APT组织Operation Transparent Tribe攻击印度金融机构,以Crimson RAT窃取敏感数据

在2016年,Crimson RAT成为头条新闻,因为它被用来对付印度外交和军事资源,进行高级持续威胁(APT)攻击,称为  “透明部落行动”。 从那时起,Crimson RAT受到威胁参与者的青睐,对金融,医疗保健和太空技术领域的组织进行有针对性的攻击。最近的一篇博客文章  描述了APT36小组如何利用冠状病毒爆发诱使用户打开虚假的健康建议,该建议一经执行,便用Crimson RAT感染了他们的设备。我们在日志中观察到了类似的影响印度金融机构的策略。 攻击链以鱼叉式网络钓鱼电子邮件开头,该电子邮件被发送到目标实体并包含恶意附件。在此特定活动中,我们怀疑鱼叉式网络钓鱼电子邮件可能以两种方式发送给目标组织。图1显示了此攻击中使用的两个可疑感染链。在此博客的上下文中,我们将这两个感染链标识为单独的活动。
广告活动概述
图1:活动概述

活动1

广告系列1以网络钓鱼电子邮件开头,该电子邮件包含指向恶意PE(可执行)文件的链接。该PE文件在资源部分中嵌入了两个ZIP文件和一个DOC文件。
嵌入式资源
图2:嵌入式资源 资源 中的有效负载: brwmarivas7 – 有效负载的32位版本brwmarivas8 – 有效负载的rihndimrva的64位版本 –干净的DOC文件 在执行时,恶意附件首先检查系统的OS版本,然后根据结果删除存储在资源中的有效负载的32位或64位版本。 检查操作系统类型 图3:根据操作系统类型丢弃有效载荷 将ZIP有效负载放置在C:\ ProgramData \ Bhoithas \ dhdxcia.zip中,然后将ZIP文件提取到名称为brwmarivas.exe的同一目录中  然后执行该文件,从而产生Crimson RAT。 执行RAT有效负载后,会将CV文档放入名称为sonam karwati_01.docx的“文档”目录中, 然后执行该文件。此文件是资源中名称为rihndimrva的文件的副本。 图4:清理简历文件

广告活动2

广告系列2以包含DOC文件作为附件的鱼叉式网络钓鱼电子邮件开头。DOC文件具有嵌入式恶意宏。打开DOC文件会显示一个空白页,但是在启用宏后,它将执行RAT有效负载并加载干净的Resume / CV文件。 图5:DOC宏 类似于Campaign 1,两个PE文件存储在UserForm1的“文本框”的值中。根据受害者系统的OS版本,它将Crimson RAT有效负载放置在  C:\ ProgramData \ Hblondas \ rihndimrva.exe  并执行。
文本框对象中带分隔符的PE文件
图6:Textbox对象中的定界PE文件 执行RAT有效负载后,它会加载活动1中提到的相同的简历配置文件。 Crimson RAT具有提取文件和系统数据并将其通过非Web通道传输到其命令和控制(C&C)服务器的功能。RAT具有捕获屏幕和终止任何正在运行的进程的能力。它从其C&C服务器下载其他模块有效载荷,以执行键盘记录和窃取浏览器凭据。 此版本的Crimson RAT中支持的C&C命令:
Commands Descriptions
getavs List of running processes
thumb Get 200x150 thumbnail of image
filsz Get the file meta info
rupth Get the malware's run path
dowf Get file from C&C and save on disk
endpo Kill a process by PID
scrsz Get the screen size
cscreen Get single screenshot
dirs List the drive info
stops Stop screen capturing
scren Capture screen continuously
cnls Stop upload, download & screen capture
udlt Download a payload from C&C, save & execute it
delt Delete provided file
afile Upload file with meta info to C&C
listf Search for given extension files
file Upload a file to C&C
info Send machine info
runf Execute a command
fles List files in a directory
dowr Get file from C&C and execute
fldr List folders in a directory
RAT commands
图7:RAT命令 它从C&C服务器接收命令,执行所需的活动,然后将结果发送回C&C服务器。
RAT方法
图8:基于命令执行的方法 此RAT具有带有五个预定义端口(3368、6728、15418、8822、13618)的C&C服务器的硬编码IP地址。它尝试通过每个端口一个一个地连接到IP。成功连接后,它将从C&C服务器读取命令并执行该活动。
RAT IP配置
图9:IP配置 RAT使用自定义协议进行C&C通信。每个请求和响应都以命令或数据的大小开始,该大小为5个字节。
TCP通讯
图10:深红色RAT TCP通信

覆盖范围

Zscaler Cloud Sandbox服务已成功阻止此攻击中观察到的指标。
Campaign-1 PE文件的Zscaler沙箱报告
图11:Campaign 1 PE文件的Zscaler Cloud Sandbox报告
Campaign-2 Doc文件的Zscaler沙箱报告
图12:Campaign 2 DOC文件的Zscaler Cloud Sandbox报告 除了检测沙箱外,Zscaler的分层云安全解决方案还可以检测各个级别的指标。以下威胁ID是Cloud IPS签名,可用于检测Crimson RAT C&C流量。 Win32.Backdoor.CrimsonRat5000235 5000233 5000232

结论

威胁参与者继续在各种有针对性的攻击中使用RAT来窃取受害者的数据。在这种情况下,攻击目标是一家印度金融机构,其中包含包含恶意DOC文件或恶意可执行文件的鱼叉式网络钓鱼电子邮件,攻击中掉落的有效负载为Crimson RAT。我们始终建议用户避免执行电子邮件中附加的文件,并禁用Word文档的宏。另外,由于Crimson RAT的C&C通信不是典型的HTTP通信,因此我们建议使用功能强大的出站防火墙和IPS来防止数据泄露。 IOCs URLs: cloudsbox[.]net/files/sonam karwati.exe cloudsbox[.]net/sonam11 cloudsbox[.]net/files/preet.doc 181.215.47[.]169:3368 181.215.47[.]169:6728 181.215.47[.]169:15418 181.215.47[.]169:8822  181.215.47[.]169:13618 Hashes: 1BBAB11B9548C5E724217E506EAB2056 (sonam karwati.exe) 66DA058E5FE7C814620E8AF54D6ADB96 (brwmarivas7.zip) D62156FA2C5BFFDC63F0975C5482EAB6 (brwmarivas7.exe) 63BA59C20E141E635587F550B46C02CD (brwmarivas8.zip) 88309987F49955F88CCF4F92CFBA6CD7 (brwmarivas8.exe) 5BF97A6CB64AE6FD48D6C5D849BE8983 (rihndimrva.doc) CBFAE579A25DF1E2FE0E02934EFD65DC (sonam.doc) 3952EBEDF24716728B7355B8BE8E71B6 (preet.doc)
0 0 vote
Article Rating

未经允许不得转载:x-sec » APT组织Operation Transparent Tribe攻击印度金融机构,以Crimson RAT窃取敏感数据

赞 (0) 打赏

This site uses Akismet to reduce spam. Learn how your comment data is processed.

0 Comments
Inline Feedbacks
View all comments

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

0
Would love your thoughts, please comment.x
()
x