TransparentTribe APT組織最新樣本分析報告

深信服千里目發表於2019-10-29

TransparentTribe APT組織,又稱ProjectM、C-Major,是一個來自巴基斯坦的APT攻擊組織,主要透過魚叉式釣魚郵件對特定國家政府、軍事目標發起攻擊,該組織活動最早可以追溯到2012年,並於2016年被proofpoint首次披露,此前深信服安全團隊首發布過一篇《來自TransparentTribe APT組織的竊密》的報告,近期又獲取到一例TransparentTribe APT組織的最新變種樣本,此樣本的誘餌文件為日曆型電子表格,透過執行表格中宏程式碼釋放惡意程式,竊取受害者主機的敏感資訊

樣本執行整體流程圖,如下:

TransparentTribe APT組織最新樣本分析報告

分析誘餌文件檔案

1.開啟誘餌表格文件,如下所示:

TransparentTribe APT組織最新樣本分析報告

2.文件裡面包含惡意的宏程式碼,執行宏程式碼,表格文件如下所示:

TransparentTribe APT組織最新樣本分析報告

惡意宏程式碼會釋放惡意程式到相應的目錄並執行,程式資訊如下所示:

TransparentTribe APT組織最新樣本分析報告

釋放的惡意程式目錄,如下所示:

TransparentTribe APT組織最新樣本分析報告

3.表格中包含的惡意宏程式碼,如下所示:

TransparentTribe APT組織最新樣本分析報告

動態除錯宏程式碼,首先會解密出相應的惡意檔案路徑目錄字串,然後讀取視窗中的資料寫入生成的惡意檔案中,如下所示:

TransparentTribe APT組織最新樣本分析報告

窗體的資料,如下所示:

TransparentTribe APT組織最新樣本分析報告

解壓相應的資料壓縮包檔案,並呼叫生成的惡意檔案,如下所示:

TransparentTribe APT組織最新樣本分析報告

解壓drivertoolkit.zip檔案,如下所示:

TransparentTribe APT組織最新樣本分析報告

分析drivertoolkit.tmp檔案

1.判斷系統是否存在如下程式,如果存在則退出,如下所示:

TransparentTribe APT組織最新樣本分析報告

檢測的程式列表:

python.exe、fiddler.exe、virtualBox.exe、VBoxService.exe、bitcoin-qt.exe

dotPeek.exe、dotPeek64.exe、jetbrains.exe、vmware.exe

2.設定系統自啟動項快捷方式,如下所示:

TransparentTribe APT組織最新樣本分析報告

快捷方式用於啟動C:\ProgramData\twainResolver\twainResolver.scr程式,如下所示:

TransparentTribe APT組織最新樣本分析報告

3.讀取檔案中的資料,生成惡意檔案C:\ProgramData\twainResolver\twainResolver.scr,如下所示:

TransparentTribe APT組織最新樣本分析報告

4.最後啟動惡意程式C:\ProgramData\twainResolver\twainResolver.scr,如下所示:

TransparentTribe APT組織最新樣本分析報告

分析twainResolver.scr檔案

1.收集主機上的程式資訊,上傳到遠端伺服器,如下所示:

TransparentTribe APT組織最新樣本分析報告

捕獲到的流量資料包,如下所示:

TransparentTribe APT組織最新樣本分析報告

傳輸的資料,如下:

TransparentTribe APT組織最新樣本分析報告

2.由於遠端伺服器失效了,上傳資料失敗,無法返回相應的資料,如下所示:

TransparentTribe APT組織最新樣本分析報告

3.由於返回的資料為空,所以無法從遠端服器下載相應的惡意程式,程式直接退出,如下所示:

TransparentTribe APT組織最新樣本分析報告

猜測會下載一個RAT遠控類程式,但已失效,無法獲取到該RAT程式,進行下一步的分析,大多數的APT攻擊組織主要目標是為了竊密,在執行的最後一般會釋放一個RAT類的惡意程式控制受害者機器,並從受害者機器上獲取有價值的資訊.

IOC

MD5:

39AE6F1FD36C08E8199A9725906A9F0A  Social_Calendar.xls

A579D7CF970B388558AA257CD84DCF52  drivertoolkit.tmp

BE399F59585A6167D0404CC76DF2FAF8  drivertoolkit.zip

D7FFFB36D22A36D9757CCC8FFA032D31  twainResolver.scr

C&C:

198.54.119.174

URL:

hxxp://isroddp.com/rEmt1t_pE7o_pe0Ry/hipto.php

PDB:

C:\Users\Carlos\source\repos\drivertoolkit\Release\drivertoolkit.pdb

相關文章