刺向巴勒斯坦的致命毒針——雙尾蠍 APT 組織的攻擊活動分析與總結

Gcow安全團隊發表於2020-03-09

刺向巴勒斯坦的致命毒針——雙尾蠍 APT 組織的攻擊活動分析與總結

封面-pic1

一.前言

雙尾蠍APT組織(又名:APT-C-23),該組織從 2016 年 5 月開始就一直對巴勒斯坦教育機構、軍事機構等重要領域展開了有組織、有計劃、有針對性的長時間不間斷攻擊.其在2017年的時候其攻擊活動被360企業安全進行了披露,並且其主要的攻擊區域為中東,其中以色列與巴勒斯坦更受該組織的青睞。

 

攻擊平臺主要包括 WindowsAndroid:

 

其中針對windows的平臺,其比較常見的手法有投放帶有"*.exe"或"*.scr"檔案字尾的釋放者檔案,在目標使用者開啟後釋放對應的誘餌文件,並且釋放下一步的偵查者(Recon).持久存在的方式也不唯一,一般通過寫入登錄檔啟動項以及釋放指向持久化遠控的快捷方式到自啟動資料夾下.其偵查者會收集當前機器的相關資訊包含(系統版本,計算名,防毒軟體資訊,當前檔案所在路徑,惡意軟體當前版本),以及其解析C2的回顯指令,並執行.比如:遠端shell,截圖和檔案下載

 

同時根據別的安全廠商的報告,我們也得知該組織擁有於攻擊Android平臺的元件,擁有定位、簡訊攔截、電話錄音等,並且還會收集文件、圖片、聯絡人、簡訊等情報資訊;PC 端後門程式功能包括收集使用者資訊上傳到指定伺服器的功能、遠端下載檔案能力.近日check point安全廠商披露了該組織自導自演,給以色列士兵手上安裝惡意軟體的攻擊活動.可以從中看出該團伙的攻擊設計之巧妙,準備之充分。但最後結果還是被以色列給反制了一波............

 

Gcow安全團隊追影小組2019.12月初開始監測到了雙尾蠍APT組織通過投遞帶有誘餌檔案的相關可執行檔案針對巴勒斯坦的部門進行了相應的攻擊活動,這些誘餌檔案涉及教育,科技,政治等方面的內容,其攻擊活動一直持續到了2020.2月底.追影小組對該組織進行了一定時間的追蹤.遂寫成此報告還請各位看官欣賞.

二.樣本資訊介紹以及分析

1.樣本資訊介紹

在本次雙尾蠍APT組織針對巴勒斯坦的活動中,Gcow安全團隊追影小組一共捕獲了14個樣本,均為windows樣本,其中12個樣本是釋放誘餌文件的可執行檔案,2個樣本是帶有惡意巨集的誘餌文件
2019.12——2020.2雙尾蠍APT組織針對巴勒斯坦所投放樣本的樣本型別佔比圖-pic2
在這12個可執行檔案樣本中,有7個樣本偽裝成pdf文件檔案,有1個樣本偽裝為word文件檔案,有2個樣本偽裝為rar壓縮檔案.有2個樣本偽裝成mp3,mp4音訊檔案
2019.12——2020.2雙尾蠍APT組織針對巴勒斯坦所投放可執行檔案樣本的樣本型別佔比圖-pic3
在這14Windows惡意樣本中,其誘餌文件的題材,政治類的樣本數量有9個,教育類的樣本數量有1個,科研類的樣本數量有1個,未知類的樣本數量有3個(注意:未知指得是其誘餌文件出現錯誤無法開啟或者其內容屬於無關內容)
2019.12——2020.2雙尾蠍APT組織針對巴勒斯坦所投放的樣本題材佔比圖-pic4
現在各位看官應該對這批雙尾蠍組織針對巴勒斯坦的攻擊活動有了一個大概的認識,但是由於這批樣本之中有一些話題是以色列和巴勒斯坦共有的,這裡Gcow安全團隊追影小組持該組織主要是攻擊巴勒斯坦的觀點,若各位看官有更多的證據,歡迎聯絡我們團隊.注意:這裡只是一家之言,還請各位看官須知,那下面追影小組將以一個惡意樣本進行詳細分析,其他樣本採取略寫的方式向各位看官描述此次攻擊活動。注意:因為其他樣本的主要邏輯是相同的,所以沒有必要枉費筆墨

2.樣本分析

(1).Define the Internet in government institutions

a.樣本資訊
樣本資訊 Define the Internet in government institutions(政府機構定義網際網路)
樣本MD5 3296b51479c7540331233f47ed7c38dd
樣本SHA-1 4107f9c36c3a5ce66f8365140901cd15339aa66c
樣本SHA-256 d08e7464fa8650e669012056548383fbadcd29a093a28eb7d0c2ba4e9036eb07
樣本型別 Win32 EXE GUI程式
樣本大小 2.01 MB (2105856 bytes)
編寫語言 Pascal
編譯器資訊 Free Pascal Compiler v.3.0.4 [2019/10/27] for i386
時間戳 1970-01-01 1:00 (100%造假)
最初上傳時間 2020-01-14 09:58:48
 

