响尾蛇(SideWinder)APT组织使用新冠疫情为诱饵的攻击活动分析

2020-04-14 10:03:05腾讯安全威胁情报中心就捕获到了一起响尾蛇(SideWinder)APT组织以新冠疫情为主题针对巴基斯坦军方的攻击活动。响尾蛇(SideWinder)是腾讯安全威胁情报中心最早在2018年披露的APT攻击组织,该组织最早的攻击活动可以追溯到 2012 年。 一、    背景介绍 伴随新冠疫情在全球范围的爆发,疫情的动态资讯成为我们每天必会定接触到的外界信息,在这种大环境下,我们对疫情主题相关的推送信息警惕性会相对变低。而善于浑水摸鱼,披狼皮装羊的APT组织自然不会放过这种增热点的机会,以“新冠疫情”为主题的APT攻击活动从2月份起就持续不断。最近,腾讯安全威胁情报中心就捕获到了一起响尾蛇(SideWinder)APT组织以新冠疫情为主题针对巴基斯坦军方的攻击活动。 响尾蛇(SideWinder)是腾讯安全威胁情报中心最早在2018年披露的APT攻击组织,该组织最早的攻击活动可以追溯到 2012 年。该组织主要针对巴基斯坦、中国大陆的政府、军工、军事目标等进行攻击活动。攻击武器库包括PC端、移动端等。 二、    技术分析 本次攻击的诱饵为一个名为Pak_Army_Deployed_in_Country_in_Fight_Against_Coronavirus.pdf.lnk的快捷方式:
该lnk的基本属性
诱饵的生成时间和其他属性 可以看到攻击者的诱饵生成时间为2019年的6月19日,在vmware虚拟机生成。 执行快捷方式后,会从http://www.d01fa.net/images/D817583E/16364/11542/f2976745/966029e下载hta文件并且执行。 下载回来的hta会对受害设备上的.NET进行版本检测,删除除了V2和V4以外的版本,还通过shell指令指定执行的版本,此外,样本之后释放的的rekeywiz.exe.config配置文件目的与之相同,均为防止不同.NET版本之前出现兼容性问题。
除了对受害设备.NET版本进行版本选择之外,HTA文件还会对设备上的杀软进行检测:
之后,会创建一个HTA实例,通过url下载第二个HTA文件并将之执行,同时释放命名为“Pak_Army_Deployed_in_Country_in_Fight_Against_Coronavirus.pdf”的PDF诱饵文档:
释放的诱饵文档为:
可以看到,诱饵内容跟新冠疫情、巴基斯坦军方相关。 第二个HTA文件其数据解密方式,以及总体框架与第一个HTA文件相同,主要功能是在C:\ProgramData\创建了一个fontFiles文件夹(包含释放的四个文件:Duser.dll、rekeywiz.exe、rekeywiz.exe.config、SOHYXY.tmp),利用rekeywiz.exe白文件加载Duser.dll黑文件。该白加黑的手法也是SideWinder惯用伎俩。其中TMP文件的文件名为随机字符:
Duser.dll为一个加载器,主要目的是对之前释放的SOHYXY.tmp文件进行简单的异或解密,然后进行加载:
解密后的SystemApp.dll文件,是为最终释放的RAT。
该RAT的功能跟之前的类似,包括信息收集、文件上传等。 如对用户信息、设备信息、网卡信息、已安装杀软的信息、磁盘驱动设备信息、设备已安装进程信息等进行窃取、收集:
文件上传途径有两种,对应RAT在配置模块中的两个等待上传的文件列表,C2通过下发指令修改配置模块,实现对所有文件或指定文件的上传。文件上传:
对C2的下发指令进行分析,可得出以下指令集:
命令号 指令含义
1 获取系统信息并写入.sif文件
2 获取文件列表并写入.flc文件
3 获取指定文件并写入.fls文件
4 根据下发数据修改Settings设置
5 修改C2
6 设置文件是否上传的参数
7 设置选定的文件扩展名
8 设置文件的最大尺寸
9 添加文件名到待上传文件的列表
10 返回
RAT会在fontFiles文件夹中新建名为“font”的文件,用于保存C2下发的指令,但指令是经过加密的,经过解密之后,可查看指令明文,而每一次指令下发,原指令数据都会被覆盖,生成新的font文件。
三、    关联分析 除了发现的以“新冠疫情”为主题的样本以外,我们还发现了SideWinder(响尾蛇)的多个其他攻击活动。 如Additional_CSD_Rebate.pdf.lnk,以向退役军人发放csd回扣卡为主题的进行钓鱼活动:
诱饵文件除了lnk之外,还有使用office漏洞的攻击,如
但是最终执行的payload都大同小异,就不再赘述。 四、    安全建议 1、建议重要机构网管培训工作人员不要随意打开不明来源的邮件附件,在邮件目的及发件人均未知的情况下,建议不要访问附件。 2、建议企业用户使用腾讯安全T-Sec终端安全管理系统修补漏洞,及时安装系统补丁,可减少被漏洞攻击的风险。同时注意打开Office文档时,避免启用宏代码。 3、推荐企业用户部署腾讯T-Sec高级威胁检测系统(腾讯御界)对黑客攻击行为进行检测。
五、    附录 1、         IOCs 3c9f64763a24278a6f941e8807725369 40fd59323c3883717faca9424b29b9aa 3e0c08851aafbca17dda7ce54ba52cb9 1aa880affbd363401e1a25c07ad1ef1e 95413052d03971654687d8508a6a32e9 7a4f9c2e5a60ec498c66d85d2df351e8 120e3733e167fcabdfd8194b3c49560b 7442b3efecb909cfff4aea4ecaae98d8 bfad291d000b56ddd8a331d7283685b2 fef12d62a3b2fbf1d3be1f0c71ae393e 58363311f04f03c6e9ccd17b780d03b2 9b1d0537d0734f1ddb53c5567f5d7ab5
https://cloud-apt.net/202/AEETLbHd0DGh9r86lU6CFOCttbakx5vMmEGfKLTP/16364/11542/9c8ea254
https://www.d01fa.net /202/AEETLbHd0DGh9r86lU6CFOCttbakx5vMmEGfKLTP/16364/11542/9c8ea254
http://www.d01fa.net/plugins/16364/11542/true/true/
http://cloud-apt.net /plugins/16364/11542/true/true/
http://www.d01fa.net/cgi/8ee4d36866/16364/11542/58a3a04b/file.hta
http://cloud-apt.net /cgi/8ee4d36866/16364/11542/58a3a04b/file.hta
http://www.d01fa.net/images/D817583E/16364/11542/f2976745/966029e
http://www.fdn-en.net/images/0B0D90AD/-1/2418/9ccd0068/9d68236
http://www.nrots.net/images/5328C28B/15936/11348/7c8d64e9/e17e25e
http://ap-ms.net/202/M2qIMRE6Wu5W0pgsgYpzoKzlzclgtHbcLzhudKaF/-1/12571/d2d06434
https://www.sd1-bin.net/images/2B717E98/-1/12571/4C7947EC/main.file.rtf
https://reawk.net/202/jQcPZ3kx6hGod25WMnTocKStUToZEPRy6WfWkEX3/-1/12571/87854fea
2、         参考链接
https://s.tencent.com/research/report/799.html
https://s.tencent.com/research/report/659.html
https://mp.weixin.qq.com/s/CZrdslzEs4iwlaTzJH7Ubg
关键字: 描述: 来源网站名: 来源地址:

