近期缅甸发生的少数民族叛乱袭击事件,让缅甸军政府及周边国家处于高度戒备状态。自 2023 年 10 月以来,一个名为三兄弟联盟 (3BHA) 的反叛联盟一直在缅甸北部地区攻击缅甸军队,据报道占领了其军政府前哨基地和军事阵地。这一活动引起了中国的关注,因为重要的贸易路线已被3BHA控制并摧毁,导致中国呼吁停火。袭击事件发生后,缅甸国防与安全委员会 (NSDC) 于 11 月 8 日召开会议,军政府领导人敏昂莱 (Min Aung Hlaing) 将军评论称,缅甸可能因 3BHA 攻势而分裂。五天后,掸邦北部宣布戒严。尽管这些事件似乎没有受到国际社会的太多关注,但东南亚国家联盟(ASEAN)国防部长们一直呼吁缅甸实施2021年制定的五点共识和平计划。迄今为止,缅甸军政府未能实施这一计划,导致缅甸在该计划取得进展之前被禁止加入东盟。
随着这些事态的发展,CSIRT-CTI 发现了两个明显与 Stately Taurus(别名 Bronze President、Camaro Dragon、Earth Preta、Mustang Panda、Red Delta 和 Luminous Moth)有关的活动,这两个活动均被评估为针对缅甸部国防和外交事务部。这两项活动似乎都强烈利用了与历史和更现代的庄严金牛座活动相关的技术、策略和程序 (TTP)。其中最突出的 TTP 是使用合法软件,包括工程公司 Bernecker & Rainer (B&R) 开发的二进制文件和 Windows 10 升级助手的组件来旁加载恶意动态链接库 (DLL)。此外,据报告,该威胁发起者发起的大量活动都通过使网络流量看起来与 Microsoft 更新流量相关来掩盖网络流量。
Stately Taurus 至少自 2012 年以来一直在进行网络间谍活动,并被广泛认为是负责情报收集的中国高级持续威胁 (APT)。此前,针对北美、欧洲和亚洲的政府实体和非营利组织的攻击被认为是该组织所为,据信这些攻击拥有具有重要政治意义的信息。
活动 #1:NDSC 第三次会议分析.zip
观察到的第一个活动发生在 2023 年 11 月 9 日,在向 VirusTotal 提交了一个名为Analysis of the Third Meeting of NDSC.zip 的恶意存档后,引起了我们的注意。提取此存档后,受害者会看到图 1 中的图像,其中包含(合法的、已签名的)诱饵可执行文件和同一文件夹中的恶意 DLL。
图 1:提取的 ZIP 文件,其中包含诱饵可执行文件和恶意 DLL
如前所述,该存档中的可执行文件是最初由 B&R Industrial Automation GmbH 签名的合法二进制文件,该二进制文件指向工程公司 Bernecker & Rainer。尽管提供的证书已于 2020 年 5 月 23 日过期,但 Windows 和 VirusTotal 仍认为该证书已签名且有效。
图 2:过期的贝加莱代码签名证书
图 3:BrMod104.dll上的时间戳
图 4:PUBLOAD 恶意软件事件概述
执行诱饵二进制文件后,威胁行为者利用DLL 搜索顺序劫持来旁加载时间为2023-11-03的恶意 DLL(如图 3 所示)。加载 DLL 后,它的第一个活动是检查系统上支持的语言,然后检查先前是否已获得持久性。它通过确定命令行参数的存在来实现这一点。如果命令行参数不存在,它将通过将自身和 DLL 复制到C:ProgramDatagameinstall.复制后,将创建一个标准 CurrentVersion 自动运行键,名称为gameestrto,值为 C:\ProgramData\gameinstall\Analysis of the third meeting of NDSC.exe starmygame。
REGISTRYUSERS-1-5-21-578104441-166916572-4098306029-1000SoftwareMicrosoftWindowsCurrentVersionRungameestrto = "C:\ProgramData\gameinstall\Analysis of the third meeting of NDSC.exe starmygame"添加到自动运行键的这个特定命令行参数starmygame表明了早期实现的持久性,因为恶意软件创建了自动运行键以使用此参数运行未来的执行。这会导致执行流程跳过条件地址,0x100027ba如图 4 所示。在函数的更下方,将验证任何存在的命令行参数以匹配最初设置的值,这会触发进一步的加密操作,从而导致 C2 通信。
