蛇從暗黑中襲來——響尾蛇(SideWinder) APT組織2020年上半年活動總結報告

注意事項:
1.本報告由追影小組原創,未經許可禁止轉載
2.本文一共3245字,36張圖,預計閱讀時間8分鐘
3.本文涉及的敏感內容皆以打碼,並且不公開C2和hash.所造成的惡劣影響與本公眾號和本團隊無關

0x00.前言:

響尾蛇(又稱SideWinder，T-APT-04)是一個背景可能來源於印度的 APT 組織，該組織此前已對巴基斯坦和東南亞各國發起過多次攻擊， 該組織以竊取政府， 能源， 軍事， 礦產等領域的機密資訊為主要目的。

在今年年初的時候，Gcow安全團隊的追影小組釋出了關於SiderWinder APT組織的報告——《遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結》。本小組也一直對該小組的活動加以跟蹤。

在2020上半年的活動中該組織的主要目標依然是巴基斯坦，中國，孟加拉國以及其他的東南亞國家，其主要是集中在政府，軍事領域。不過值得注意的是在本次活動也出現了體育比賽方面的話題。同時該組織在針對某重點單位的時候採取的使用釣魚網站的方式竊取相關人員的憑據，目前所發現這種方式主要針對的是與軍事有關的部門。其實該組織也同樣利用關於COVID-19的資訊作為誘餌對中巴的教育機構以及政府機構進行攻擊活動。

從樣本攻擊流程來看，該組織的技術並沒有太多的革新。主要的樣本形式有兩類，第一類為帶有CVE-2017-11882漏洞的RTF(富文字)檔案;另一類為使用mshta.exe執行遠端hta指令碼的LNK檔案。不過該組織在針對我國某所大學的攻擊活動中所採取的載荷較為不同，其採用了CVE-2017-0199漏洞結合CVE-2020-0674漏洞的方式進行攻擊，在後續的內容中我們會詳細的介紹該組織使用的新手法。具體的流程會在後文中以流程圖的形式展現出來。

Gcow安全團隊追影小組初步統計了關於2020年上半年國內外各大廠商以及安全團隊所釋出的披露SideWinder APT組織的相關報告資訊，並把相關報告連結放在了文末的相關連結上(若有不全歡迎私信補充)

根據不完全統計，Gcow安全團隊追影小組還繪製了該組織2020年上半年的攻擊活動脈絡圖。

0x01.樣本分析:

該組織主要投放的樣本型別以LNK檔案為主，RTF檔案為輔。基本在針對每個目標的攻擊活動中，我們都發現其使用兩種載荷交替攻擊的情況。

一.針對巴基斯坦的活動:

下圖為該組織針對巴基斯坦活動所投放的LNK檔案:

其主要透過將lnk檔案放到壓縮包中，以達到繞過郵件閘道器的目的。

其釋放的誘餌檔案如下:

其中這些LNK檔案的引數為%windir%\system32\cftmo.exe {HTA URL}
這裡的cftmo.exe是偽裝的mshta.exe.該組織透過修改sIDList結構以迷惑受害者。

所請求的遠端hta檔案，該組織以自寫的解密演算法取代了之前的硬編碼，不過核心與上一篇文章我們所描述的一樣，在記憶體載入.Net的dll檔案LinkZip.dll

LinkZip.dll被傳入四個引數

   引數1-下一段hta檔案的URL地址
   引數2-上傳殺軟資訊的URL地址
   引數3-base64和Gzip加密後的誘餌文件資料
   引數4-誘餌文件名稱

該LinkZip.dll先解密引數3，再將誘餌文件寫入臨時資料夾，最後執行。就會出現我們提到的那些誘餌的文件，以迷惑受害者。

將引數1的第二階段hta檔案下載下來，存在%temp%\目錄下，利用mshta.exe將其執行起來，若執行不成功將會向引數2反饋在第一階段hta指令碼中收集的殺軟資訊以及其他異常情況。