响尾蛇(SideWinder)APT组织使用新冠疫情为诱饵的攻击活动分析

2020-04-14 10:03:05腾讯安全威胁情报中心就捕获到了一起响尾蛇(SideWinder)APT组织以新冠疫情为主题针对巴基斯坦军方的攻击活动。响尾蛇(SideWinder)是腾讯安全威胁情报中心最早在2018年披露的APT攻击组织,该组织最早的攻击活动可以追溯到 2012 年。 一、    背景介绍 伴随新冠疫情在全球范围的爆发,疫情的动态资讯成为我们每天必会定接触到的外界信息,在这种大环境下,我们对疫情主题相关的推送信息警惕性会相对变低。而善于浑水摸鱼,披狼皮装羊的APT组织自然不会放过这种增热点的机会,以“新冠疫情”为主题的APT攻击活动从2月份起就持续不断。最近,腾讯安全威胁情报中心就捕获到了一起响尾蛇(SideWinder)APT组织以新冠疫情为主题针对巴基斯坦军方的攻击活动。 响尾蛇(SideWinder)是腾讯安全威胁情报中心最早在2018年披露的APT攻击组织,该组织最早的攻击活动可以追溯到 2012 年。该组织主要针对巴基斯坦、中国大陆的政府、军工、军事目标等进行攻击活动。攻击武器库包括PC端、移动端等。 二、    技术分析 本次攻击的诱饵为一个名为Pak_Army_Deployed_in_Country_in_Fight_Against_Coronavirus.pdf.lnk的快捷方式:
该lnk的基本属性
诱饵的生成时间和其他属性 可以看到攻击者的诱饵生成时间为2019年的6月19日,在vmware虚拟机生成。 执行快捷方式后,会从http://www.d01fa.net/images/D817583E/16364/11542/f2976745/966029e下载hta文件并且执行。 下载回来的hta会对受害设备上的.NET进行版本检测,删除除了V2和V4以外的版本,还通过shell指令指定执行的版本,此外,样本之后释放的的rekeywiz.exe.config配置文件目的与之相同,均为防止不同.NET版本之前出现兼容性问题。
除了对受害设备.NET版本进行版本选择之外,HTA文件还会对设备上的杀软进行检测:
之后,会创建一个HTA实例,通过url下载第二个HTA文件并将之执行,同时释放命名为“Pak_Army_Deployed_in_Country_in_Fight_Against_Coronavirus.pdf”的PDF诱饵文档:
释放的诱饵文档为:
可以看到,诱饵内容跟新冠疫情、巴基斯坦军方相关。 第二个HTA文件其数据解密方式,以及总体框架与第一个HTA文件相同,主要功能是在C:\ProgramData\创建了一个fontFiles文件夹(包含释放的四个文件:Duser.dll、rekeywiz.exe、rekeywiz.exe.config、SOHYXY.tmp),利用rekeywiz.exe白文件加载Duser.dll黑文件。该白加黑的手法也是SideWinder惯用伎俩。其中TMP文件的文件名为随机字符:
Duser.dll为一个加载器,主要目的是对之前释放的SOHYXY.tmp文件进行简单的异或解密,然后进行加载:
解密后的SystemApp.dll文件,是为最终释放的RAT。
该RAT的功能跟之前的类似,包括信息收集、文件上传等。 如对用户信息、设备信息、网卡信息、已安装杀软的信息、磁盘驱动设备信息、设备已安装进程信息等进行窃取、收集:
文件上传途径有两种,对应RAT在配置模块中的两个等待上传的文件列表,C2通过下发指令修改配置模块,实现对所有文件或指定文件的上传。文件上传:
对C2的下发指令进行分析,可得出以下指令集:
命令号 指令含义
1 获取系统信息并写入.sif文件
2 获取文件列表并写入.flc文件
3 获取指定文件并写入.fls文件
4 根据下发数据修改Settings设置
5 修改C2
6 设置文件是否上传的参数
7 设置选定的文件扩展名
8 设置文件的最大尺寸
9 添加文件名到待上传文件的列表
10 返回
RAT会在fontFiles文件夹中新建名为“font”的文件,用于保存C2下发的指令,但指令是经过加密的,经过解密之后,可查看指令明文,而每一次指令下发,原指令数据都会被覆盖,生成新的font文件。
三、    关联分析 除了发现的以“新冠疫情”为主题的样本以外,我们还发现了SideWinder(响尾蛇)的多个其他攻击活动。 如Additional_CSD_Rebate.pdf.lnk,以向退役军人发放csd回扣卡为主题的进行钓鱼活动:
诱饵文件除了lnk之外,还有使用office漏洞的攻击,如