樣本Define the Internet in government institutions_pdf.exe檔案資訊-pic6

b.樣本分析

通過對樣本的分析我們得知了該樣本是兼具釋放者(Dropper)下載者(Downloader)的功能,其釋放者(Dropper)主要是用以釋放誘餌文件加以偽裝以及將自身拷貝到%ProgramData%目錄下,並且生成執行該檔案的快捷方式並且釋放於自啟動資料夾下,而下載者(Downloader)部分主要是通過進行資訊收集以及等待C2給予的回顯,主要功能有:遠端shell,檔案下載,螢幕截圖

i.釋放者(Dropper)部分:
 

通過FindResource函式查詢名稱為:MyData的資源
FindResource函式查詢MyData資源-pic7
通過LoadResource函式載入該資源
LoadResource函式載入資源-pic8
通過LockResource函式鎖定資源並且獲取資源在記憶體的地址
LockResource函式鎖定資源-pic9
通過SizeOfResource函式通過獲取資源的地址計算該資源的長度
SizeOfResource函式獲取資源長度-pic10.png
通過CreateFile函式在%temp%目錄下釋放誘餌PDF文件Define the Internet in government institutions.pdf
CreateFile函式創造誘餌PDF文件-pic11
通過WriteFile函式將PDF源資料寫入建立的誘餌文件內
誘餌PDF文件源資料-pic12.png

 

WriteFile函式將PDF文件源資料寫入誘餌PDF文件中-pic13.png
通過ShellExecute函式開啟PDF誘餌文件,以免引起目標懷疑
ShellExecute函式開啟誘餌PDF文件-pic14
其PDF誘餌文件內容如圖,主要關於其使用網際網路政治類題材,推測應該是針對政府部門的活動
誘餌PDF文件原文以及翻譯-pic15
同時利用CopyFileA函式將自身拷貝到%ProgramData%目錄下並且重新命名為SyncDownOptzHostProc.exe
CopyFile函式拷貝自身檔案並重新命名為SyncDownOptzHostProc.exe-pic16
利用CreateFilewW函式在自啟動資料夾下創造指向%ProgramData%\SyncDownOptzHostProc.exe的快捷方式SyncDownOptzHostProc.lnk
利用CreateFileW函式創造指向後門檔案的快捷方式-pic17
指向後門檔案的快捷方式於自啟動資料夾下-pic18

ii.下載者(Downloader)部分:
 

通過CreateFile函式創造%ProgramData%\GUID.bin檔案,內部寫入對應本機的GUID.當軟體再次執行的時候檢查自身是否位於%ProgramData%資料夾下,若不是則釋放pdf文件。若是,則釋放lnk到自啟動資料夾
生成GUID碼-pic19

 

創造GUID.bin檔案並將生成的GUID碼寫入-pic20

①.資訊收集
 

1.收集當前使用者名稱以及當前計算機名稱,並且讀取GUID.bin檔案中的GUID碼
收集username和computername並且讀取GUID-pic21
再以如下格式拼接資訊

當前計算機名稱_當前使用者名稱_GUID碼

編碼前cname報文-pic22
將這些拼接好的資訊利用base64進行編碼,組合成cname報文
編碼後cname報文-pic23

 

2.通過GetVersion函式收集當前系統版本
通過GetVersion函式收集當前系統版本-pic24
並且將其結果通過Base64進行編碼,組成osversion報文
編碼osversion報文-pic25

 

3.通過WMI查詢本地安裝的安全軟體

 

被偵查的安全軟體包括360,F-secure,Corporate,Bitdefender

 

通過wmi查詢本地安全的安全軟體-pic26

 

被偵查的安全軟體列表-pic27

 

如果存在的話,獲取結果組成av報文

 

4.通過GetModuleFile函式獲取當前檔案的執行路徑

 

通過GetModuleFile函式獲取當前檔案執行路徑-pic28

 

將當前程式執行路徑資訊通過base64編碼組成aname報文
編碼aname報文-pic29

 

5.後門版本號ver報文,本次活動的後門版本號為:5.HXD.zz.1201

 

編碼前ver報文-pic30

 

將版本號通過base64編碼組成ver報文

 

編碼後ver報文-pic31

 

將這些資訊按照如下方式拼接好後,通過Send方式向URL地址htp://nicoledotson.icu/debby/weatherford/yportysnr傳送上線報文

cname=&av=&osversion=&aname=&ver=

通過send傳送報文-pic32

 

wireshark報文-pic33

②.獲取指令
 

通過http://nicoledotson.icu/debby/weatherford/ekspertyza URL獲取功能命令(功能為截圖,遠端shell,以及下載檔案)

 

獲取功能指令-pic34

③.傳送螢幕快照
 

擷取螢幕快照函式
遠端shell主要程式碼-pic37
向URL地址http://nicoledotson.icu/debby/weatherford/Zavantazhyty傳送截圖
傳送截圖-pic36

④.遠端shell
 

遠端shell主要程式碼
遠端shell主要程式碼-pic37
向URL地址http://nicoledotson.icu/debby/weatherford/pidnimit傳送shell回顯
傳送shell回顯-pic38

⑤.檔案下載
 

下載檔案,推測應該先另存為base64編碼的txt檔案再解密另存為為exe檔案,最後刪除txt檔案.由於環境問題我們並沒有捕獲後續的程式碼

 

