x-sec
活动1
广告系列1以网络钓鱼电子邮件开头,该电子邮件包含指向恶意PE(可执行)文件的链接。该PE文件在资源部分中嵌入了两个ZIP文件和一个DOC文件。
图3:根据操作系统类型丢弃有效载荷
将ZIP有效负载放置在C:\ ProgramData \ Bhoithas \ dhdxcia.zip中,然后将ZIP文件提取到名称为brwmarivas.exe的同一目录中, 然后执行该文件,从而产生Crimson RAT。
执行RAT有效负载后,会将CV文档放入名称为sonam karwati_01.docx的“文档”目录中, 然后执行该文件。此文件是资源中名称为rihndimrva的文件的副本。
图4:清理简历文件
广告活动2
广告系列2以包含DOC文件作为附件的鱼叉式网络钓鱼电子邮件开头。DOC文件具有嵌入式恶意宏。打开DOC文件会显示一个空白页,但是在启用宏后,它将执行RAT有效负载并加载干净的Resume / CV文件。 图5:DOC宏 类似于Campaign 1,两个PE文件存储在UserForm1的“文本框”的值中。根据受害者系统的OS版本,它将Crimson RAT有效负载放置在 C:\ ProgramData \ Hblondas \ rihndimrva.exe 并执行。
| Commands | Descriptions |
|---|---|
| getavs | List of running processes |
| thumb | Get 200x150 thumbnail of image |
| filsz | Get the file meta info |
| rupth | Get the malware's run path |
| dowf | Get file from C&C and save on disk |
| endpo | Kill a process by PID |
| scrsz | Get the screen size |
| cscreen | Get single screenshot |
| dirs | List the drive info |
| stops | Stop screen capturing |
| scren | Capture screen continuously |
| cnls | Stop upload, download & screen capture |
| udlt | Download a payload from C&C, save & execute it |
| delt | Delete provided file |
| afile | Upload file with meta info to C&C |
| listf | Search for given extension files |
| file | Upload a file to C&C |
| info | Send machine info |
| runf | Execute a command |
| fles | List files in a directory |
| dowr | Get file from C&C and execute |
| fldr | List folders in a directory |
覆盖范围
Zscaler Cloud Sandbox服务已成功阻止此攻击中观察到的指标。
结论
威胁参与者继续在各种有针对性的攻击中使用RAT来窃取受害者的数据。在这种情况下,攻击目标是一家印度金融机构,其中包含包含恶意DOC文件或恶意可执行文件的鱼叉式网络钓鱼电子邮件,攻击中掉落的有效负载为Crimson RAT。我们始终建议用户避免执行电子邮件中附加的文件,并禁用Word文档的宏。另外,由于Crimson RAT的C&C通信不是典型的HTTP通信,因此我们建议使用功能强大的出站防火墙和IPS来防止数据泄露。 IOCs URLs: cloudsbox[.]net/files/sonam karwati.exe cloudsbox[.]net/sonam11 cloudsbox[.]net/files/preet.doc 181.215.47[.]169:3368 181.215.47[.]169:6728 181.215.47[.]169:15418 181.215.47[.]169:8822 181.215.47[.]169:13618 Hashes: 1BBAB11B9548C5E724217E506EAB2056 (sonam karwati.exe) 66DA058E5FE7C814620E8AF54D6ADB96 (brwmarivas7.zip) D62156FA2C5BFFDC63F0975C5482EAB6 (brwmarivas7.exe) 63BA59C20E141E635587F550B46C02CD (brwmarivas8.zip) 88309987F49955F88CCF4F92CFBA6CD7 (brwmarivas8.exe) 5BF97A6CB64AE6FD48D6C5D849BE8983 (rihndimrva.doc) CBFAE579A25DF1E2FE0E02934EFD65DC (sonam.doc) 3952EBEDF24716728B7355B8BE8E71B6 (preet.doc)未经允许不得转载:x-sec » APT组织Operation Transparent Tribe攻击印度金融机构,以Crimson RAT窃取敏感数据
