TransparentTribe APT組織最新樣本分析報告

TransparentTribe APT組織，又稱ProjectM、C-Major，是一個來自巴基斯坦的APT攻擊組織，主要通過魚叉式釣魚郵件對特定國家政府、軍事目標發起攻擊，該組織活動最早可以追溯到2012年，並於2016年被proofpoint首次披露，此前深信服安全團隊首發布過一篇《來自TransparentTribe APT組織的竊密》的報告，近期又獲取到一例TransparentTribe APT組織的最新變種樣本，此樣本的誘餌文件為日曆型電子表格，通過執行表格中巨集程式碼釋放惡意程式，竊取受害者主機的敏感資訊

樣本執行整體流程圖，如下：

分析誘餌文件檔案

1.開啟誘餌表格文件，如下所示：

2.文件裡面包含惡意的巨集程式碼，執行巨集程式碼，表格文件如下所示：

惡意巨集程式碼會釋放惡意程式到相應的目錄並執行,程式資訊如下所示：

釋放的惡意程式目錄，如下所示：

3.表格中包含的惡意巨集程式碼，如下所示：

動態除錯巨集程式碼，首先會解密出相應的惡意檔案路徑目錄字串，然後讀取視窗中的資料寫入生成的惡意檔案中，如下所示：

窗體的資料，如下所示：

解壓相應的資料壓縮包檔案，並呼叫生成的惡意檔案，如下所示：

解壓drivertoolkit.zip檔案，如下所示：

分析drivertoolkit.tmp檔案

1.判斷系統是否存在如下程式，如果存在則退出，如下所示：

檢測的程式列表：

python.exe、fiddler.exe、virtualBox.exe、VBoxService.exe、bitcoin-qt.exe

dotPeek.exe、dotPeek64.exe、jetbrains.exe、vmware.exe

2.設定系統自啟動項快捷方式，如下所示：

快捷方式用於啟動C:\ProgramData\twainResolver\twainResolver.scr程式，如下所示：

3.讀取檔案中的資料，生成惡意檔案C:\ProgramData\twainResolver\twainResolver.scr，如下所示：

4.最後啟動惡意程式C:\ProgramData\twainResolver\twainResolver.scr,如下所示：

分析twainResolver.scr檔案

1.收集主機上的程式資訊，上傳到遠端伺服器，如下所示：

捕獲到的流量資料包，如下所示：

傳輸的資料，如下：

2.由於遠端伺服器失效了，上傳資料失敗，無法返回相應的資料，如下所示：

3.由於返回的資料為空，所以無法從遠端服器下載相應的惡意程式，程式直接退出，如下所示：

猜測會下載一個RAT遠控類程式，但已失效，無法獲取到該RAT程式，進行下一步的分析，大多數的APT攻擊組織主要目標是為了竊密，在執行的最後一般會釋放一個RAT類的惡意程式控制受害者機器，並從受害者機器上獲取有價值的資訊.

IOC

MD5:

39AE6F1FD36C08E8199A9725906A9F0A  Social_Calendar.xls

A579D7CF970B388558AA257CD84DCF52  drivertoolkit.tmp

BE399F59585A6167D0404CC76DF2FAF8  drivertoolkit.zip

D7FFFB36D22A36D9757CCC8FFA032D31  twainResolver.scr

C&C:

198.54.119.174

URL:

hxxp://isroddp.com/rEmt1t_pE7o_pe0Ry/hipto.php

PDB:

C:\Users\Carlos\source\repos\drivertoolkit\Release\drivertoolkit.pdb