下載檔案1-pic39

 

下載檔案2-pic40

⑥.刪除命令
 

通過URLhttp://nicoledotson.icu/debby/weatherford/vydalyty獲取刪除指令

 

獲取刪除指令-pic41

 

此外我們還關聯到一個與之相似的樣本,誘餌文件與之相同故不再贅述

樣本資訊 Internet in government(網際網路在政府機構)
樣本MD5 20d21c75b92be3cfcd5f69a3ef1deed2
樣本SHA-1 fd20567190ef2920c5c6c449aeeb9fe75f7df425
樣本SHA-256 23aa2347bf83127d40e05742d7c521245e51886f38b285be7227ddb96d765337
樣本型別 Win32 EXE GUI程式
樣本大小 2.01 MB (2106880 bytes)
編寫語言 Pascal
編譯器資訊 Free Pascal Compiler v.3.0.4 [2019/10/27] for i386
時間戳 1970-01-01 1:00 (100%造假)
最初上傳時間 2020-01-20 12:09:44

(2).Employee-entitlements-2020

a.樣本資訊
樣本資訊 Employee-entitlements-2020(員工權益-2020)
樣本MD5 91f83b03651bb4d1c0a40e29fc2c92a1
樣本SHA-1 c1cfc6bbd8ce0ce03d7cd37c68ee9e694c582aef
樣本SHA-256 b33f22b967a5be0e886d479d47d6c9d35c6639d2ba2e14ffe42e7d2e5b11ad80
樣本型別 MS Word 文件 帶有惡意巨集
樣本大小 43.00 KB (44032 bytes)
樣本創造時間 2020-01-20 09:10:00
最後儲存時間 2020-01-20 10:11:00
最初上傳時間 2020-01-22 08:41:44
 

pic z6.png

 

該樣本屬於包含惡意巨集的文件,我們開啟可以看到其內容關於財政部關於文職和軍事僱員福利的宣告,屬於政治類題材樣本

 

樣本Employee-entitlements-2020.doc正文與翻譯-pic

b.樣本分析

通過使用olevba dump出其包含的惡意巨集程式碼(如下圖所示:)

 

其主要邏輯為:下載該URLhttp://linda-callaghan.icu/Minkowski/brown上的內容到本臺機器的%ProgramData%\IntegratedOffice.txt(此時並不是其後門,而且後門檔案的base64編碼後的結果)。通過讀取IntegratedOffice.txt的所有內容將其解碼後,把資料流寫入%ProgramData%\IntegratedOffice.exe中,並且延遲執行%ProgramData%\IntegratedOffice.exe刪除%ProgramData%\IntegratedOffice.txt

 

樣本資訊 IntegratedOffice.exe
樣本MD5 e8effd3ad2069ff8ff6344b85fc12dd6
樣本SHA-1 417e60e81234d66ad42ad25b10266293baafdfc1
樣本SHA-256 80fb33854bf54ceac731aed91c677d8fb933d1593eb95447b06bd9b80f562ed2
樣本型別 Win32 EXE GUI程式
樣本大小 1.95 MB (2047488 bytes)
編寫語言 Pascal
編譯器資訊 Free Pascal Compiler v.3.0.4 [2019/10/27] for i386
時間戳 1970-01-01 1:00 (100%造假)
最初上傳時間 2020-01-22 12:29:16
 

 

該樣本屬於上一個樣本中的下載者(Downloader)部分,其還是通過建立GUID.bin標記感染機器
建立guid.bin-pic
並且建立指向自身的快捷方式於自啟動資料夾中
在自啟動資料夾建立指向自身的快捷方式-pic
剩下的收集資訊並且等待回顯資料的操作都與上文中提到的相同故此不再贅述

(3).Brochure-Jerusalem_26082019_pdf

a.樣本資訊
樣本資訊 Brochure-Jerusalem_26082019_pdf(手冊-耶路撒冷)
樣本MD5 46871f3082e2d33f25111a46dfafd0a6
樣本SHA-1 f700dd9c90fe4ba01ba51406a9a1d8f9e5f8a3c8
樣本SHA-256 284a0c5cc0efe78f18c7b9b6dbe7be1d93da8f556b432f03d5464a34992dbd01
樣本型別 Win32 EXE GUI程式
樣本大小 2.27 MB (2376192 bytes)
編寫語言 Pascal
編譯器資訊 Free Pascal Compiler v.3.0.4 [2019/10/27] for i386
時間戳 1970/1/1 1:00 (100%造假)
最初上傳時間 2020-02-16 07:08:10
 

pic z7

b.樣本分析

通過FindResource函式查詢資源MYDATA,通過下圖我們可以看出該資源是一個PDF檔案

 

FindResource函式查詢資源MYDATA-pic

 

通過CreateFile函式將檔案源資料寫入%Temp%\Brochure-Jerusalem_26082019.pdf(誘餌檔案)中
通過CreateFile函式將檔案源資料寫入Brochure-Jerusalem_26082019.pdf-pic

 

通過ShellExecute函式將%Temp%\Brochure-Jerusalem_26082019.pdf開啟
開啟Brochure-Jerusalem_26082019.pdf-pic

 

