双尾蝎 APT组织(又名:APT-C-23
),该组织从 2016 年 5 月开始就一直对巴勒斯坦教育机构、军事机构等重要领域展开了有组织、有计划、有针对性的长时间不间断攻击.其在2017年的时候其攻击活动被360企业安全进行了披露,并且其主要的攻击区域为中东,其中以色列与巴勒斯坦更受该组织的青睐。
攻击平台主要包括 Windows
与Android
:
其中针对windows
的平台,其比较常见的手法有投放带有"*.exe
"或"*.scr
"文件后缀的释放者 文件,在目标用户打开后释放对应的诱饵文档,并且释放下一步的侦查者(Recon) .持久存在的方式也不唯一,一般通过写入注册表启动项以及释放指向持久化远控的快捷方式到自启动文件夹下.其侦查者会收集当前机器的相关信息包含(系统版本,计算名,杀毒软件信息,当前文件所在路径,恶意软件当前版本 ),以及其解析C2
的回显指令,并执行.比如:远程shell,截屏和文件下载 。
同时根据别的安全厂商的报告,我们也得知该组织拥有于攻击Android
平台的组件,拥有定位、短信拦截、电话录音等,并且还会收集文档、图片、联系人、短信等情报信息;PC 端后门程序功能包括收集用户信息上传到指定服务器 的功能、远程下载文件能力.近日check point
安全厂商披露了该组织自导自演,给以色列士兵手上安装恶意软件的攻击活动.可以从中看出该团伙的攻击设计之巧妙,准备之充分。但最后结果还是被以色列给反制了一波............
Gcow安全团队追影小组 于2019.12
月初开始监测到了双尾蝎 APT组织通过投递带有诱饵文件的相关可执行文件针对巴勒斯坦 的部门进行了相应的攻击活动,这些诱饵文件涉及教育,科技,政治等方面的内容,其攻击活动一直持续到了2020.2
月底.追影小组 对该组织进行了一定时间的追踪.遂写成此报告还请各位看官欣赏.
在本次双尾蝎 APT组织针对巴勒斯坦 的活动中,Gcow安全团队追影小组 一共捕获了14
个样本,均为windows
样本,其中12
个样本是释放诱饵文档的可执行文件,2
个样本是带有恶意宏的诱饵文档 在这12
个可执行文件样本中,有7
个样本伪装成pdf
文档文件,有1
个样本伪装为word
文档文件,有2
个样本伪装为rar
压缩文件.有2
个样本伪装成mp3
,mp4
音频文件 在这14
个Windows
恶意样本中,其诱饵文档的题材,政治类的样本数量有9
个,教育类的样本数量有1
个,科研类的样本数量有1
个,未知类的样本数量有3
个(注意:未知指得是其诱饵文档出现错误无法打开或者其内容属于无关内容 ) 现在各位看官应该对这批双尾蝎 组织针对巴勒斯坦 的攻击活动有了一个大概的认识,但是由于这批样本之中有一些话题是以色列和巴勒斯坦共有的,这里Gcow
安全团队追影 小组持该组织主要是攻击巴勒斯坦的观点,若各位看官有更多的证据,欢迎联系我们团队.注意:这里只是一家之言,还请各位看官须知 ,那下面追影 小组将以一个恶意样本进行详细分析,其他样本采取略写的方式向各位看官描述此次攻击活动。注意:因为其他样本的主要逻辑是相同的,所以没有必要枉费笔墨
通过对样本的分析我们得知了该样本是兼具释放者(Dropper) 与下载者(Downloader) 的功能,其释放者(Dropper) 主要是用以释放诱饵文档加以伪装以及将自身拷贝到%ProgramData% 目录下,并且生成执行该文件的快捷方式并且释放于自启动文件夹下,而下载者(Downloader) 部分主要是通过进行信息收集以及等待C2给予的回显,主要功能有:远程shell,文件下载,屏幕截屏
通过FindResource
函数查找名称为:MyData 的资源 通过LoadResource
函数加载该资源 通过LockResource
函数锁定资源并且获取资源在内存的地址 通过SizeOfResource
函数通过获取资源的地址计算该资源的长度 通过CreateFile
函数在%temp% 目录下释放诱饵PDF文档Define the Internet in government institutions.pdf 通过WriteFile
函数将PDF源数据写入创建的诱饵文档内
