执行摘要
过去几个月,中国和菲律宾之间的紧张局势急剧升级。8月初,一艘中国海警船向一艘正在南沙群岛有争议的仁爱礁执行补给任务的菲律宾船只发射水炮。此后,菲律宾宣布与美国联合巡逻,与澳大利亚举行海军演习。据报道,菲律宾海岸警卫队已终止与中国海岸警卫队建立的热线电话,并采取行动拆除中国在有争议的黄岩岛附近设置的障碍。
与这些现实世界事件同时发生,Unit 42 的研究人员在 8 月份观察到了三场“Stately Taurus”活动。据评估,这些活动的目标是南太平洋地区的实体,包括菲律宾政府。这些活动利用了 Solid PDF Creator 和 SmadavProtect(基于印度尼西亚的防病毒解决方案)等合法软件来旁加载恶意文件。威胁作者还创造性地将恶意软件配置为模拟合法的 Microsoft 流量以进行命令和控制 (C2) 连接。
Stately Taurus(又名 Mustang Panda、Bronze President、Red Delta、Luminous Moth、Earth Preta 和 Camaro Dragon)至少从 2012 年开始运作。它被评估为中国的高级持续威胁 (APT) 组织,经常进行网络间谍活动。该组织历来以北美、欧洲和亚洲的政府实体和非营利组织以及宗教和其他非政府组织为目标。
活动
Unit 42 在8月份观察到了三场“Stately Taurus”活动。
活动1
第一个活动发生在 2023 年 8 月 1 日,当时我们发现了一个托管在 Google Drive 上供下载的 Stately Taurus 恶意软件包。威胁操作者将此恶意软件包配置为名为 230728 meeting minutes.zip 的 ZIP 文件。提取该档案后,毫无戒心的受害者将看到如图 1 所示的视图。
图 1.ZIP 存档内容
默认情况下,受害者会看到一个可见的应用程序(20230728会议纪要.exe),其中包含一个PDF图标。该文件实际上是已重命名的 Solid PDF Creator 软件的合法副本。然而,受害者看不到的是该文件夹包含第二个名为SolidPDFCreator.dll的隐藏文件。
任何执行合法 Solid PDF Creator 软件的尝试都将导致同一文件夹中包含的恶意 DLL 的侧面加载。一旦加载,恶意 DLL 就会与45.121.146[.]113建立连接以方便 C2。
我们评估,与菲律宾政府相关的实体早在 2023 年 8 月 1 日就发现了第一个恶意软件包。
活动2
我们随后于 2023 年 8 月 3 日发现了第二个 Stately Taurus 恶意软件活动。该恶意软件包被配置为名为NUG'sForeignPolicyStrategy.zip的 ZIP 文件。在这种情况下,缩写“NUG”被认为是指缅甸民族团结政府。提取此档案后,受害者会看到类似于第一个活动的视图,如图 2 所示。
图 2.ZIP 存档内容
在这里,我们看到了 Solid PDF Creator 软件的合法副本,该软件已被重命名为NUG 的外交策略 Strategy.exe。我们还看到隐藏的SolidPDFCreator.dll文件,该文件在应用程序启动时被侧面加载。然而,该示例的欺骗之处在于该 ZIP 文件还包含隐藏在路径中的其他文件:
NUG 的外交政策战略###########
遍历 11 个名为#的文件夹后,我们确定了另外三个文件,如图 3 所示。
图 3. #文件夹的内容
就流程而言,在执行可见的NUG 的外交策略 Strategy.exe二进制文件后,威胁会侧面加载SolidPDFCreator.dll。然后,该 DLL 将这三个文件(errordetails、SmadavProtect32.exe和Smadhook32c.dll)复制到受害者的主目录,并建立一个注册表项(HKEY_CURRENT_USER SoftwareMicrosoftWindowsCurrentVersionRunAHealthDB),以便在用户登录。
SmadavProtect32.exe是印度尼西亚防病毒程序 SmadAV 的合法且良性的副本。登录后,SmadavProtect32.exe将加载恶意 DLL ( SmadHook32c.dll ),然后加载同一文件夹中包含的恶意软件 ( errordetails )。一旦运行,恶意软件就会被配置为回拨45.121.146[.]113以进行 C2。
活动3
第三个活动在结构上与第一个活动相同,创建于 2023 年 8 月 16 日。但是,ZIP 和 EXE 文件名使用Labor Statement.zip,而不是第一个示例中的230728 会议纪要。
提取 ZIP 文件的内容后,受害者会看到两个文件。第一个文件名为Labor Statement.exe,是 Solid PDF Creator 软件的良性副本。第二个文件是名为SolidPDFCreator.dll的恶意 DLL 。执行应用程序后,恶意 DLL 将被加载,并为 C2 建立与45.121.146[.]113的连接,与前两次活动一致。
C2基础设施
IP 地址45.121.146[.]113在 2023 年 6 月发起的一系列活动中首次与 Stately Taurus 相关联。我们评估参与者在 2023 年 8 月期间继续利用该基础设施。然而,其中一个有趣的方面C2 活动是攻击者试图将其伪装成合法的 Microsoft 流量,如图 4 所示。
图 4. 恶意软件 POST 语句
具体来说,在 POST 语句中,恶意软件将主机字段设置为wcpstatic.microsoft[.]com,尽管流量被定向到与任何合法 Microsoft 服务无关的马来西亚 IP 地址。
此外,在监控与 C2 服务器相关的流量时,我们发现了 2023 年 8 月 10 日至 15 日期间来自菲律宾政府基础设施的多个连接。鉴于已知恶意 C2 服务器的流量,我们评估菲律宾政府实体可能在这些活动中受到损害,至少在 2023 年 8 月的五天内是如此。
结论
八月份期间,Stately Taurus参与者发起了至少三场针对南太平洋实体的活动。我们评估这些活动中至少有一项活动直接针对菲律宾政府,并且参与者在 8 月份的五天内成功地试图危害政府实体。
Stately Taurus 继续展示其作为中国最活跃的 APT 之一进行持续网络间谍活动的能力。这些行动针对全球范围内与中国政府感兴趣的地缘政治话题相符的各种实体。我们鼓励组织利用我们的发现来指导部署保护措施来防御这一威胁团体。
保护建议
为了防御本博客中描述的威胁,建议组织采用以下功能:
- 网络安全:通过配置了支持机器学习的一流云交付安全服务的下一代防火墙 (NGFW) 提供。例如,这包括威胁防御、URL 过滤、DNS 安全以及能够识别和阻止恶意样本和基础设施的恶意软件防御引擎。
- 端点安全:通过 XDR 解决方案提供,该解决方案可以通过使用高级机器学习和行为分析来识别恶意代码。该解决方案应配置为在识别威胁时实时采取行动并阻止威胁。
- 安全自动化:通过 XSOAR 或 XSIAM 解决方案提供,能够为 SOC 分析师提供对通过将从端点、网络、云和身份系统获得的数据拼接在一起而产生的威胁的全面了解。
IOC
Stately Taurus样本
bebde82e636e27aa91e2e60c6768f30beb590871ea3a3e8fb6aedbd9f5c154c5
24c6449a9e234b07772db8fdb944457a23eecbd6fbb95bc0b1398399de798584
ba7c456f229adc4bd75bfb876814b4deaf6768ffe95a03021aead03e55e92c7c
969b4b9c889fbec39fae365ff4d7e5b1064dad94030a691e5b9c8479fc63289c
3597563aebb80b4bf183947e658768d279a77f24b661b05267c51d02cb32f1c9
d57304415240d7c08b2fbada718a5c0597c3ef67c765e1daf4516ee4b4bdc768
54be4a5e76bdca2012db45b1c5a8d1a9345839b91cc2984ca80ae2377ca48f51
2b05a04cd97d7547c8c1ac0c39810d00b18ba3375b8feac78a82a2f9a314a596基础设施
45.121.146[.]113
hxxps://drive.google[.]com/uc?id=1QLIQXP-s42TtZsONsKLAAtOr4Pdxljcu转载来源:https://unit42.paloaltonetworks.com/stately-taurus-targets-philippines-government-cyberespionage/
图片来源网络目标可联系删除