該樣本關於耶路撒冷的話題,屬於政治類誘餌文件
誘餌檔案Brochure-Jerusalem_26082019.pdf內容以及翻譯-pic

 

之後的行為就和之前的如出一轍了,在此就不必多費筆墨。

(4).Congratulations_Jan-7_78348966_pdf

a.樣本資訊
樣本資訊 Congratulations_Jan-7_78348966_pdf(恭喜7月)
樣本MD5 09cd0da3fb00692e714e251bb3ee6342
樣本SHA-1 82d425384eb63c0e309ac296d12d00fe802a63f1
樣本SHA-256 4be7b1c2d862348ee00bcd36d7a6543f1ebb7d81f9c48f5dd05e19d6ccdfaeb5
樣本型別 Win32 EXE GUI程式
樣本大小 2.17 MB (2270720 bytes)
編寫語言 Pascal
編譯器資訊 Free Pascal Compiler v.3.0.4 [2019/10/27] for i386
時間戳 1970-01-01 1:00 (100%造假)
最初上傳時間 2020-01-22 19:22:17
 

pic z8.png

b.樣本分析

通過FindResource函式查詢資源MYDATA,通過下圖我們可以看出該資源是一個PDF檔案

 

FindResource函式查詢資源MYDATA-pic

 

通過CreateFile函式將檔案源資料寫入%Temp%\Congratulations_Jan-7.pdf(誘餌檔案)中
通過CreateFile函式將檔案源資料寫入Congratulations_Jan-7.pdf-pic

 

通過ShellExecute函式將%Temp%\Congratulations_Jan-7.pdf開啟
開啟Scholarships in Serbia 2019-2020.pdf-pic

 

該樣本關於耶路撒冷歸屬的話題,屬於政治類誘餌文件
誘餌檔案Congratulations_Jan-7.pdf內容以及翻譯-pic

 

之後的行為就和之前的如出一轍了,在此就不必多費筆墨。

(5).Directory of Government Services_pdf

a.樣本資訊
樣本資訊 Directory of Government Services_pdf(政府服務目錄)
樣本MD5 edc3b146a5103051b39967246823ca09
樣本SHA-1 9466d4ad1350137a37f48a4f0734e464d8a0fef2
樣本SHA-256 0de10ec9ec327818002281b4cdd399d6cf330146d47ac00cf47b571a6f0a4eaa
樣本型別 Win32 EXE GUI程式
樣本大小 3.10 MB (3254272 bytes)
編寫語言 Pascal
編譯器資訊 Free Pascal Compiler v.3.0.4 [2019/10/27] for i386
時間戳 1970-01-01 1:00 (100%造假)
最初上傳時間 2019-12-09 22:25:47
 

pic z9.png

b.樣本分析

通過FindResource函式查詢資源MYDATA,通過下圖我們可以看出該資源是一個PDF檔案

 

FindResource函式查詢資源MYDATA-pic

 

通過CreateFile函式將檔案源資料寫入%Temp%\Directory of Government Services.pdf(誘餌檔案)中
通過CreateFile函式將檔案源資料寫入Directory of Government Services.pdf-pic

 

通過ShellExecute函式將%Temp%\Directory of Government Services.pdf開啟
開啟Directory of Government Services.pdf-pic

 

該樣本關於政府部門祕書處的話題,屬於政治類誘餌文件
誘餌檔案Directory of Government Services.pdf內容以及翻譯-pic

 

誘餌內容對應的官網圖片
官網圖片-pic

 

之後的行為就和之前的如出一轍了,在此就不必多費筆墨。

(6).entelaqa_hamas_32_1412_847403867_rar

a.樣本資訊
樣本資訊 entelaqa_hamas_32_1412_847403867rar(entelaqa哈馬斯)
樣本MD5 9bb70dfa2e39be46278fb19764a6149a
樣本SHA-1 98efcce3bd765d96f7b745928d1d0a1e025b5cd2
樣本SHA-256 094e318d14493a9f56d56b44b30fd396af8b296119ff5b82aca01db9af83fd48
樣本型別 Win32 EXE GUI程式
樣本大小 5.55 MB (5822464 bytes)
編寫語言 Pascal
編譯器資訊 Free Pascal Compiler v.3.0.4 [2019/10/27] for i386
時間戳 1970-01-01 1:00 (100%造假)
最初上傳時間 2019-12-16 21:05:24
 

pic z10.png

b.樣本分析

通過FindResource函式查詢資源MYDATA,通過下圖我們可以看出該資源是一個RAR檔案

 

FindResource函式查詢資源MYDATA-pic

 

通過CreateFile函式將檔案源資料寫入%Temp%\Entelaqa32.rar(誘餌檔案)中
通過CreateFile函式將檔案源資料寫入Entelaqa32.rar-pic

 

通過ShellExecute函式將%Temp%\Entelaqa32.rar開啟
開啟Scholarships in Serbia 2019-2020.pdf-pic

 