图 5:二进制 Ninja 生成的 HLIR 显示参数的存在检查、复制到新目录以及创建自动运行密钥
图 6:验证命令行参数 from 的0x1000291e内容0x10002939
实现持久性后,准备对 C2 服务器执行 ping 操作123.253.32.15并注册设备。与Lab52 描述的活动类似,它使用标准协议来执行此操作。然而,以前魔术字节所在的位置17 03 03,现在似乎已更改为46 77 4d.这些魔术字节在整个请求和响应中都是一致的。这导致了以下协议:++。
该标准适用于所有通信,即使是在感染后也是如此。对于初始连接,有效负载也类似:++.该有效负载经过 RC4 加密并发送到 C2 服务器,如图 6 所示。威胁参与者尝试通过添加Host: www.asia.microsoft.com和User-Agent: Windows-Update-Agent标头将流量伪装成 Microsoft 更新流量。
图 7:初始通信中发现的字节
图 8:在已建立的 C2 连接回复中发现的法字节
C2 服务器对此初始连接的响应是一段 shellcode,公开记录为 PUBLOAD。该 shellcode 也经过 RC4 加密,以 DAT 文件形式下载,并解密为第二阶段恶意软件,即PlugX 植入程序。经过Lab52的研究,可以确认在这种情况下与C2服务器的持续通信使用了相同类型的协议方案。该示例也不再模拟www.asia.microsoft.com,而是切换到www.download.windowsupdate.com它开始接受命令的那一刻。
图 9:PUBLOAD 加密的 shellcode
活动 #2:ASEAN Notes.iso
第二次活动是在 2024 年 1 月 17 日从美国和缅甸上传到 VirusTotal 后观察到的。在围绕缅甸冲突的时间表中,这与1 月 11 日缅甸军政府领导人与东盟特使会面的背景一致。缅甸的暴力事件。该恶意软件样本涉及包含 LNK 快捷方式的光盘映像 (ISO),并使用与活动 #1 中所述类似但略有不同的方法进行扩展。这也与之前记录的Stately Taurus TTP 相匹配,旨在通过多个阶段部署 PlugX 植入,尽管交付与TrendMicro 记录的TONESHELL 恶意软件相匹配。
图 10:TONESHELL 恶意软件事件概述
当打开 ISO 文件时,受害者会看到一组 LNK 文件和一个名为_的多层文件夹结构。除了ASEAN 2024.lnk文件之外,Mofa memo.lnk文件还可能指的是缅甸外交部(MOFA),因为它与叙述一致并指示了上下文。所有 LNK 文件(使用LnkParse3解析)都被编程为显示 PDF 图标来欺骗用户并启动下面目录结构中的office.exe二进制文件。该二进制文件再次合法并由 Microsoft 签名。该文件的哈希值在 VirusTotal 上显示为GetCurrentRollback.exe,通常出现在 Windows 10 升级助手中。执行此二进制文件后,将使用名为GetCurrentDeploy.dll的 DLL 文件执行与第一个活动中相同类型的 DLL 侧面加载。
此活动的进行方式与 TrendMicro 分析相同,并尝试向 C2 注册该设备。报告提到 TONESHELL 最多支持 10 个 C2 地址,并且在本例中似乎包含两个 IP 地址(103.159.132.80和37.120.222.19)。前者存在于CheckPoint 记录的同一子网中,后者是从二进制文件openservername.com.值得注意的是,只有添加 www 子域时,该域才会解析。
图11:显示ASEAN Notes.iso内部目录结构的树形结构
图12:硬编码域名
执行其中一个 LNK 文件后,将采取与活动一中类似的步骤。它在 _ 目录结构中执行office.exe二进制文件并旁加载GetCurrentDeploy.dll。通过这样做,它会触发与活动 #1 相同的功能,验证命令行参数并将两个文件复制到不同的目录。 TONESHELL 的唯一区别是这些副本被放入%PUBLIC%而不是C:ProgramDatagameinstall.
