执行摘要
在过去 90 天里,Unit 42 研究人员发现了两个中国高级持续威胁 (APT) 组织对东南亚国家联盟 (ASEAN) 附属实体和成员国进行网络间谍活动:
第一个 APT 组织 Stately Taurus 创建了两个恶意软件软件包,我们认为其目标是缅甸、菲律宾、日本和新加坡的实体。这些活动的时间恰逢 2024 年 3 月 4 日至 6 日举行的东盟-澳大利亚特别峰会。
中国的第二个 APT 组织入侵了一个东盟附属实体。近几个月来,该 APT 组织已针对多个东南亚政府实体,包括柬埔寨、老挝和新加坡。
Stately Taurus(又名 Mustang Panda、BRONZE PRESIDENT、Red Delta、LuminousMoth、Earth Preta 和 Camaro Dragon)至少自 2012 年以来一直在运作。我们评估这是一个经常进行网络间谍活动的中国 APT 组织。该组织历来以北美、欧洲和亚洲的政府实体和非营利组织以及宗教和其他非政府组织为目标。
我们最近发现了从上述东盟附属实体到与第二个中国 APT 组织相关的恶意基础设施的网络流量,这表明该实体的环境已受到损害。东盟附属实体因其在处理有关该地区外交关系和经济决策的敏感信息方面的作用而成为间谍活动的有吸引力的目标。
通过我们的Prisma Cloud Defender代理与WildFire集成以及DNS 安全和高级 URL 过滤,Palo Alto Networks 客户可以更好地免受这种恶意基础设施的侵害。
如果您认为自己可能已受到威胁或有紧急事项,请联系Unit 42 事件响应团队。
目录
Stately Taurus 活动
包 1:Talking_Points_for_China.zip
包 2:Note PSO.scr
第二次中国 APT 组织活动
C2 基础设施
活动时间表
结论
保护和缓解
妥协指标
其他资源
Stately Taurus活动
在 2024 年 3 月举行的东盟-澳大利亚特别峰会期间,Unit 42 研究人员发现了两个 Stately Taurus 恶意软件包,我们评估这些恶意软件包被用来针对亚洲国家。威胁行为者于 2024 年 3 月 4 日至 5 日为这些软件包创建了恶意软件,恰逢东盟-澳大利亚特别峰会(2024 年 3 月 4 日至 6 日)。
软件包 1:Talking_Points_for_China.zip
攻击者于 2024 年 3 月 4 日创建了第一个包,作为 ZIP 存档。位于菲律宾、日本和新加坡的实体第二天就看到了它(他们上传到公共数据库的样本证明了这一点)。提取Talking_Points_for_China.zip存档的内容会显示两个文件,如图 1 所示。
图1.Talking_Points_for_China.zip
可执行文件Talking_Points_for_China.exe实际上是由QFX Software Corporation开发的签名反密钥记录程序KeyScrambler.exe的重命名副本。威胁行为者经常出于恶意目的滥用、利用或颠覆合法产品。这并不意味着合法产品有缺陷或恶意。
执行此二进制文件后,它会旁加载恶意 DLL KeyScramblerIE.dll并将其复制到目录C:UsersPublicLibrariesSmileTVKeyScramblerIE.dll,并在同一位置建立自动运行注册表项以实现持久性。
然后,该代码解密我们评估为 PubLoad 恶意软件的 shellcode。然后,该恶意软件尝试建立与103.27.109[.]157:433的连接。
该包与 CSIRT-CTI 在其标题为Campaign #4 – Talking Points for China.zip 的帖子部分中描述的示例有很强的重叠。这些相似之处包括:
存档文件名
启动有效负载的魔术字节(17 03 03)
使用 QFX Software Corporation 的签名二进制文件
PubLoad恶意软件的执行特征
包2:注意PSO.scr
威胁行为者于 2024 年 3 月 5 日创建了第二个软件包,作为屏幕保护程序可执行文件(SCR 扩展)文件,位于缅甸的一个实体在同一天看到了该文件(上传到恶意软件存储库即可证明)。鉴于文件名(注意 PSO.scr),我们怀疑 PSO 可能指的是个人参谋的头衔,这是缅甸军队的一个军衔。
我们观察到 Stately Taurus 针对该恶意软件包切换了策略、技术和程序 (TTP)。 Stately Taurus 没有选择依赖文件存档格式(ZIP、RAR、ISO)进行交付,而是采用了带有屏幕保护程序 (SCR) 文件扩展名的可执行文件来进行初始感染。这种方法会导致从 IP 地址123.253.32[.]71下载恶意代码。