該樣本關於哈馬斯的話題,屬於政治類誘餌文件
誘餌檔案Entelaqa32.rar內容-pic

(7).final_meeting_9659836_299283789235_rar

a.樣本資訊
樣本資訊 final_meeting_9659836_299283789235_rar(最終會議)
樣本MD5 90cdf5ab3b741330e5424061c7e4b2e2
樣本SHA-1 c14fd75ccdc5e2fe116c9c7ba24fb06067db2e7b
樣本SHA-256 050a45680d5f344034be13d4fc3a7e389ceb096bd01c36c680d8e7a75d3dbae2
樣本型別 Win32 EXE GUI程式
樣本大小 4.02 MB (4220416 bytes)
編寫語言 Pascal
編譯器資訊 Free Pascal Compiler v.3.0.4 [2019/10/27] for i386
時間戳 1970-01-01 1:00 (100%造假)
最初上傳時間 2019-12-21 09:07:07
 

pic z11.png

b.樣本分析

通過FindResource函式查詢資源MYDATA,通過下圖我們可以看出該資源是一個rar檔案

 

FindResource函式查詢資源MYDATA-資源是rar檔案-pic

 

通過CreateFile函式將rar檔案源資料寫入%Temp%\jalsa.rar(誘餌檔案)中
通過CreateFile函式將rar源資料寫入jalsa.rar-pic

 

通過ShellExecute函式將%Temp%\jalsa.rar開啟
開啟jalsa.rar-pic

 

其誘餌檔案的內容與第十二屆亞洲會議有關,其主體是無條件支援巴勒斯坦,可見可能是利用亞洲會議針對巴勒斯坦*的活動,屬於政治類題材的誘餌樣本

 

之後的行為就和之前的如出一轍了,在此就不必多費筆墨

(8).Meeting Agenda_pdf

a.樣本資訊
樣本資訊 Meeting Agenda_pdf(會議議程)
樣本MD5 a7cf4df8315c62dbebfbfea7553ef749
樣本SHA-1 af57dd9fa73a551faa02408408b0a4582c4cfaf1
樣本SHA-256 707e27d94b0d37dc55d7ca12d833ebaec80b50decb218a2eb79565561a807fe6
樣本型別 Win32 EXE GUI程式
樣本大小 2.03 MB (2129920 bytes)
編寫語言 Pascal
編譯器資訊 Free Pascal Compiler v.3.0.4 [2019/10/27] for i386
時間戳 1970-01-01 1:00 (100%造假)
最初上傳時間 2020-01-29 11:08:26
 

pic z12.png

b.樣本分析

通過CreateFile函式將檔案源資料寫入%Temp%\Meeting Agenda.pdf(誘餌檔案)中

 

通過CreateFile函式將源資料寫入Meeting Agenda.pdf-pic

 

通過ShellExecute函式將%Temp%\Meeting Agenda.pdf開啟
開啟Meeting Agenda.pdf-pic

 

但由於其塞入資料的錯誤導致該Meeting Agenda.pdf檔案無法正常開啟故此將該樣本歸因到未知類題材樣本,之後的行為就和之前的如出一轍了,在此就不必多費筆墨。

(9).Scholarships in Serbia 2019-2020_pdf

a.樣本資訊
樣本資訊 Scholarships in Serbia 2019-2020(塞爾維亞獎學金2019-2020)
樣本MD5 8d50262448d0c174fc30c02e20ca55ff
樣本SHA-1 342aace73d39f3f446eeca0d332ee58c08e9eef5
樣本SHA-256 00bc6fcfa82a693db4d7c1c9d5f4c3d0bfbbd0806e122f1fbded034eb9a67b10
樣本型別 Win32 EXE GUI程式
樣本大小 2.13 MB (2233856 bytes)
編寫語言 Pascal
編譯器資訊 Free Pascal Compiler v.3.0.4 [2019/10/27] for i386
時間戳 1970-01-01 1:00 (100%造假)
最初上傳時間 2020-02-24 05:18:55
 

pic z13.png

b.樣本分析

通過FindResource函式查詢資源MYDATA,通過下圖我們可以看出該資源是一個PDF檔案

 

FindResource函式查詢資源MYDATA-pic

 

通過CreateFile函式將檔案源資料寫入%Temp%\Scholarships in Serbia 2019-2020.pdf(誘餌檔案)中
通過CreateFile函式將檔案源資料寫入Scholarships in Serbia 2019-2020.pdf-pic

 

通過ShellExecute函式將%Temp%\Scholarships in Serbia 2019-2020.pdf開啟
開啟Scholarships in Serbia 2019-2020.pdf-pic

 

該樣本關於巴勒斯坦塞爾維亞共和國獎學金的話題,屬於教育類誘餌文件
誘餌檔案Scholarships in Serbia 2019-2020.pdf內容以及翻譯-pic

 

誘餌內容對應的官網圖片
官網圖片-pic

 

之後的行為就和之前的如出一轍了,在此就不必多費筆墨。

(10).تقرير حول أهم المستجدات_347678363764

a.樣本資訊
樣本資訊 تقرير حول أهم المستجدات_347678363764(報告最重要的事態發展)
樣本MD5 9bc9765f2ed702514f7b14bcf23a79c7
樣本SHA-1 7684cd1a40e552b22294ea315e7e208da9112925
樣本SHA-256 4e77963ba7f70d6777a77c158fab61024f384877d78282d31ba7bbac06724b68
樣本型別 Win32 EXE GUI程式
樣本大小 2.02 MB (2120704 bytes)
編寫語言 Pascal
編譯器資訊 Free Pascal Compiler v.3.0.4 [2019/10/27] for i386
時間戳 1970-01-01 1:00 (100%造假)
最初上傳時間 2020-01-02 11:59:19
 

pic z14.png

b.樣本分析

通過FindResource函式查詢資源MYDATA,通過下圖我們可以看出該資源是一個docx檔案

 

