快捷搜索:  网络  CVE  渗透  后门  扫描  木马  黑客  as

多个疑似“摩诃草”团伙来源定向攻击的关联阐发

违景

CiscoTalos研究团队在近期表露了一例针对印度iOS用户的定向攻击活动[1],但原文并没有明确攻击构造相干违景。360威胁情报中心结合内部威胁情报数据以及该地下讲演中表露的IOC信息,关联到多份地下情报,并发现该事故的攻击构造极有可能就是“摩诃草”构造(又常称为Hangover,Patchwork,DroppingElephant),并且阐发了该事故与Bellingcat表露的Bahamut[2]以及趋向科技表露的Confucius[3]间的联系。本讲演是对相干线索以及违景推测的阐发说明。

截至我们阐发以及文档实现时,Cisco Talos研究团队表露了后续阐发进铺,并一样提及了以及Bahamut的关联性[6]。

关联样本阐发

360威胁情报中心结合内部的威胁情报数据关联到相干的针对Windows平台以及Android平台的恶意代码样本。

Windows平台

Delphi Dropper

我们发现一批Delphi编写的Dropper程序,其中一个样本归连URL地址为http://techwach.com/expendedrange98gh/,该Dropper程序首要网络目标主机信息,并可下列载更多载荷文件并执行。下列为对该类Dropper的阐发。

其起首在%userprofile%下创建Docoument目录,然后通过GetSystemInfo或查询注册表信息获取体系版本信息。

image.png

其生成一个随机ID字符串,并写入% userprofile%\Docoument下的eventdriven.dat文件,该字符串用于标识受害主机。

其通过WMI查询获取更多主机信息,包括主机名称,操作体系信息和装置的安全软件。

image.png

image.png

该Dropper程序在窗体上完成了三个Timer。

image.png

其中一个Timer会向控征服务器发送HTTP要求,其URL为http://digitizet.com/express54354view/。

image.png

并且下载下一阶段载荷命令执行。

image.png

另外一个Timer会获取本机信息,黑客网,包括用户名,主机名,体系版本,安全软件信息,并存储到% userprofile%\Docoument的Detail.log文件。

image.png

其随后上传文件内容到遥程URL,docc7686gg154po.php?b=

image.png

加密

Delphi Dropper程序对症结的字符串信息进行加密,其解密算法首要有两种不同形态。

其中一种解密算法使用了硬编码的密钥,如dc67f@#$%hlhsdfg。下图为解密算法的结构视图。

image.png

image.png

Android平台

通过voguextra.com域名可以关联到一个Android样本,其默认界面加载图片URL从voguextra.com域名下加载。

image.png

其会网络包括短信,通信录等信息,和外存储路径下的.txt, .db.crypt,.db.crypt8,.db.crypt5,.db.crypt7,.doc,.docx,.xls,.xlsx,.csv,.pdf,.jpeg,.jpg扩台甫的文件列表以及内容。

解密的上传URL地址以下:

image.png

iOS平台

结合Cisco Talos团队发现的MDM后台地址以及开源的mdm-server[5]完成,攻击构造并未修改默认的服务端监听地址,并且扩大了默认的要求连接。

image.png

image.png

走访该MDM后台可下列载描摹文件,我们发现其增添了向受害设备推送Telegram等应用的指令。

我们走访的时辰,MDM设备注册的要求已经失效,但依然了3台iOS设备的日记信息,推测可能为安全研究人员的测试设备。

image.png

攻击来源阐发

与”Confucius”的联系

在对线索以及攻击来源的深入挖掘过程中,发现其中一个Delphi Dropper程序归连了logstrick.com域名,该域名曾被趋向表露为Confucius使用[3]。

与”摩诃草”的联系

并且同类Delphi Dropper程序还归连了http://ebeijingcn.live/templates地址,该控制域名曾被360威胁情报中心表露的《摩诃草APT构造针对我国敏感机构最新的收集攻击活动阐发》阐发过[4]。

image.png

与”Bahamut”的联系

通过阐发关联到的Android样本,我们发现其与”Bahamut”构造有关,该构造是Bellingcat表露的一个针对中东以及南亚区域的APT攻击构造。[3]

image.png

image.png

我们对三个构造的TTP进行简单对比:

Confucius 摩诃草(又称Hangover,Patchwork,Dropping Elephant) Bahamut
攻击目标 南亚 中国,巴基斯坦为主 南亚(首要为巴基斯坦),中东
攻击平台 PC,Android PC,Android Android
恶意代码完成 Delphi Delphi,C#
攻击入口 交际收集 鱼叉攻击,交际收集 鱼叉攻击,交际收集

结合攻击恶意代码的功能结构的高度相似性,恶意载荷使用的控制域名的重叠,和TTP的重叠,我们认为三个构造极有可能回属同一攻击构造。

总结

360威胁情报中心结合地下情报以及内部威胁情报数据,确定了摩诃草构造(又称Hangover,Patchwork,DroppingElephant)与” Confucius”,” Bahamut”间存在的关联性,并推测Cisco Talos表露的针对印度iOS用户的攻击事故极有可能与摩诃草有关。

IOC

voguextra.com (OSINT)

techwach.com (OSINT)

www.scorpviz.com

digitizet.com

disc4l.com

logstrick.com

qutonium.com

classmunch.com

appswonder.info

conioz.com

pcupdate.ddns.net

windefendr.com

object2d.com

eec26ee59a6fc0f4b7a2a82b13fe6b05(Android)

899720af1cf9413a00f1b1a13f699eda

43e79de28318e2e5f4936ada7d09a4dc

参考链接

1.https://blog.talosintelligence.com/2018/07/Mobile-Malware-Campaign-uses-Malicious-MDM.html

2.https://www.bellingcat.com/resources/case-studies/2017/10/27/bahamut-revisited-cyber-espionage-middle-east-south-asia/

3.https://blog.trendmicro.com/trendlabs-security-intelligence/confucius-update-new-tools-and-techniques-further-connections-with-patchwork/

4.https://ti.360.net/blog/articles/analysis-of-apt-c-09-target-china/

5.https://github.com/project-imas/mdm-server

6.https://blog.talosintelligence.com/2018/07/Mobile-Malware-Campaign-uses-Malicious-MDM-Part2.html

原文链接

https://ti.360.net/blog/articles/analysis-of-targeted-attacks-suspected-of-patchover/

*

您可能还会对下面的文章感兴趣: