大家好，我是零日情報局。

本文首發於公眾號 零日情報局，微信ID：lingriqingbaoju

據Cybaze-Yoroi團隊最近發現，具有巴基斯坦政府背景的黑客組織“透明部落行動”（Operation Transparent Tribe）針對印度軍方展開了系列間諜活動。

巴基斯坦的“透明部落行動”（Operation Transparent Tribe）組織的出沒，與印巴兩國局勢存在高度關聯性；而該組織在隱匿了四年後捲土重來，今天我們不妨看看“透明部落行動”組織的行動軌跡。

四年前後：“透明部落行動”兩次重大活動

正如剛才我們說到，巴基斯坦對抗印度是雙線並行的——

暗線是，2016年2月，“透明部落行動”首次被ProofPoint的研究人員發現，IP位於巴基斯坦的黑客組織運用了網路釣魚、水坑攻擊、遠端訪問木馬等多重複雜手段，向印度駐沙烏地阿拉伯和哈薩克使館的外交官和軍事人員發起攻擊。

至於明線，在這一年，印度與巴基斯坦爆發了自2003年兩國停火以來的最大沖突，印軍對巴基斯坦境內實施了堪稱“外科手術式”的軍事打擊。

也就是說，“透明部落行動”首次活動被發現的時間，與兩國矛盾激化的時間正好吻合。

四年之後，透明部落行動”重返兩國網路戰場，攻擊手法也大不相同。以惡意巨集檔案感染的手法捕捉受害電腦執行程式資訊、執行惡意命令，針對印度所有參與DSOP FUND（國防服務官員公積金）的軍方人員。

毫無疑問，最近印巴兩國的矛盾衝突同樣處於激化狀態。明線所能看見的是，近幾個月印度數次向巴基斯坦發起突然襲擊，甚至不顧停火協議，摧毀巴基斯坦修建在一線的碉堡工事。

這也再一次證明，“透明部落行動”組織活動背後，極有可能是執行“巴基斯坦反抗印度攻擊”的國家意志。

“透明部落行動”攻擊手法對比

時隔四年，它的攻擊手法有什麼變化？哪次殺傷力更大一些？

根據研究人員的分析，兩次“透明部落行動”所採用的攻擊方式並不相同，這個接下來我們可以詳細對比；但要說哪次殺傷力更大，零日要說，這類針對軍方的間諜活動，殺傷力是次要的，往往竊取情報才是關鍵。

首先，按照時間順序，2016年的“透明部落行動”，據ProofPoint的報告，首次攻擊採用了多種手段，以網路釣魚、水坑攻擊為主，並投放了MSIL\Crimson遠端訪問木馬。

其中，MSIL\Crimson RAT實現了包括控制膝上型電腦攝像頭、螢幕捕獲和鍵盤記錄的多種資料洩露功能，主要攻擊目標為在沙烏地阿拉伯和哈薩克大使館活動的印度外交官。

到了2020年重新活躍的“透明部落行動”，Cybaze-Yoroi研究人員注意到，該小組的TTP與利用武器化檔案並附有印度公共基金的虛假證明書的情況幾乎相同，新的惡意巨集檔案暗藏於對DSOP FUND（國防服務官員公積金）的要求之中。

DSOP FUND（國防服務官員公積金），是印度針對國防人員的財務計劃，軍官每月將其部分工資強制性地存入政府，作為回報，每年年底將“利息”或利潤返還給官員。

惡意巨集檔案包含多個執行感染的所有必要元件，最終可獲取受害機器上正在執行的程式列表，並根據攻擊指令進行下一步動作。此次“透明部落行動”竊取情報的目標不再是某一地區的軍方人員，而是所有參與DSOP FUND的印度官員。

總體看來，兩次“透明部落行動”攻擊手段幾乎完全不同，且此次行動目標範圍進一步擴大，涉及情報內容也更加多樣。

“透明部落行動”惡意巨集檔案分析

Cybaze-Yoroi研究人員對惡意巨集檔案進行了詳細分析，分析情況如下：

自解壓巨集

通過分析Excel檔案的內容，研究人員注意到該檔案包含執行感染的所有必要元件：

圖：惡意巨集塊

巨集元件將相互組合以釋放感染的下一階段，然後可以對它們進行模糊處理，巨集在“programdata”路徑下建立兩個檔案“systemidleperf ”和“SppExtComTel ”。