FindResource函式查詢資源MYDATA-資源是docx檔案-pic

 

通過CreateFile函式將docx檔案源資料寫入%Temp%\daily_report.docx(誘餌檔案)中
通過CreateFile函式將docx源資料寫入daily_report.docx-pic

 

通過ShellExecute函式將%Temp%\daily_report.docx開啟
開啟daily_report.docx-pic

 

從誘餌樣本中的內容我們可以看出其關於巴勒斯坦態勢的問題,屬於政治類題材樣本
誘餌文件daily_report.docx檔案原文與翻譯-pic

 

之後的行為就和之前的如出一轍了,在此就不必多費筆墨。

(11).asala-panet-il-music-live-892578923756-mp3

a.樣本資訊
樣本資訊 asala-panet-il-music-live-892578923756-mp3(Asala Panet現場音樂)
樣本MD5 1eb1923e959490ee9f67687c7faec697
樣本SHA-1 65863efc790790cc5423e680cacd496a2b4a6c60
樣本SHA-256 b42d3deab6932e04d6a3fb059348e608f68464a6cdc1440518c1c5e66f937694
樣本型別 Win32 EXE GUI程式
樣本大小 2.47 MB (2592256 bytes)
編寫語言 Pascal
編譯器資訊 Free Pascal Compiler v.3.0.4 [2019/10/27] for i386
時間戳 1970/1/1 1:00 (100%造假)
最初上傳時間 2020-02-26 06:53:36
 

pic z15.png

b.樣本分析

通過FindResource函式查詢資源MYDATA,通過下圖我們可以看出該資源是一個unknown檔案

 

FindResource函式查詢資源MYDATA-pic

 

通過CreateFile函式將檔案源資料寫入%Temp%\asala.mp3(誘餌檔案)中
通過CreateFile函式將檔案源資料寫入asala.mp3-pic

 

通過ShellExecute函式將%Temp%\asala.mp3開啟
開啟asala.mp3.mp4-pic

 

歌曲挺好聽的,但是我們也不知道啥意思,將其歸屬於未知類題材樣本

 

之後的行為就和之前的如出一轍了,在此就不必多費筆墨。

(12).artisan-video-5625572889047205-9356297846-mp4

a.樣本資訊
樣本資訊 artisan-video-5625572889047205-9356297846-mp4(工匠視訊)
樣本MD5 4d9b6b0e7670dd5919b188cb71d478c0
樣本SHA-1 599cf23db2f4d3aa3e19d28c40b3605772582cae
樣本SHA-256 83e0db0fa3feaf911a18c1e2076cc40ba17a185e61623a9759991deeca551d8b
樣本型別 Win32 EXE GUI程式
樣本大小 2.09 MB (2187264 bytes)
編寫語言 Pascal
編譯器資訊 Free Pascal Compiler v.3.0.4 [2019/10/27] for i386
時間戳 1970/1/1 1:00 (100%造假)
最初上傳時間 2019-12-11 19:25:41
 

pic z16.png

b.樣本分析

通過FindResource函式查詢資源MYDATA,通過下圖我們可以看出該資源是一個unknown檔案

 

FindResource函式查詢資源MYDATA-pic

 

通過CreateFile函式將檔案源資料寫入%Temp%\artisan-errors.mp4(誘餌檔案)中
通過CreateFile函式將檔案源資料寫入artisan-errors.mp4-pic

 

通過ShellExecute函式將%Temp%\artisan-errors.mp4開啟
開啟artisan-errors.mp4-pic

 

該樣本偽裝成視訊丟失的404訊號,沒有實際參考價值,故歸入未知類題材樣本
誘餌檔案artisan-errors.mp4內容-pic

 

之後的行為就和之前的如出一轍了,在此就不必多費筆墨。

(13).السيرة الذاتية منال1

a.樣本資訊
樣本資訊 السيرة الذاتية منال1(傳記手冊1)
樣本MD5 817861fce29bac3b28f06615b4f1803f
樣本SHA-1 817394d48cbb3cdc008080b92a11d8567085b189
樣本SHA-256 4a6d1b686873158a1eb088a2756daf2882bef4f5ffc7af370859b6f87c08840f
樣本型別 MS Word 文件 帶有惡意巨集
樣本大小 71.50 KB (73216 bytes)
樣本創造時間 2020-02-02 12:26:00
最後儲存時間 2020-02-02 12:26:00
最初上傳時間 2020-02-02 12:52:19
 

pic z17.png

b.樣本分析

其誘餌內容關於在東耶路撒冷(巴勒斯坦)的阿布迪斯大學祕書,屬於大學科研類題材的誘餌文件
樣本السيرة الذاتية منال1.doc原文翻譯-pic
同時其包含的惡意巨集程式碼如圖所示,由於我們並沒有能成功獲得下一步的載荷,故沒法進行下一步的分析。不過推測其大致功能應該與上文相同
惡意巨集程式碼-pic