但是最终执行的payload都大同小异,就不再赘述。 四、    安全建议 1、建议重要机构网管培训工作人员不要随意打开不明来源的邮件附件,在邮件目的及发件人均未知的情况下,建议不要访问附件。 2、建议企业用户使用腾讯安全T-Sec终端安全管理系统修补漏洞,及时安装系统补丁,可减少被漏洞攻击的风险。同时注意打开Office文档时,避免启用宏代码。 3、推荐企业用户部署腾讯T-Sec高级威胁检测系统(腾讯御界)对黑客攻击行为进行检测。
五、    附录 1、         IOCs 3c9f64763a24278a6f941e8807725369 40fd59323c3883717faca9424b29b9aa 3e0c08851aafbca17dda7ce54ba52cb9 1aa880affbd363401e1a25c07ad1ef1e 95413052d03971654687d8508a6a32e9 7a4f9c2e5a60ec498c66d85d2df351e8 120e3733e167fcabdfd8194b3c49560b 7442b3efecb909cfff4aea4ecaae98d8 bfad291d000b56ddd8a331d7283685b2 fef12d62a3b2fbf1d3be1f0c71ae393e 58363311f04f03c6e9ccd17b780d03b2 9b1d0537d0734f1ddb53c5567f5d7ab5 https://cloud-apt.net/202/AEETLbHd0DGh9r86lU6CFOCttbakx5vMmEGfKLTP/16364/11542/9c8ea254 https://www.d01fa.net /202/AEETLbHd0DGh9r86lU6CFOCttbakx5vMmEGfKLTP/16364/11542/9c8ea254 http://www.d01fa.net/plugins/16364/11542/true/true/ http://cloud-apt.net /plugins/16364/11542/true/true/ http://www.d01fa.net/cgi/8ee4d36866/16364/11542/58a3a04b/file.hta http://cloud-apt.net /cgi/8ee4d36866/16364/11542/58a3a04b/file.hta http://www.d01fa.net/images/D817583E/16364/11542/f2976745/966029e http://www.fdn-en.net/images/0B0D90AD/-1/2418/9ccd0068/9d68236 http://www.nrots.net/images/5328C28B/15936/11348/7c8d64e9/e17e25e http://ap-ms.net/202/M2qIMRE6Wu5W0pgsgYpzoKzlzclgtHbcLzhudKaF/-1/12571/d2d06434 https://www.sd1-bin.net/images/2B717E98/-1/12571/4C7947EC/main.file.rtf https://reawk.net/202/jQcPZ3kx6hGod25WMnTocKStUToZEPRy6WfWkEX3/-1/12571/87854fea 2、         参考链接 https://s.tencent.com/research/report/799.html https://s.tencent.com/research/report/659.html https://mp.weixin.qq.com/s/CZrdslzEs4iwlaTzJH7Ubg
0 0 vote
Article Rating

未经允许不得转载:x-sec » 响尾蛇(SideWinder)APT组织使用新冠疫情为诱饵的攻击活动分析

赞 (0) 打赏

This site uses Akismet to reduce spam. Learn how your comment data is processed.

0 Comments
Inline Feedbacks
View all comments

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

0
Would love your thoughts, please comment.x
()
x