图 13:与 Campaign 1 共享验证命令行参数的代码
截至撰写本文时,恶意软件尝试与之通信的 C2 服务器似乎没有响应。因此,无法验证使用该样本在二进制文件中发现的情况之外的 PlugX 植入的进一步阶段。
连接两个活动
尽管无法调查第二次活动的恶意软件阶段,但发现第一次活动和第二次活动之间的相似性足够强,可以高度可信地将两者联系起来。已发现多种指标可以将这些攻击归因于庄严的金牛座。缅甸持续存在的争议及其对中国的重要性,这些样本似乎也发挥了作用,这进一步增强了这种归因的力量。总体而言,两个活动之间存在以下相似之处。
策略、技术和程序
恶意软件样本本身尽管外观不同,但 TTP 非常相似。两个样本(一个 PUBLOAD 和另一个 TONESHELL)都包含公开记录的指标,利用合法软件中的 DLL 搜索顺序劫持来启动 stager,试图下载第二阶段恶意软件。尽管无法验证第二次活动的 C2 流量,但当前的加密函数表明该二进制文件已准备好解密。此外,两个示例都通过向自动运行键添加命令行参数(starmygame、StarWegameToyOU )来创建具有相同命名方案(gameestrto)和持久性控制机制的自动运行键。最后,检查这些命令行参数的二进制代码是共享代码并且几乎相同,也包含相同的键入错误( erro task、erro blue)。BrMod104.dll中一个值得注意的附加细节是引用位于 的程序数据库 (PDB) 文件的调试字符串。考虑到所有细节并考虑到发生的时间线,这些样本很可能是相关的,并且查看将观察到的行为归类为属于 Stately Taurus 相关恶意软件家族的情报出版物,这些样本被用于 Stately Taurus 活动。E:worknewplyReleasenew4chongf.pdb
图14:BrMod104.dll中的常用指标
图 15:GetCurrentDeploy.dll中的常用指标
基础设施
在调查 Censys 上的两台 C2 服务器时,为两台主机注册了不同的证书。但是,WIN-9JJA076EVSS两个主机使用了相同的公用名称和值。此外,这两个 IP 地址均位于自治系统 55720(位于马来西亚吉隆坡的 GIGABIT-MY Gigabit Hosting Sdn Bhd)上。与该威胁组织相关的通用名称和 AS 编号均已被广泛记录。在这些出版物中,泰国电信部门 CERT (TTC-CERT)在 2024 年 1 月 19 日发布的一份出版物实际上将该通用名称描述为 Stately Taurus C2 基础设施的公分母,以响应针对菲律宾的 SolidPDFCreator 活动,Talos Intelligence 记录在案2023 年 11 月。
结论
缅甸北部发生叛军袭击后,中国对其对中缅边境贸易路线和安全的影响表示担忧。缅甸军政府已与国防和安全委员会以及东盟举行了两次会议,讨论进一步的计划。我们评估这些活动针对的是缅甸国防部和外交部,与该国的事态发展保持一致。
由于观察到的战术、技术和程序的历史报告及其相似性,这些攻击很可能是由中国最活跃的 APT 组织之一 Stately Taurus 发起的。众所周知,金牛座的宏伟行动符合中国政府的地缘政治利益,包括过去针对缅甸的多次网络间谍行动。由于该组织不仅针对亚洲国家,还针对欧洲和北美国家,建议部署反制措施以防御该组织。
妥协指标
参考链接: https://csirt-cti.net/2024/01/23/stately-taurus-targets-myanmar/
图片来源网络目标可联系删除
