.txt、.TXT、.pdf、.PDF、.png、.PNG、.jpg、.JPG、.DOC、.doc、.XLS、.xlm、.XLM、.xls、.odp、.ODP、.ods、.ODS、.odt、.ODT、.rtf、.RTF、.ppt、.PPT、.xlsx、.XLSX、.xlsm、.XLSM、.docx、.DOCX、.pptx、.PPTX、.docm、.DOCM、.jpeg、.JPEG
4. 计算文件Hash,并根据文件Hash判断文件是否已被上传
5. 若查找到的文件未被上传至C2服务器,则将文件和数据上传至C2服务器,其中数据包括计算机名称、用户名、文件路径的目录名以及文件Hash
上传地址及内容如下
4、归因关联
Confucius此次攻击活动与我们发现的2022年攻击活动如下相似性:
1. 均包含根据反病毒软件确定后续文件释放路径的行为;
2. 均通过Powershell指令加载C# Loader文件,由Loader文件进一步下载文件窃密器到本;
3. 均设置有备用下载链接以更改攻击路径;
4. 最后的文件窃密器均包含上传主机名及用户名machineName + "__" + userName至服务器、收集主机指定后缀文件并上传文件及文件Hash。
5、总结
此次攻击活动尚未对国内用户造成直接影响,但我们仍然建议所有用户保持警惕,猎影实验室提醒广大用户朋友,避免打开来自未知来源的电子邮件附件。
防范建议
1. 及时备份重要数据。
2. 不随意打开来源不明的程序。
3. 不访问未知安全性的网站等。
4. 使用合格的安全产品。
5. 定期检查系统日志中是否有可疑事件。
6. 重要资料的共享文件夹应设置访问权限控制,并进行定期离线备份, 关闭不必要的文件共享功能。
7.不要轻信不明邮件,提高安全意识。
转载来源:https://mp.weixin.qq.com/s/bSsmRQFQz-2Llhd3rOfRVw
图片来源网络侵权可联系删除