通过ShellExecute
函数打开PDF诱饵文档,以免引起目标怀疑 其PDF诱饵文档内容如图,主要关于其使用互联网 的政治类 题材,推测应该是针对政府部门 的活动 同时利用CopyFileA
函数将自身拷贝到%ProgramData%
目录下并且重命名为SyncDownOptzHostProc.exe
利用CreateFilewW
函数在自启动文件夹下创造指向%ProgramData%\SyncDownOptzHostProc.exe
的快捷方式SyncDownOptzHostProc.lnk
通过CreateFile
函数创造%ProgramData%\GUID.bin
文件,内部写入对应本机的GUID
.当软件再次运行的时候检查自身是否位于%ProgramData%
文件夹下,若不是则释放pdf文档。若是,则释放lnk
到自启动文件夹
1.收集当前用户名 以及当前计算机名称 ,并且读取GUID.bin
文件中的GUID码 再以如下格式拼接信息
将这些拼接好的信息利用base64进行编码,组合成cname
报文
2.通过GetVersion
函数收集当前系统版本 并且将其结果通过Base64进行编码,组成osversion
报文
3.通过WMI
查询本地安装的安全软件
被侦查的安全软件包括360
,F-secure
,Corporate
,Bitdefender
如果存在的话,获取结果组成av
报文
4.通过GetModuleFile
函数获取当前文件的运行路径
将当前程序运行路径信息通过base64编码组成aname
报文
5.后门版本号ver
报文,本次活动的后门版本号为:5.HXD.zz.1201
将版本号通过base64编码组成ver
报文
将这些信息按照如下方式拼接好后,通过Send
方式向URL地址htp://nicoledotson.icu/debby/weatherford/yportysnr
发送上线报文
通过http://nicoledotson.icu/debby/weatherford/ekspertyza
URL获取功能命令(功能为截屏,远程shell,以及下载文件 )
截取屏幕快照函数 向URL地址http://nicoledotson.icu/debby/weatherford/Zavantazhyty
发送截屏
远程shell主要代码 向URL地址http://nicoledotson.icu/debby/weatherford/pidnimit
发送shell回显
下载文件,推测应该先另存为base64编码的txt文件再解密另存为为exe文件,最后删除txt文件.由于环境问题我们并没有捕获后续的代码
通过URLhttp://nicoledotson.icu/debby/weatherford/vydalyty
获取删除指令
此外我们还关联到一个与之相似的样本,诱饵文档与之相同故不再赘述
该样本属于包含恶意宏 的文档,我们打开可以看到其内容关于财政部关于文职和军事雇员福利的声明 ,属于政治类 题材样本
通过使用olevba
dump出其包含的恶意宏代码(如下图所示:)
其主要逻辑为:下载该URLhttp://linda-callaghan.icu/Minkowski/brown
上的内容到本台机器的%ProgramData%\IntegratedOffice.txt
(此时并不是其后门,而且后门文件的base64
编码后的结果)。通过读取IntegratedOffice.txt
的所有内容将其解码后,把数据流写入%ProgramData%\IntegratedOffice.exe
中,并且延迟运行%ProgramData%\IntegratedOffice.exe
删除%ProgramData%\IntegratedOffice.txt
该样本属于上一个样本中的下载者(Downloader) 部分,其还是通过创建GUID
.bin标记感染机器 并且创建指向自身的快捷方式于自启动文件夹中 剩下的收集信息并且等待回显数据的操作都与上文中提到的相同故此不再赘述
通过FindResource
函数查找资源MYDATA
,通过下图我们可以看出该资源是一个PDF
