TransparentTribe APT組織,又稱ProjectM、C-Major,是一個來自巴基斯坦的APT攻擊組織,主要通過魚叉式釣魚郵件對特定國家政府、軍事目標發起攻擊,該組織活動最早可以追溯到2012年,並於2016年被proofpoint首次披露,此前深信服安全團隊首發布過一篇《來自TransparentTribe APT組織的竊密》的報告,近期又獲取到一例TransparentTribe APT組織的最新變種樣本,此樣本的誘餌文件為日曆型電子表格,通過執行表格中巨集程式碼釋放惡意程式,竊取受害者主機的敏感資訊
樣本執行整體流程圖,如下:
分析誘餌文件檔案
1.開啟誘餌表格文件,如下所示:
2.文件裡面包含惡意的巨集程式碼,執行巨集程式碼,表格文件如下所示:
惡意巨集程式碼會釋放惡意程式到相應的目錄並執行,程式資訊如下所示:
釋放的惡意程式目錄,如下所示:
3.表格中包含的惡意巨集程式碼,如下所示:
動態除錯巨集程式碼,首先會解密出相應的惡意檔案路徑目錄字串,然後讀取視窗中的資料寫入生成的惡意檔案中,如下所示:
窗體的資料,如下所示:
解壓相應的資料壓縮包檔案,並呼叫生成的惡意檔案,如下所示:
解壓drivertoolkit.zip檔案,如下所示:
分析drivertoolkit.tmp檔案
1.判斷系統是否存在如下程式,如果存在則退出,如下所示:
檢測的程式列表:
python.exe、fiddler.exe、virtualBox.exe、VBoxService.exe、bitcoin-qt.exe
dotPeek.exe、dotPeek64.exe、jetbrains.exe、vmware.exe
2.設定系統自啟動項快捷方式,如下所示:
快捷方式用於啟動C:\ProgramData\twainResolver\twainResolver.scr程式,如下所示:
3.讀取檔案中的資料,生成惡意檔案C:\ProgramData\twainResolver\twainResolver.scr,如下所示:
4.最後啟動惡意程式C:\ProgramData\twainResolver\twainResolver.scr,如下所示:
分析twainResolver.scr檔案
1.收集主機上的程式資訊,上傳到遠端伺服器,如下所示:
捕獲到的流量資料包,如下所示:
傳輸的資料,如下:
2.由於遠端伺服器失效了,上傳資料失敗,無法返回相應的資料,如下所示:
3.由於返回的資料為空,所以無法從遠端服器下載相應的惡意程式,程式直接退出,如下所示:
猜測會下載一個RAT遠控類程式,但已失效,無法獲取到該RAT程式,進行下一步的分析,大多數的APT攻擊組織主要目標是為了竊密,在執行的最後一般會釋放一個RAT類的惡意程式控制受害者機器,並從受害者機器上獲取有價值的資訊.
IOC
MD5:
39AE6F1FD36C08E8199A9725906A9F0A Social_Calendar.xls
A579D7CF970B388558AA257CD84DCF52 drivertoolkit.tmp
BE399F59585A6167D0404CC76DF2FAF8 drivertoolkit.zip
D7FFFB36D22A36D9757CCC8FFA032D31 twainResolver.scr
C&C:
198.54.119.174
URL:
hxxp://isroddp.com/rEmt1t_pE7o_pe0Ry/hipto.php
PDB:
C:\Users\Carlos\source\repos\drivertoolkit\Release\drivertoolkit.pdb