三.組織關聯與技術演進

在本次活動中,我們可以清晰的看到雙尾蠍APT組織的攻擊手段,同時Gcow安全團隊追影小組也對其進行了一定的組織關聯,並且對其技術的演進做了一定的研究。下面我們將分為組織關聯技術演進這兩部分內容進行詳細的敘述。

 

注意:下文中的時間段僅僅為參考值,並非準確時間。由於在這一時間段內該類樣本較多,故此分類。

1.組織關聯

(1).樣本執行流程基本相似

我們根據對比了從20172020年所有疑似屬於雙尾蠍APT組織的樣本,(注意:這裡比對的樣本主要是windows平臺的可執行檔案樣本).在2017年到2019年的樣本中我們可以看出其先在臨時資料夾下釋放誘餌檔案,再開啟迷惑受害者,再將自身拷貝到%ProgramData%下.建立指向%ProgramData%下的自拷貝惡意檔案的快捷方式於自啟動資料夾.本次活動與20182019年的活動所使用樣本的流程極為相似.如下圖所示.故判斷為該活動屬於雙尾蠍 APT組織。

 

本次活動的樣本流程與2017——2019年雙尾蠍APT組織活動所使用的流程相似-pic

(2).C&C中存在名人姓名的痕跡

根據checkpoint的報告我們得知,該組織樂於使用一些明星或者名人的名字在其C&C伺服器上.左圖是checkpoint安全廠商揭露其針對以色列士兵的活動的報告原文,我們可以看到其中含有Jim Morrison,Eliza Dollittle,Gretchen Bleiler等名字.而右圖在帶有惡意巨集文件的樣本中,我們發現了其帶有Minkowski這個字元.通過搜尋我們發現其來源於Hermann Minkowski名字的一部分,勉強地符合了雙尾蠍APT組織的特徵之一.

 

2.技術演進

(1).在編寫語言上的演進

根據360的報告我們可以得知雙尾蠍APT組織在2016年到2017年這段時間內該組織主要採用了VC去編寫載荷.再到2017年到2018年這段時間內該組織主要是以Delphi來編寫其偵查者(Recon),根據Gcow安全團隊追影小組的跟蹤,該組織在2018年到2019年這段時間內也使用了Delphi編寫的惡意載荷。與2017年到2018年不同的是:2017年到2018年所採用的編譯器資訊是:Borland Delphi 2014XE6。而在2018年到2019年這個時間段內採用的編輯器資訊是:Borland Delphi 2014XE7-S.10。同時在本次活動中該組織使用Pascal語言來編寫載荷。可見該組織一直在不斷尋求一些受眾面現在越來越小的語言以逃脫殺軟對其的監測。

 

載荷編寫語言的演進-pic

(2).編譯時間戳的演進

根據360的報告我們可以得知雙尾蠍APT組織在2016年到2018年這個時間段中,該組織所使用的惡意載荷的時間戳資訊大部分時間集中位於北京的下午以及第二天的凌晨,屬於中東地區的時間。而在20197月份捕獲的雙尾蠍APT組織樣本中該組織的編譯戳為2019.7.14 11:08:48而在本次活動所捕獲的樣本中我們發現該組織將編譯時間戳統一改為:1970.1.1 1:00,也就是置0.通過偽造時間戳以阻斷安全人員的關聯以及對其的地域判斷

 

編譯時間戳的演進-pic

(3).自拷貝方式的演進

雙尾蠍APT組織在2017年到2019年的活動中,擅長使用copy命令將自身拷貝到%ProgramData%下.而可能由於copy指令的敏感或者已經被各大安全廠商識別。在20197月份的時候.該組織恢復了之前採用CopyFilewindows API函式的方式將自身拷貝到%ProgramData%

 

自拷貝手法的演進-pic

(4).持久化方式的演進

根據360的報告,我們可以得知雙尾蠍APT組織在2016年到2017年的活動之中,主要採用的是修改登錄檔新增啟動項的方式進行許可權的持久化存在。而根據追影小組的捕獲的樣本,我們發現在2017年到2018年的這段時間內該組織使用擁有白名單Shortcut.exe通過命令列的方式在自啟動資料夾中新增指向自拷貝後的惡意檔案的快捷方式。而在本次活動中,該組織則採用呼叫CreateFile Windows API函式的方式在自啟動資料夾中建立指向自拷貝後惡意檔案的快捷方式以完成持久化存在

 

持久化方式的演進-pic

(5).C&C報文的演進

為了對比的方便,我們只對比雙尾蠍APT組織2018年到2019年的上半年的活動與本次活動的C&C報文的區別。如圖所示下圖的左上是本次活動的樣本的C&C報文,右下角的是2018年到2019年上半年活動的樣本的C&C報文。通過下面所給出的解密我們可以得知兩個樣本所向C&C收集併傳送的資訊基本相同。同時值得注意的是該組織逐漸減少明文的直接傳送收集到的注意而開始採用比較常見的通過Base64的方式編碼後在傳送。同時在ver版本中我們發現:2018年到2019年上半年的樣本的後門版本號為:1.4.2.MUSv1107(推測是2018.11.07更新的後門);而在本次活動中後門版本號為:5.HXD.zz.1201(推測是2019.12.01號更新的後門),由此可見該組織正在隨著披露的增加而不斷的進行後門的更迭。

