
活动1
广告系列1以网络钓鱼电子邮件开头,该电子邮件包含指向恶意PE(可执行)文件的链接。该PE文件在资源部分中嵌入了两个ZIP文件和一个DOC文件。

广告活动2
广告系列2以包含DOC文件作为附件的鱼叉式网络钓鱼电子邮件开头。DOC文件具有嵌入式恶意宏。打开DOC文件会显示一个空白页,但是在启用宏后,它将执行RAT有效负载并加载干净的Resume / CV文件。 图5:DOC宏 类似于Campaign 1,两个PE文件存储在UserForm1的“文本框”的值中。根据受害者系统的OS版本,它将Crimson RAT有效负载放置在 C:\ ProgramData \ Hblondas \ rihndimrva.exe 并执行。
Commands | Descriptions |
---|---|
getavs | List of running processes |
thumb | Get 200x150 thumbnail of image |
filsz | Get the file meta info |
rupth | Get the malware's run path |
dowf | Get file from C&C and save on disk |
endpo | Kill a process by PID |
scrsz | Get the screen size |
cscreen | Get single screenshot |
dirs | List the drive info |
stops | Stop screen capturing |
scren | Capture screen continuously |
cnls | Stop upload, download & screen capture |
udlt | Download a payload from C&C, save & execute it |
delt | Delete provided file |
afile | Upload file with meta info to C&C |
listf | Search for given extension files |
file | Upload a file to C&C |
info | Send machine info |
runf | Execute a command |
fles | List files in a directory |
dowr | Get file from C&C and execute |
fldr | List folders in a directory |




覆盖范围
Zscaler Cloud Sandbox服务已成功阻止此攻击中观察到的指标。

结论
威胁参与者继续在各种有针对性的攻击中使用RAT来窃取受害者的数据。在这种情况下,攻击目标是一家印度金融机构,其中包含包含恶意DOC文件或恶意可执行文件的鱼叉式网络钓鱼电子邮件,攻击中掉落的有效负载为Crimson RAT。我们始终建议用户避免执行电子邮件中附加的文件,并禁用Word文档的宏。另外,由于Crimson RAT的C&C通信不是典型的HTTP通信,因此我们建议使用功能强大的出站防火墙和IPS来防止数据泄露。 IOCs URLs: cloudsbox[.]net/files/sonam karwati.exe cloudsbox[.]net/sonam11 cloudsbox[.]net/files/preet.doc 181.215.47[.]169:3368 181.215.47[.]169:6728 181.215.47[.]169:15418 181.215.47[.]169:8822 181.215.47[.]169:13618 Hashes: 1BBAB11B9548C5E724217E506EAB2056 (sonam karwati.exe) 66DA058E5FE7C814620E8AF54D6ADB96 (brwmarivas7.zip) D62156FA2C5BFFDC63F0975C5482EAB6 (brwmarivas7.exe) 63BA59C20E141E635587F550B46C02CD (brwmarivas8.zip) 88309987F49955F88CCF4F92CFBA6CD7 (brwmarivas8.exe) 5BF97A6CB64AE6FD48D6C5D849BE8983 (rihndimrva.doc) CBFAE579A25DF1E2FE0E02934EFD65DC (sonam.doc) 3952EBEDF24716728B7355B8BE8E71B6 (preet.doc)未经允许不得转载:x-sec » APT组织Operation Transparent Tribe攻击印度金融机构,以Crimson RAT窃取敏感数据