第二階段hta指令碼同樣是解密後記憶體載入.Net檔案StInstaller.dll

StInstaller.dll被傳入了三個引數

  引數1-加密的duser.dll資料
  引數2-加密的{隨機名}.tmp資料
  引數3-編碼的回鏈C2地址

其先從%windir%\system32\或者%windir%\syswow64\複製rekeywiz.exe到該木馬的指定資料夾下，解密Duser.dll與{隨機名}.tmp，並將其寫入木馬指定的資料夾下，以組成rekeywiz.exe與Duser.dll白加黑組合進行攻擊，並且透過寫登錄檔啟動項的方式將rekeywiz.exe設為自啟動達到許可權維持的效果。

Duser.dll以rekeywiz.exe的側載入執行起來，並且其主要功能是讀取同目錄下的.tmp檔案，並且選取其前32個位元組為異或的秘鑰，解密後面的內容再記憶體載入。

其解密出了最後的Net檔案SystemApp.dll

由於最後的遠控與上篇文章沒有什麼區別，這裡不再贅述。

遠控指令:

為了方便各位看官的理解本團隊特意畫了一張流程圖，方便各位更加直觀地瞭解這個組織的手法。

二.針對孟加拉國的攻擊活動:

本小組發現該組織針對孟加拉國的活動主要模仿了孟加拉國代購商協會對相關單位以及人員進行攻擊活動。

該屬於RTF型別的樣本，主要是利用嵌入的ole物件釋放1.a檔案

1.a檔案類似於上文介紹Lnk載荷中提到的第二階段hta檔案，其在記憶體中解密StInstaller.dll並釋放白加黑組合，後續的白加黑組合也和上文類似，這裡不再贅述。

三.針對中國的攻擊活動:

在本次活動之中，本小組捕獲了針對中國某某重點大學的網路攻擊活動，如下是其使用的檔案誘餌，話題關於2020年春季的疫情防控工作的優秀教師推薦名單。

其利用內建一個frameset元件，ID是rId912.該元件會指向一個遠端的RTF檔案，以此完成遠端遠端模板注入技術，載入遠端模板，這是一種繞過殺軟靜態查殺的好方法。

遠端模板為RTF文件，其內嵌了OLE物件，並且使用了漏洞CVE-2017-0199載入其內建會自動更新的超連結域。

該超連結更新域指向一個hta檔案，hta檔案的解密演算法與上文提到的類似。

不過值得注意的是，該hta檔案的異或解密秘鑰是從網站上獲取的。

若攻擊者需要及時停止攻擊活動只需要撤走相關的秘鑰即可。

其解密的檔案如下所示，經過除錯發現其崩潰點偏移量與雙星漏洞所公開的POC完全相同，均位於jscript+0x1cfbb偏移處.以此確定為雙星0day之一的CVE-2020-0674漏洞的利用，屬於瀏覽器nday漏洞利用範疇。

shellcode主要利用異或演算法自解密再從C2上下載第二段shellcode解密執行後釋放白加黑組合和隨機名稱的tmp檔案以及相容.net環境的配置檔案。修改登錄檔將白名單的exe程式列為開機自啟動。後續的內容就與上文相同，這裡不再贅述。

為方便大家理解，筆者繪製了一張流程圖來展示這個組織利用瀏覽器nday進行攻擊的流程。

除此之外，該組織還針對我國的政府，軍工，外交行業投遞相應的載荷，其主要載荷以lnk檔案與rtf檔案。其執行流程與上文相符。

四.針對未確定地區的攻擊活動:

在對該組織的跟蹤過程中，我們還觀察了該組織利用關於體育比賽的話題進行攻擊的活動。

該組織利用AFC(Asian Football Confederation)**`的話題進行攻擊 其為lnk載荷，具體lnk載荷的執行方式我們已經在上文介紹過了，這裡不再贅述。

AFC(Asian Football Confederation)指的是亞洲足球聯合會可見該組織的攻擊目標集中在亞洲範圍內，比較偏向於南亞，東亞，東南亞地區。

同時我們還監測到了關於其使用亞太科學中心協會ASPAC(Asia Pacific Network of Science and Technology Centres)的名稱為話題誘餌的的攻擊活動。

其所使用的手法與上文類似，這裡不再贅述。

0x02.樣本關聯與演進:

從一月份的樣本來看，該組織依舊沿用了rekeywiz.exe與Duser.dll這個白加黑的組合方式，並且使用了讀取同目錄下的帶有隨機名的tmp檔案的前32個位元組當做秘鑰的手法，以解密後面加密的部分。其lnk檔案的偽裝欺騙以及釋放相關誘餌的流程也與去年年末的活動有相似之處。