 

四.總結

1.概述

Gcow安全團隊追影小組針對雙尾蠍APT組織此次針對巴勒斯坦的活動進行了詳細的分析並且通過繪製了一幅樣本執行的流程圖方便各位看官的理解

 

雙尾蠍本次活動樣本流程圖-pic

 

該組織擁有很強的攻擊能力,其載荷涵蓋較廣(Windows和Android平臺).並且在被以色列進行導彈物理打擊後快速恢復其攻擊能力.對巴勒斯坦地區進行了一波較為猛烈的攻勢,同時我們繪製了一幅本次活動之中樣本與C&C的關係圖

 

 

通過之前的分析我們發現了該組織擁有很強的技術對抗能力,並且其投放的樣本一直圍繞著與巴勒斯坦以色列的敏感話題進行投放,我們對其話題關鍵字做了統計,方便各位看官瞭解

 

雙尾蠍本次活動所投放樣本的話題關鍵字柱狀圖統計-pic

2.處置方案:

刪除檔案

%TEMP%\*.pdf(*.mp3,*.mp4,*.rar,*.doc)  [誘餌文件]
%ProgramData%\SyncDownOptzHostProc.exe [偵查者主體檔案]
%ProgramData%\IntegratedOffice.exe[偵查者主體檔案]
%ProgramData%\Microsoft\Windows\Start Menu\Programs\Startup\SyncDownOptzHostProc.lnk 
[指向偵查者主體檔案的快捷方式用於許可權維持]
%ProgramData%\GUID.bin [標記感染]

3.結語

通過本次分析報告,我們相信一定給各位看官提供了一個更加充分了解該組織的機會.我們在前面分析了該組織的技術特點以及對該組織實施攻擊的攻擊手法的演進進行了詳細的概述。同時在後面的部分我們也會貼出該組織最新活動所使用樣本的IOCs供給各位感興趣的看官交流與學習.同時我們希望各位看官如果有其他的意見歡迎向我們提出.

五.IOCs:

MD5:

樣本MD5 樣本檔名
a7cf4df8315c62dbebfbfea7553ef749 Meeting Agenda_pdf.exe
91f83b03651bb4d1c0a40e29fc2c92a1 Employee-entitlements-2020.doc
09cd0da3fb00692e714e251bb3ee6342 Congratulations_Jan-7_78348966_pdf.exe
9bc9765f2ed702514f7b14bcf23a79c 7تقرير حول أهم المستجدات_347678363764.exe
3296b51479c7540331233f47ed7c38dd Define the Internet in government institutions_pdf.exe
e8effd3ad2069ff8ff6344b85fc12dd6 integratedoffice.exe
90cdf5ab3b741330e5424061c7e4b2e2 final_meeting_9659836_299283789235_rar.exe
8d50262448d0c174fc30c02e20ca55ff Scholarships in Serbia 2019-2020_pdf.exe
817861fce29bac3b28f06615b4f1803f السيرة الذاتية منال1.doc
edc3b146a5103051b39967246823ca09 Directory of Government Services_pdf.exe
20d21c75b92be3cfcd5f69a3ef1deed2 Internet in government_984747457_489376.exe
4d9b6b0e7670dd5919b188cb71d478c0 artisan-video-5625572889047205-9356297846-mp4.exe
9bb70dfa2e39be46278fb19764a6149a entelaqa_hamas_32_1412_847403867_rar.exe
1eb1923e959490ee9f67687c7faec697 asala-panet-il-music-live-892578923756-mp3.exe
46871f3082e2d33f25111a46dfafd0a6 Brochure-Jerusalem_26082019_pdf.exe

URL:

http[:]//linda-callaghan[.]icu/Minkowski/brown

 

http[:]//linda-callaghan[.]icu/Minkowski/microsoft/utilities

 

http[:]//nicoledotson[.]icu/debby/weatherford/yortysnr

 

http[:]//nicoledotson[.]icu/debby/weatherford/Zavantazhyty

 

http[:]//nicoledotson[.]icu/debby/weatherford/Ekspertyza

 

http[:]//nicoledotson[.]icu/debby/weatherford/Vydalyty

 

http[:]//nicoledotson[.]icu/debby/weatherford/pidnimit

C2:

linda-callaghan[.]icu

 

nicoledotson[.]icu

釋放檔案:

%TEMP%\ *.pdf(*.mp3,*.mp4,*.rar,*.doc)

 

%ProgramData%\SyncDownOptzHostProc.exe

 

%ProgramData%\Microsoft\Windows\Start Menu\Programs\Startup\SyncDownOptzHostProc.lnk

 

%ProgramData%\GUID.bin

 

%ProgramData%\IntegratedOffice.exe

六.相關連結:

https://www.freebuf.com/articles/system/129223.html

 

https://research.checkpoint.com/2020/hamas-android-malware-on-idf-soldiers-this-is-how-it-happened/

 

https://mp.weixin.qq.com/s/Rfcr-YPIoUUvc89WFrdrnwe

 

關注公眾號:Gcow安全團隊,後臺回覆:APT-C-23 獲取本文的pdf

相關文章