圖：提取的檔案

分析這些檔案，發現內含一個vbs指令碼、一個C＃指令碼和一個zip檔案，在此存檔中，發現了4個PE工件：

圖：“systemidleperf.zip”檔案的內容

ilentCMD模組

這兩個dll是合法的Windows庫，用於支援惡意行為。相反，“ windproc.scr”和“ windprocx.scr”檔案是實用程式SilentCMD的編譯版本，可在GitHub上公開使用。SilentCMD無需開啟命令提示符視窗即可執行批處理檔案。如果需要，控制檯輸出可以重定向到日誌檔案。

圖：SilentCMD主例程

SilentCMD實用程式用於執行從C2推送的命令，所有命令都將執行而不會向使用者顯示任何內容。但是，如前所述，奇怪的是，該惡意軟體安裝了兩種不同的可執行檔案變體，唯一的區別在於時間戳：

圖：兩個檔案之間的比較

實時模組

另一個提取的檔案是“ Realtime.cs”檔案，它是用C＃編寫的一段程式碼的原始碼，並且在巨集執行期間進行編譯和執行。該程式碼非常簡單，它的唯一目的是從網際網路上下載另一個元件。

X64i.scr檔案

可執行檔案的圖示讓我們瞭解到，惡意軟體是通過使用工具Pyinstaller打包的。Python易於分析和解釋。第一個操作是宣告兩個全域性變數“ bitstream3”和“ bitstream4”，這兩檔案根據Windows作業系統版本選擇的。

之後，指令碼將所需的有效負載寫入資料夾“ c：\ programdata \ SppExtComTel \”，並立即使用引數“-brilliance”執行它。之後，該惡意軟體通過在Startup資料夾內建立LNK檔案來保證其永續性。

圖：永續性機制

遠端訪問木馬

圖：有關Rat的靜態資訊

如前所述，惡意軟體有效載荷是惡意軟體植入程式的核心元件。 惡意軟體是用.NET框架編寫的，其建立日期可以追溯到2020年1月29日，也由C2的註冊記錄證明。該惡意軟體由一個模組化植入物組成，該植入物可從C2下載其他元件。

第一步是向C2提供受害機器上正在執行的程式的列表： 

圖：C2通訊

之後，惡意軟體會迴圈並等待來自C2的某些命令：

圖：下載新模組的例程

當C2傳送一些命令來指示bot時，惡意軟體會下載並執行其他兩個元件，這兩個元件是從以下URL下載的兩個DLL：

http [：// awsyscloud [.com / E @ t！aBbU0le8hiInks /B / 3500 / m1ssh0upUuchCukXanevPozlu [.dll

http [：// awsyscloud [.com / E @ t！aBbU0le8hiInks /D / 3500 / p2ehtHero0paSth3end.dll

一旦執行，第一個DLL已在“ indexerdervice.dll”中重新命名。該可執行檔案具有與C2通訊的複雜加密方法： 

圖：證照解密例程的證據

上面的螢幕顯示，惡意軟體要求提供RSA金鑰，該金鑰必須通過突出顯示的文字進行驗證。果檢查結果是肯定的，則該惡意軟體可以繼續執行其惡意操作，例如傳送資訊： 

圖：惡意軟體的傳送例程

第二個惡意軟體模組是一個簡單的DLL，其目的是從dropURL下載其他元件，然後安裝它：

圖：硬編碼AES金鑰的證據

下載的程式碼已通過Rijndael演算法使用硬編碼金鑰進行了加密。

零日反思

巴鐵和印度這對年年月月無休止爆發軍事衝突的死敵，一邊忙著殺蟲，一邊還不忘互相傷害。在當今時代背景下，軍事衝突演變成網路戰已成必然，我們要注意的是，網路對抗沒有輸家與贏家之分，在網路戰場這片混沌之地，建立一個全球網路安全新秩序已經迫在當下。

零日情報局作品

微信公眾號：lingriqingbaoju

如需轉載，請後臺留言

歡迎分享朋友圈

參考資料：

Cybaze-Yoroi《Transparent Tribe: Four Years Later》