烈火燒不盡的“惡性毒草”—— 摩訶草APT組織的攻擊活動

一． 概述

印度背景的APT組織代號為APT-C-09，又名摩訶草,白象,PatchWork, angOver,VICEROY TIGER,The Dropping Elephan。

摩訶草組織主要針對中國、巴基斯坦等亞洲地區國家進行網路間諜活動，其中以竊取敏感資訊為主。相關攻擊活動最早可以追溯到2009年11月，至今還非常活躍。在針對中國地區的攻擊中，該組織主要針對政府機構、科研教育領域進行攻擊，其中以科研教育領域為主。

摩訶草組織最早由Norman安全公司於2013年曝光，隨後又有其他安全廠商持續追蹤並披露該組織的最新活動，但該組織並未由於相關攻擊行動曝光而停止對相關目標的攻擊，相反從2015年開始更加活躍。

從2009年至今，該組織針對不同國家和領域至少發動了3波攻擊行動和1次疑似攻擊行動。整個攻擊過程使用了大量系統漏洞，其中至少包括一次0day漏洞攻擊;該組織所採用的惡意程式碼非常繁雜。載荷投遞的方式相對傳統，主要是以魚叉郵件進行惡意程式碼的傳播，另外部分行動會採用少量水坑方式進行攻擊；值得關注的是，在最近一次攻擊行動中，出現了基於即時通訊工具和社交網路的惡意程式碼投遞方式，進一步還會使用釣魚網站進行社會工程學攻擊。在攻擊目標的選擇上，該組織主要針對Windows系統進行攻擊，同時我們也發現了存在針對Mac OS X系統的攻擊，從2015年開始，甚至出現了針對Android OS移動裝置的攻擊

Gcow安全團隊追影小組於2019.11月底透過監測的手段監測到了該組織的一些針對我國醫療部門的活動.直至2020.2月初,摩訶草APT組織透過投遞帶有惡意宏檔案的xls檔案,以及使用帶有誘餌文件透過點選下載託管於GitHub上的downloader樣本,以及用相應的釣魚網站,用以偵探情報等一系列活動.這對我國的相關部門具有很大的危害,追影小組對其活動進行了跟蹤與分析,寫成報告供給各位看官更好的瞭解該組織的一些手法。

l 當然肯定有人會問為什麼你說的簡介裡摩訶草組織這麼厲害,而這次活動卻水平不如之前呢?

l 本團隊的追影小組主觀認為因為這次活動只是該組織下的CNC小組所開展的活動，文末會給出相應的關聯證據.不過這只是一家之言還請各路表哥多加批評

注意：文中相關IOCs由於特殊原因不給予放出,敏感資訊已經打碼處理

二． 樣本分析

2.1分析文件(武漢旅行資訊收集申請表.xlsm)

該誘餌文件託管於該網址上

http://xxx-xxx.com/%E6%AD%A6%E6%B1%89%E6%97%85%E8%A1%8C%E4%BF%A1%E6%81%AF%E6%94%B6%E9%9B%86%E7%94%B3%E8%AF%B7%E8%A1%A8.xlsm

2.1.1.誘餌文件

這是一個含有宏的xlsm電子表格檔案，利用社會工程學的辦法,誘使目標”啟用內容”來執行宏惡意程式碼

提取的宏程式碼如下

 

2.1.2. 惡意宏程式碼

當目標啟用內容後就會執行Workbook_Open的程式碼

 DllInstall False, ByVal StrPtr(Sheet1.Range("X100").Value)

透過載入scrobj.dll呼叫

遠端載入http://45.xxx.xxx.67/window.sct,這種是利用Microsoft系統檔案的LOLbin以繞過殺軟的監測，達到遠端執行程式碼目的。

其中Sheet1.Range("X100").Value 是小技巧，將payload隱藏在Sheet1中，透過VBA獲取下載地址，起到一定混淆保護效果

 

2.1.3. 惡意sct檔案(windows.sct)

透過windows.sct再下載到到啟動目錄，並重名為Temp.exe,並執行該程式

如下圖

 

系統啟動資料夾

 

2.1.4.後門分析(msupdate.exe)

檔案資訊:

 

 

主要功能:

1.自身複製到當前使用者的AppData\Roaming和C:\Microsoft目錄下並重新命名msupdate.exe,並且建立並寫入uuid.txt，來標識不同使用者

 

 

2.透過com元件建立計劃任務，實現持久化控制。

 

 

3. 與伺服器進行C&C通訊，實現了shell,檔案上傳與下載(ftp),獲取螢幕快照功能，達到完全控制目標。

獲取uuid通知主機上線

 

透過http協議與伺服器進行通訊，並獲取相關指令

上線指令

 

反向Cmd Shell相關程式碼

 

 

檔案上傳相關程式碼

 

檔案下載相關程式碼

 

螢幕快照相關程式碼

 

 

2.2 分析文件(衛生部指令.docx)

該文件託管於

http://xxx-xxx.com/h_879834932/%E5%8D%AB%E7%94%9F%E9%83%A8%E6%8C%87%E4%BB%A4.docx

2.2.1 誘餌文件

 

2.1.2 Downloader分析

誘使目標點選提交按鈕，觸發Shell.Explorer.1 從internet Explorer下載並執行submit_details.exe木馬程式.

檔案資訊:

 

 

功能分析:

1.建立計劃任務

 

 

2.收集目標機器名，ip，等資訊

 

3.下載後門程式

透過Github 白名單下載檔案，繞過IDS檢測.

部分程式碼

 

 

4.獲取Github上的檔案下載路徑，目前檔案已被刪除

 

2.3 釣魚網站

釣魚網址為http://xxx-xxx.com/submit.html偽裝成某部門的調查表,收集人員資訊

 

透過whois查詢，網站是2020年1月23日註冊，2月6日更新後停止訪問

三.關聯分析

該活動與摩訶草APT組織旗下的CNC小組有著很多的聯絡

CNC小組取名來自360於2019年底釋出的報告《南亞地區APT組織2019年度攻擊活動總結》中提及的摩訶草使用新的遠端控制木馬,同時透過其pdb路徑資訊中包含了cnc_client的字樣,故命名為cnc_client小組.在此次活動中,該組織的特徵與之高度類似,故團隊猜測該活動的作俑者來源於摩訶草旗下的CNC小組

 

下面我們將向各位看官詳細的描述這幾點相同之處

(左邊的圖來自於360的年度報告,右邊的圖來自於本次活動的截圖)

1).反向shell功能:

 

2).檔案上傳功能

 

3).檔案下載功能

 

並且在該所會連的域名中出現了cnc的字眼,故本小組大膽猜測該小組對原先的cnc_client進行了進一步的修改,但是其主體邏輯框架保持不變。在側面上反應了該組織也很積極的修改相關的惡意軟體程式碼以躲避防毒軟體的偵查

 

四.總結

在這次活動中摩訶草組織為了增加其攻擊活動的成功性,在誘餌文件中使用了某部門的名稱和某部門的徽標以增加其可信性,同時在其託管載荷的網站上引用了nhc這個字串,Gcow安全團隊追影小組在此大膽推測,該組織使用魚叉郵件的方式去投遞含有惡意文件url的郵件.同時在這次活動中所出現的url上也存在”nhc”,”gxv”,”cxp”等字眼,這很大的反應出攻擊者對中國元素的瞭解,社會工程學的使用靈活以及擁有一定的反偵查能力,這無疑是對我國網路安全的一次挑戰,還請相關人士多多排查,培養員工安全意識也是重中之重的.

最後本小組也想發發牢騷,其實這樣的活動不能說天天都有,但是每一週有一次的頻率還是存在的。印度趁人之危固然不對,但是某些藉此炒作,搞流量變現的,連樣本都沒分析透徹,只看隻言片語就對該組織的手法以及該國家的網路安全實力立下高判,將自己的無知言論變為吸引別人為自己謀取利益的某些高手。把不正確的情況與思想帶給你的關注者,讓他們對真實的情況並不瞭解甚至低估,您難道不覺得心痛嗎?這對得起你前輩的初衷嗎?鄙人瀝肝勸君,萬不可一知半解而授業於人。

注意:這裡不針對任何個人和團隊,只是發發牢騷,說說心裡話罷了,切勿對號入座,非常感謝。所說一切,願與各位共勉也期望各位監督。

五.相關IOC

IOCS

名稱

SHA1:ffxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxf80b709

武漢旅行資訊收集申請表.xlsm

SHA1:4fxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx02b3f2

衛生部指令.docx

SHA1:44xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxaa29b0

msupdate.exe

(windows.jpeg)

SHA1:76xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx7b1b65

submit_details.exe

SHA1:aexxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx3c72e7

windows.sct

SHA1:6cxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx2a92

32368288_lopi9829

C2

https://185.xxx.xx.24/cnc/register
https://185.xxx.xx.24/cnc/tasks/request
https://185.xxx.xx.24/cnc/tasks/result
https://45.xxx.xx.168/qhupdate/pagetip/getconf
https://45.xxx.xxx.168/qhupdate/pagetip/cloudquery

https://45.xxx.xxx.168/qhupdate/msquery

URL

http://xxx-xxx.com/submit.html

http://xxx-xxx.com/%E6%AD%A6%E6%B1%89%E6%97%85%E8%A1%8C%E4%BF%A1%E6%81%AF%E6%94%B6%E9%9B%86%E7%94%B3%E8%AF%B7%E8%A1%A8.xlsm

http://xxx-xxx.com/h_879834932/%E5%8D%AB%E7%94%9F%E9%83%A8%E6%8C%87%E4%BB%A4.docx

http://45.xxx.xxx.67/window.sct

http://45.xxx.xxx.67/window.jpeg

http://185.xxx.xxx.24/windows.sct

https://github.com/xxxxxx/xx_7xxxxx988/blob/master/submit_details.exe

https://raw.githubusercontent.com/xxxx268/meetingid/master/syncup/token.txt

http://185.xxx.xxx.139/winmail/kt_new.png

https://api.github.com/xxxxx/xxxxxx/memeeting/git/blobs/d956fbd55581e178658dd908cb36cd93431cd9e1

https://chinaxxxxx-nexx.com/n2012228aumki7339990n/32368288_lopi9829

http://xxx-xxx.com/form.html?OZBTg_TFORM

關注Gcow安全團隊公眾號獲更多幹貨