不過有所不同的是，其在去年的hta檔案中主要使用的編碼方式是base64編碼但在今年的活動中，其使用了自己所自定義編碼方式對文字進行解碼與異或解密。這給殺軟的靜態查殺造成了一定程度的困難。

同時該組織也有一定的漏洞利用能力，比如其利用CVE-2019-2215以及CVE-2020-0674的漏洞，二者在其利用的時候皆屬於nday漏洞範疇。並且從其相關的利用程式碼來看，存在了該組織可能依託於網路軍火商的現象。

比如CVE-2020-0674的漏洞，依據國內安全廠商360以及日本cert所釋出的報告來看，二者的前面所使用的變數宣告以及具體引數是一致的，該一致性也同樣適用於目前洩露的該漏洞的POC中。從此看出第一種可能是SideWinder APT組織擷取了Darkhotel APT組織所使用的漏洞利用程式碼，並以此進行二次的開發。還有一種情況為兩者都依託於某個網路武器的供應商.本小組認為後者的可能性大於前者。

不過以上僅僅為追影小組的一些猜測，如果看官有更多相關的證據，歡迎在評論區指出。

0x03.處置建議與結語

處置建議

刪除C:\ProgramData\下可能存在的疑似的資料夾中，存在rekeywiz.exe，Duser.dll，rekeywiz.exe.config，{隨機名}.tmp

或者透過程式遍歷查詢rekeywiz.exe開啟其路徑是否於%windir%\System32或者%windir%\syswow64下，如果不存在觀察是否存在同目錄下的隨機名tmp檔案，如果存在需要將其清空。

同時找到登錄檔啟動項 刪除目標路徑為rekeywiz.exe的登錄檔鍵值。

另外需要注意的是CVE-2020-0674漏洞在win7上很難打上補丁,由於win7已經停服，請廣大win7使用者務必檢查自己的jscript.dll檔案版本是否小於5.8.9600.19626這個版本，如果是，則處在該漏洞影響的風險中,這裡建議最穩妥的方式就是升級系統.

結語

印度的響尾蛇APT組織是比較活躍的APT組織之一，隨著手法的進步，以及相關的nday漏洞利用，該組織的攻擊水平會越來越高。對我國的政治、經濟、軍事等方面會造成一定影響。同時加強員工的安全意識，進行安全意識培訓，勤打補丁，可以對這種“魚叉”攻擊起到一定的防範作用。

0x04.IOCs

MD5

FEF12D62A3B2FBF1D3BE1F0C71AE393E

69A173DC32E084E7F1E1633526F80CA2

DBB09FD0DA004742CAC805150DBC01CA

2C798C915568B3FD8EE7909C45A43168

865E7C8013537414B97749E7A160A94E

3AD91B31956CE49FE3736C0E7344228D

D7187130CF52199FAE92D7611DC41DAC

B6932A288649B3CEB9A454F808D6EB35

7E461F6366681C5AE24920A31C3CFEC6

C2

nrots[.]net

www.d01fa[.]net

www.fdn-en[.]net

ap-ms[.]net

r0dps[.]net

www-afc[.]chrom3[.]net

cloud-apt[.]net

www.link-cdnl[.]net

kat0x[.]net

www[.]au-edu[.]km01s[.]net

0x05.相關連結:

• https://blog.trendmicro.com/trendlabs-security-intelligence/first-active-attack-exploiting-cve-2019-2215-found-on-google-play-linked-to-sidewinder-apt-group/
• https://mp.weixin.qq.com/s/yxUTG3Qva169-XiYV0pAyQ
• https://mp.weixin.qq.com/s/9LfElDbKCrQX1QzGFISFPw
• https://mp.weixin.qq.com/s/Kb_woHp1miaCgDZyHLHNgA
• https://mp.weixin.qq.com/s/CZrdslzEs4iwlaTzJH7Ubg
• https://bbs.pediy.com/thread-259500.htm
• https://blogs.360.cn/post/apt-c-06_0day.html
• https://blogs.jpcert.or.jp/en/2020/04/ie-firefox-0day.html