文件
通过CreateFile
函数将文件源数据写入%Temp%\Brochure-Jerusalem_26082019.pdf
(诱饵文件)中
通过ShellExecute
函数将%Temp%\Brochure-Jerusalem_26082019.pdf
打开
该样本关于耶路撒冷 的话题,属于政治类 诱饵文档
之后的行为就和之前的如出一辙了,在此就不必多费笔墨。
通过FindResource
函数查找资源MYDATA
,通过下图我们可以看出该资源是一个PDF
文件
通过CreateFile
函数将文件源数据写入%Temp%\Congratulations_Jan-7.pdf
(诱饵文件)中
通过ShellExecute
函数将%Temp%\Congratulations_Jan-7.pdf
打开
该样本关于耶路撒冷归属 的话题,属于政治类 诱饵文档
之后的行为就和之前的如出一辙了,在此就不必多费笔墨。
通过FindResource
函数查找资源MYDATA
,通过下图我们可以看出该资源是一个PDF
文件
通过CreateFile
函数将文件源数据写入%Temp%\Directory of Government Services.pdf
(诱饵文件)中
通过ShellExecute
函数将%Temp%\Directory of Government Services.pdf
打开
该样本关于政府部门秘书处 的话题,属于政治类 诱饵文档
诱饵内容对应的官网图片
之后的行为就和之前的如出一辙了,在此就不必多费笔墨。
通过FindResource
函数查找资源MYDATA
,通过下图我们可以看出该资源是一个RAR
文件
通过CreateFile
函数将文件源数据写入%Temp%\Entelaqa32.rar
(诱饵文件)中
通过ShellExecute
函数将%Temp%\Entelaqa32.rar
打开
该样本关于哈马斯 的话题,属于政治类 诱饵文档
通过FindResource
函数查找资源MYDATA
,通过下图我们可以看出该资源是一个rar
文件
通过CreateFile
函数将rar
文件源数据写入%Temp%\jalsa.rar
(诱饵文件)中
通过ShellExecute
函数将%Temp%\jalsa.rar
打开
其诱饵文件的内容与第十二届亚洲会议 有关,其主体是无条件支持巴勒斯坦 ,可见可能是利用亚洲会议 针对巴勒斯坦* 的活动,属于政治类 题材的诱饵样本
之后的行为就和之前的如出一辙了,在此就不必多费笔墨
通过CreateFile
函数将文件源数据写入%Temp%\Meeting Agenda.pdf
(诱饵文件)中
通过ShellExecute
函数将%Temp%\Meeting Agenda.pdf
打开
但由于其塞入数据的错误导致该Meeting Agenda.pdf
文件无法正常打开故此将该样本归因到未知类 题材样本,之后的行为就和之前的如出一辙了,在此就不必多费笔墨。
通过FindResource
函数查找资源MYDATA
,通过下图我们可以看出该资源是一个PDF
文件
通过CreateFile
函数将文件源数据写入%Temp%\Scholarships in Serbia 2019-2020.pdf
(诱饵文件)中
通过ShellExecute
函数将%Temp%\Scholarships in Serbia 2019-2020.pdf
打开
该样本关于巴勒斯坦 在塞尔维亚共和国奖学金 的话题,属于教育类 诱饵文档
诱饵内容对应的官网图片
之后的行为就和之前的如出一辙了,在此就不必多费笔墨。
通过FindResource
函数查找资源MYDATA
,通过下图我们可以看出该资源是一个docx
文件
通过CreateFile
函数将docx
文件源数据写入%Temp%\daily_report.docx
(诱饵文件)中
通过ShellExecute
函数将%Temp%\daily_report.docx
打开
从诱饵样本中的内容我们可以看出其关于巴勒斯坦态势 的问题,属于政治类 题材样本
之后的行为就和之前的如出一辙了,在此就不必多费笔墨。
通过FindResource
函数查找资源MYDATA
,通过下图我们可以看出该资源是一个unknown
文件
通过CreateFile
函数将文件源数据写入%Temp%\asala.mp3
(诱饵文件)中
通过ShellExecute
函数将%Temp%\asala.mp3
打开
歌曲挺好听的,但是我们也不知道啥意思,将其归属于未知类 题材样本
之后的行为就和之前的如出一辙了,在此就不必多费笔墨。
通过FindResource
函数查找资源MYDATA
,通过下图我们可以看出该资源是一个unknown
文件
通过CreateFile
函数将文件源数据写入%Temp%\artisan-errors.mp4
(诱饵文件)中
通过ShellExecute
函数将%Temp%\artisan-errors.mp4
打开
该样本伪装成视频丢失的404信号,没有实际参考价值,故归入未知类 题材样本
之后的行为就和之前的如出一辙了,在此就不必多费笔墨。
其诱饵内容关于在东耶路撒冷(巴勒斯坦 )的阿布迪斯大学秘书,属于大学科研类 题材的诱饵文档 同时其包含的恶意宏代码如图所示,由于我们并没有能成功获得下一步的载荷,故没法进行下一步的分析。不过推测其大致功能应该与上文相同
在本次活动中,我们可以清晰的看到双尾蝎 APT组织的攻击手段,同时Gcow
安全团队追影小组 也对其进行了一定的组织关联,并且对其技术的演进做了一定的研究。下面我们将分为组织关联 与技术演进 这两部分内容进行详细的叙述。
注意:下文中的时间段仅仅为参考值,并非准确时间。由于在这一时间段内该类样本较多,故此分类。
我们根据对比了从2017
到2020
年所有疑似属于双尾蝎 APT组织的样本,(注意:这里比对的样本主要是windows平台的可执行文件样本 ).在2017
年到2019
年的样本中我们可以看出其先在临时文件夹 下释放诱饵文件,再打开迷惑受害者,再将自身拷贝到%ProgramData%
下.创建指向%ProgramData%下的自拷贝恶意文件的快捷方式于自启动文件夹.本次活动与2018
年2019
年的活动所使用样本的流程极为相似.如下图所示.故判断为该活动属于双尾蝎 APT组织。
根据checkpoint
的报告我们得知,该组织乐于使用一些明星或者名人 的名字在其C&C
服务器上.左图是checkpoint
安全厂商揭露其针对以色列士兵的活动的报告原文,我们可以看到其中含有Jim Morrison
,Eliza Dollittle
,Gretchen Bleiler
等名字.而右图在带有恶意宏文档的样本中,我们发现了其带有Minkowski
这个字符.通过搜索我们发现其来源于Hermann Minkowski
名字的一部分,勉强地符合了双尾蝎 APT组织的特征之一.
根据360
的报告我们可以得知双尾蝎 APT组织在2016
年到2017
年这段时间内该组织主要采用了VC
去编写载荷.再到2017
年到2018
年这段时间内该组织主要是以Delphi
来编写其侦查者(Recon) ,根据Gcow
安全团队追影小组 的跟踪,该组织在2018
年到2019
年这段时间内也使用了Delphi
编写的恶意载荷。与2017
年到2018
年不同的是:2017
年到2018
年所采用的编译器信息是:Borland Delphi 2014XE6 。而在2018
年到2019
年这个时间段内采用的编辑器信息是:Borland Delphi 2014XE7-S.10 。同时在本次活动中该组织使用Pascal
语言来编写载荷。可见该组织一直在不断寻求一些受众面现在越来越小的语言以逃脱杀软对其的监测。
根据360
的报告我们可以得知双尾蝎 APT组织在2016
年到2018
年这个时间段中,该组织所使用的恶意载荷的时间戳信息大部分时间集中位于北京的下午以及第二天的凌晨,属于中东地区的时间。而在2019
年7
月份捕获的双尾蝎 APT组织样本中该组织的编译戳为2019.7.14 11:08:48
而在本次活动所捕获的样本中我们发现该组织将编译时间戳统一改为:1970.1.1 1:00
,也就是置0.通过伪造时间戳以阻断安全人员的关联以及对其的地域判断
双尾蝎 APT组织在2017
年到2019
年的活动中,擅长使用copy
命令将自身拷贝到%ProgramData%
下.而可能由于copy
指令的敏感或者已经被各大安全厂商识别。在2019
年7
月份的时候.该组织恢复了之前采用CopyFile
windows API函数的方式将自身拷贝到%ProgramData%
下
根据360
的报告,我们可以得知双尾蝎 APT组织在2016
年到2017
年的活动之中,主要采用的是修改注册表添加启动项的方式进行权限的持久化存在。而根据追影小组 的捕获的样本,我们发现在2017
年到2018
年的这段时间内该组织使用拥有白名单Shortcut.exe
通过命令行的方式在自启动文件夹中添加指向自拷贝后的恶意文件的快捷方式。而在本次活动中,该组织则采用调用CreateFile
Windows API函数的方式在自启动文件夹中创建指向自拷贝后恶意文件的快捷方式以完成持久化存在
为了对比的方便,我们只对比双尾蝎 APT组织2018
年到2019
年的上半年的活动与本次活动的C&C
报文的区别。如图所示下图的左上是本次活动的样本的C&C
报文,右下角的是2018
年到2019
年上半年活动的样本的C&C
报文。通过下面所给出的解密我们可以得知两个样本所向C&C
收集并发送的信息基本相同。同时值得注意的是该组织逐渐减少明文的直接发送收集到的注意而开始采用比较常见的通过Base64的方式编码后在发送。同时在ver版本中我们发现:2018
年到2019
年上半年的样本的后门版本号为:1.4.2.MUSv1107
(推测是2018.11.07更新的后门 );而在本次活动中后门版本号为:5.HXD.zz.1201
(推测是2019.12.01号更新的后门 ),由此可见该组织正在随着披露的增加而不断的进行后门的更迭。
Gcow
安全团队追影小组 针对双尾蝎 APT组织此次针对巴勒斯坦的活动进行了详细的分析并且通过绘制了一幅样本执行的流程图方便各位看官的理解
该组织拥有很强的攻击能力,其载荷涵盖较广(Windows和Android平台 ).并且在被以色列 进行导弹物理打击后快速恢复其攻击能力.对巴勒斯坦地区进行了一波较为猛烈的攻势,同时我们绘制了一幅本次活动之中样本与C&C
的关系图
通过之前的分析我们发现了该组织拥有很强的技术对抗能力,并且其投放的样本一直围绕着与巴勒斯坦 和以色列 的敏感话题进行投放,我们对其话题关键字做了统计,方便各位看官了解
删除文件
通过本次分析报告,我们相信一定给各位看官提供了一个更加充分了解该组织的机会.我们在前面分析了该组织的技术特点以及对该组织实施攻击的攻击手法的演进进行了详细的概述。同时在后面的部分我们也会贴出该组织最新活动所使用样本的IOCs
供给各位感兴趣的看官交流与学习.同时我们希望各位看官如果有其他的意见欢迎向我们提出.
http[:]//linda-callaghan[.]icu/Minkowski/brown
http[:]//linda-callaghan[.]icu/Minkowski/microsoft/utilities
http[:]//nicoledotson[.]icu/debby/weatherford/yortysnr
http[:]//nicoledotson[.]icu/debby/weatherford/Zavantazhyty
http[:]//nicoledotson[.]icu/debby/weatherford/Ekspertyza
http[:]//nicoledotson[.]icu/debby/weatherford/Vydalyty
http[:]//nicoledotson[.]icu/debby/weatherford/pidnimit
linda-callaghan[.]icu
nicoledotson[.]icu
%TEMP%\ *.pdf(*.mp3,*.mp4,*.rar,*.doc)
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
最后于 2020-3-9 15:15
被Gcow安全团队编辑
,原因: