团伙背景
摩诃草,又名Patchwork、白象、Hangover、Dropping Elephant等,奇安信内部跟踪编号APT-Q-36。该组织被普遍认为具有南亚地区背景,其最早攻击活动可追溯到2009年11月,已持续活跃10余年。该组织主要针对亚洲地区的国家进行网络间谍活动,攻击目标包括政府、军事、电力、工业、科研教育、外交和经济等领域的组织机构。
事件概述
Spyder恶意软件与摩诃草组织存在关联,主要功能是下载并运行C2服务器下发的可执行文件。奇安信威胁情报中心观察到自7月以来,Spyder至少经过了两轮更新,并发现攻击者借助Spyder向目标主机植入Remcos木马。根据捕获的恶意样本,相关攻击活动有如下特点:
详细分析
捕获到的Spyder和Remcos样本基本信息如下:
以上样本使用的数字签名有3个:
Spyder的更新
1. version2
与版本1相比,版本2将一些明文字符串(比如API名称和收集主机信息的格式化字符串)进行了异或加密。
(1) API名称
(2) 收集主机信息的格式化字符串
Spyder在回传收集的主机信息前,会与C2服务器进行第一次交互,如果响应数据为”1”,版本1进入休眠死循环,而版本2改为退出进程。
此外,版本2在POST请求的数据末尾添加”&ver=2”。下面是Spyder样本根据C2指令部署后续可执行文件时,版本1和版本2构造请求数据所用的格式化字符串。
2. version3
版本3最大的变动是以JSON字符串的形式表示与C2服务器交互的数据,并且在其中添加version为3的信息。
JSON字符串再经过base64编码,拼接在字符串”data=”后,作为POST请求的数据。
Remcos木马
在请求C2服务器的指令循环中,Spyder除了根据下发的指令部署后续可执行文件,还会在循环一开始从配置数据中的URL拉取一个可执行文件。
我们观察到有两个Spyder样本通过这种方式下载了Remcos木马。
两个Remcos木马加载的方式相同。首先重新在内存中映射kernel32.dll和ntdll.dll的.text段,解除防护软件对这两个模块中的函数的监控。
向”www[.]wingtiptoys.com”发送HTTP请求以混淆真实通信流量。
加载资源数据,进行RC4解密,得到Remcos木马的文件数据,然后内存加载执行。使用的解密密钥如下:
iXTYbfqt4v4xaFkXYrgP5gRNWEsttg1QKM6TNuP4hGG8T2TCcWSUtkNTgjA9LuFfKbiPjxajei8kFXeqgcS2O68bsZ
Remcos木马的C2配置信息如下:
以0x1E为分隔符,共有3组,不过后面两个域名目前没有对应的解析IP,所以实际上有效的只有morimocanab.com。
morimocanab.com:443
grand123099ggcarnivol.com:443
Omeri12oncloudd.com:443
总结
在短短几个月时间内,Spyder下载器已经历了数次更新,由此可见攻击团伙为避开安全防护软件检测,完成情报窃取任务的决心。从功能上看,Spyder作为通用下载器,可以用来在受害者主机上部署任意可执行文件,此次发现的Spyder被用于投递Remcos木马可能只是涉及该下载器组件的攻击链的冰山一角。
IOC
MD5
(Spyder)
05e59dcc5f4b657696a92fd2b3eac90d
2491942d8cd5807cd4615a07ad26a54a
6699190f7f6574029432b2678e1f40ac
bc743f1b24e8e585e889d77099ad0ac2
656b523031d9ffda7b8b1740542b653c
(Remcos)
57b805f4c496c5d25acbe45bfaf7ee11
68f4f27219840b4ba86462241f740bbd
5eae3dee275dbca878d145817707597f
C&C
mfaturk.com
firebasebackups.com
morimocanab.com:443
grand123099ggcarnivol.com:443
omeri12oncloudd.com:443
URL
hxxp://mfaturk.com/backup/manage.php
hxxp://mfaturk.com/backup/inc.php
hxxp://mfaturk.com/hing9/includes.php
hxxp://mfaturk.com/hing9/dmw.php
hxxp://mfaturk.com/hailo/stick.php
hxxp://mfaturk.com/hailo/dmw.php
hxxp://firebasebackups.com/hailo/load_img.php
hxxp://firebasebackups.com/hailo/pakart.php
转载来源:https://mp.weixin.qq.com/s/cew83Kzo6omopGlPG-qgxw
图片来源网络目标可联系删除