打开 SCR 文件后,威胁参与者会尝试建立网络连接来下载良性可执行文件WindowsUpdate.exe和恶意 DLL EACore.dll。这些文件托管在以下位置:
hxxp[:]//123.253.32[.]71/WindowsUpdate.exe
hxxp[:]//123.253.32[.]71/EACore.dll
威胁参与者使用他们已重命名为WindowsUpdate.exe 的良性程序,该程序实际上是由著名视频游戏公司 Electronic Arts, Inc. 签名的EACoreServer.exe的旧版本。他们这样做是为了让它看起来像是一个值得信赖的程序,同时,在后台,他们会旁加载恶意 DLL 文件,并重命名该文件以覆盖合法的EACore.dll。然后,该恶意软件尝试与146.70.149[.]36处的www[.]openservername[.]com建立连接,以进行命令和控制 (C2)。
第二届中国APT团体活动
我们最近发现了一个东盟附属实体与中国 APT 组织的 C2 基础设施之间的网络连接,表明该实体的环境已受到损害。我们还观察到来自东盟成员国政府实体的类似活动。东盟附属实体因其在处理有关该地区外交关系和经济决策的敏感信息方面的作用而成为间谍活动的有吸引力的目标。
C2基础设施
表 1 概述了用于 C2 的已知面向目标的基础设施。
表 1. 已知的基础设施
活动时间表:第二届中国APT小组
Unit 42 研究人员发现了 2024 年 1 月和 2 月期间的威胁行为者活动。我们还观察到农历新年和中国规定的 2024 年 2 月 18 日“特别工作日”期间出现了明显的平静,如图 2 所示。
图 2. 生活模式:工作日
我们在 2023 年 9 月和 10 月的中国黄金周期间观察到这位演员的类似生活模式。
该演员的工作时间也与我们之前观察到的工作日(周一至周五)调整为 UTC +08:00(中国标准时间)的工作时间一致,如图 3 所示。
图 3. 生活模式:工作时间(+08:00 时间调整)
结论
Unit 42 已发现两个中国 APT 最近针对东南亚国家联盟 (ASEAN) 附属实体和成员国开展网络间谍活动。这些类型的活动继续展示了组织如何成为网络间谍目的的目标,其中民族国家附属威胁组织收集该地区内地缘政治利益的情报。我们鼓励组织利用我们的研究结果来部署保护措施来防御这些类型的威胁。
保护和缓解措施
通过以下产品,Palo Alto Networks 客户可以更好地免受上述威胁:
DNS 安全和高级 URL 过滤将本文中的域归类为恶意域
WildFire是一种基于云的威胁检测引擎,它将本文中的 Stately Taurus 恶意软件样本归类为恶意软件
与WildFire集成的Prisma Cloud Defender代理可以检测并防止本文中的 Stately Taurus 恶意软件样本在基于 Windows 的虚拟机、容器和无服务器云基础设施上的恶意执行。
妥协指标
Stately Taurus活动
恶意软件哈希
d393349a4ad00902e3d415b622cf27987a0170a786ca3a1f991a521bff645318
a16a40d0182a87fc6219693ac664286738329222983bd9e70b455f198e124ba2
316541143187acff1404b98659c6d9c8566107bd652310705214777f03ea10c8
02f4186b532b3e33a5cd6d9a39d9469b8d9c12df7cb45dba6dcab912b03e3cb8
5cd4003ccaa479734c7f5a01c8ff95891831a29d857757bbd7fe4294f3c5c126基础设施:
103.27.109[.]157
123.253.32[.]71
146.70.149[.]36
www.openservername[.]com东盟相关活动
基础设施:
ai.nerdnooks[.]com
web.daydreamdew[.]net
65.20.103[.]231
139.59.46[.]88
193.149.129[.]93
192.153.57[.]98参考链接: https://unit42.paloaltonetworks.com/chinese-apts-target-asean-entities/
图片来源网络目标可联系删除
