摩诃草组织借助Spyder下载器投递Remcos木马

2023年 11月 29日 58.1k 0

团伙背景

摩诃草,又名Patchwork、白象、Hangover、Dropping Elephant等,奇安信内部跟踪编号APT-Q-36。该组织被普遍认为具有南亚地区背景,其最早攻击活动可追溯到2009年11月,已持续活跃10余年。该组织主要针对亚洲地区的国家进行网络间谍活动,攻击目标包括政府、军事、电力、工业、科研教育、外交和经济等领域的组织机构。

事件概述

Spyder恶意软件与摩诃草组织存在关联,主要功能是下载并运行C2服务器下发的可执行文件。奇安信威胁情报中心观察到自7月以来,Spyder至少经过了两轮更新,并发现攻击者借助Spyder向目标主机植入Remcos木马。根据捕获的恶意样本,相关攻击活动有如下特点:

  • Spyder下载器中一些关键字符串不再以明文形式出现,而是经过异或加密处理,以避开静态检测,同时恶意软件与C2服务器的通信数据格式也做了调整;
  • 植入的Remcos木马采用的都是当时能获取到的最新版;
  • 通过Spyder样本的名称和配置信息,可以推测受害者包括巴基斯坦、孟加拉国、阿富汗等国的目标。
  • 详细分析

    捕获到的Spyder和Remcos样本基本信息如下:

    以上样本使用的数字签名有3个:

    Spyder的更新

    1. version2

    与版本1相比,版本2将一些明文字符串(比如API名称和收集主机信息的格式化字符串)进行了异或加密。

    (1) API名称

    (2) 收集主机信息的格式化字符串

    Spyder在回传收集的主机信息前,会与C2服务器进行第一次交互,如果响应数据为”1”,版本1进入休眠死循环,而版本2改为退出进程。

    此外,版本2在POST请求的数据末尾添加”&ver=2”。下面是Spyder样本根据C2指令部署后续可执行文件时,版本1和版本2构造请求数据所用的格式化字符串。

    2. version3

    版本3最大的变动是以JSON字符串的形式表示与C2服务器交互的数据,并且在其中添加version为3的信息。

    JSON字符串再经过base64编码,拼接在字符串”data=”后,作为POST请求的数据。

    Remcos木马

    在请求C2服务器的指令循环中,Spyder除了根据下发的指令部署后续可执行文件,还会在循环一开始从配置数据中的URL拉取一个可执行文件。

    我们观察到有两个Spyder样本通过这种方式下载了Remcos木马。

    两个Remcos木马加载的方式相同。首先重新在内存中映射kernel32.dll和ntdll.dll的.text段,解除防护软件对这两个模块中的函数的监控。

    向”www[.]wingtiptoys.com”发送HTTP请求以混淆真实通信流量。

    加载资源数据,进行RC4解密,得到Remcos木马的文件数据,然后内存加载执行。使用的解密密钥如下:

    iXTYbfqt4v4xaFkXYrgP5gRNWEsttg1QKM6TNuP4hGG8T2TCcWSUtkNTgjA9LuFfKbiPjxajei8kFXeqgcS2O68bsZ

    Remcos木马的C2配置信息如下:

    以0x1E为分隔符,共有3组,不过后面两个域名目前没有对应的解析IP,所以实际上有效的只有morimocanab.com。

    morimocanab.com:443
    
    grand123099ggcarnivol.com:443
    
    Omeri12oncloudd.com:443

    总结

    在短短几个月时间内,Spyder下载器已经历了数次更新,由此可见攻击团伙为避开安全防护软件检测,完成情报窃取任务的决心。从功能上看,Spyder作为通用下载器,可以用来在受害者主机上部署任意可执行文件,此次发现的Spyder被用于投递Remcos木马可能只是涉及该下载器组件的攻击链的冰山一角。

    IOC

    MD5

    (Spyder)

    05e59dcc5f4b657696a92fd2b3eac90d
    2491942d8cd5807cd4615a07ad26a54a
    6699190f7f6574029432b2678e1f40ac
    bc743f1b24e8e585e889d77099ad0ac2
    656b523031d9ffda7b8b1740542b653c

    (Remcos)

    57b805f4c496c5d25acbe45bfaf7ee11
    68f4f27219840b4ba86462241f740bbd
    5eae3dee275dbca878d145817707597f

    C&C

    mfaturk.com
    firebasebackups.com
    morimocanab.com:443
    grand123099ggcarnivol.com:443
    omeri12oncloudd.com:443

    URL

    hxxp://mfaturk.com/backup/manage.php
    hxxp://mfaturk.com/backup/inc.php
    hxxp://mfaturk.com/hing9/includes.php
    hxxp://mfaturk.com/hing9/dmw.php
    hxxp://mfaturk.com/hailo/stick.php
    hxxp://mfaturk.com/hailo/dmw.php
    hxxp://firebasebackups.com/hailo/load_img.php
    hxxp://firebasebackups.com/hailo/pakart.php

    转载来源:https://mp.weixin.qq.com/s/cew83Kzo6omopGlPG-qgxw

    图片来源网络目标可联系删除

    相关文章

    Mallox勒索软件新Linux变种现世
    伪装成破解程序和商业工具的新型恶意软件正在传播
    Orcinius后门新样本分析
    Poseidon窃取程序通过Google广告感染Mac用户
    大选开始之际,欧盟各政党遭受 DDoS 攻击
    微软2024

    发布评论