多个疑似“摩诃草”团伙来源定向攻击的关联分析

Track-聂风   ·   发表于 2018-08-01 10:44:43   ·   漏洞文章

背景

CiscoTalos研究团队在近期披露了一例针对印度iOS用户的定向攻击活动[1],但原文并没有明确攻击组织相关背景。360威胁情报中心结合内部威胁情报数据和该公开报告中披露的IOC信息,关联到多份公开情报,并发现该事件的攻击组织极有可能就是“摩诃草”组织(又常称为Hangover,Patchwork,DroppingElephant),并且分析了该事件与Bellingcat披露的Bahamut[2]和趋势科技披露的Confucius[3]间的联系。本报告是对相关线索和背景推测的分析说明。

截至我们分析和文档完成时,Cisco Talos研究团队披露了后续分析进展,并同样提及了和Bahamut的关联性[6]。

关联样本分析

360威胁情报中心结合内部的威胁情报数据关联到相关的针对Windows平台和Android平台的恶意代码样本。

Windows平台

Delphi Dropper

我们发现一批Delphi编写的Dropper程序,其中一个样本回连URL地址为http://techwach.com/expendedrange98gh/,该Dropper程序主要收集目标主机信息,并可以下载更多载荷文件并执行。以下为对该类Dropper的分析。

其首先在%userprofile%下创建Docoument目录,然后通过GetSystemInfo或查询注册表信息获取系统版本信息。

image.png

其生成一个随机ID字符串,并写入% userprofile%\Docoument下的eventdriven.dat文件,该字符串用于标识受害主机。

其通过WMI查询获取更多主机信息,包括主机名称,操作系统信息以及安装的安全软件。

image.png

image.png

该Dropper程序在窗体上实现了三个Timer。

image.png

其中一个Timer会向控制服务器发送HTTP请求,其URL为http://digitizet.com/express54354view/

image.png

并且下载下一阶段载荷命令执行。

image.png

另外一个Timer会获取本机信息,包括用户名,主机名,系统版本,安全软件信息,并存储到% userprofile%\Docoument的Detail.log文件。

image.png

其随后上传文件内容到远程URL,docc7686gg154po.php?b=

image.png

加密

Delphi Dropper程序对关键的字符串信息进行加密,其解密算法主要有两种不同形态。

其中一种解密算法使用了硬编码的密钥,如dc67f@#$%hlhsdfg。下图为解密算法的结构视图。

image.png

image.png

Android平台

通过voguextra.com域名可以关联到一个Android样本,其默认界面加载图片URL从voguextra.com域名下加载。

image.png

其会收集包括短信,通讯录等信息,以及外存储路径下的.txt, .db.crypt,.db.crypt8,.db.crypt5,.db.crypt7,.doc,.docx,.xls,.xlsx,.csv,.pdf,.jpeg,.jpg扩展名的文件列表和内容。

解密的上传URL地址如下:

image.png

iOS平台

结合Cisco Talos团队发现的MDM后台地址和开源的mdm-server[5]实现,攻击组织并未修改默认的服务端监听地址,并且扩展了默认的请求连接。

image.png

image.png

访问该MDM后台可以下载描述文件,我们发现其增加了向受害设备推送Telegram等应用的指令。

我们访问的时候,MDM设备注册的请求已经失效,但依然留存了3台iOS设备的日志信息,推测可能为安全研究人员的测试设备。

image.png

攻击来源分析

与”Confucius”的联系

在对线索和攻击来源的深入挖掘过程中,发现其中一个Delphi Dropper程序回连了logstrick.com域名,该域名曾被趋势披露为Confucius使用[3]。

与”摩诃草”的联系

并且同类Delphi Dropper程序还回连了http://ebeijingcn.live/templates地址,该控制域名曾被360威胁情报中心披露的《摩诃草APT组织针对我国敏感机构最新的网络攻击活动分析》分析过[4]。

image.png

与”Bahamut”的联系

通过分析关联到的Android样本,我们发现其与”Bahamut”组织有关,该组织是Bellingcat披露的一个针对中东和南亚地区的APT攻击组织。[3]

image.png

image.png

我们对三个组织的TTP进行简单对比:

结合攻击恶意代码的功能结构的高度相似性,恶意载荷使用的控制域名的重叠,以及TTP的重叠,我们认为三个组织极有可能归属同一攻击组织。

总结

360威胁情报中心结合公开情报和内部威胁情报数据,确定了摩诃草组织(又称Hangover,Patchwork,DroppingElephant)与” Confucius”,” Bahamut”间存在的关联性,并推测Cisco Talos披露的针对印度iOS用户的攻击事件极有可能与摩诃草有关。

IOC

voguextra.com (OSINT)

techwach.com (OSINT)

www.scorpviz.com

digitizet.com

disc4l.com

logstrick.com

qutonium.com

classmunch.com

appswonder.info

conioz.com

pcupdate.ddns.net

windefendr.com

object2d.com

eec26ee59a6fc0f4b7a2a82b13fe6b05(Android)

899720af1cf9413a00f1b1a13f699eda

43e79de28318e2e5f4936ada7d09a4dc

 

*本文作者:360天眼实验室,转载自FreeBuf.COM


打赏我,让我更有动力~

0 条回复   |  直到 2018-8-1 | 1375 次浏览
登录后才可发表内容
返回顶部 投诉反馈

© 2016 - 2024 掌控者 All Rights Reserved.