Operation(?????????)Vikrant：屹立于精神內(nèi)景中的鋼鐵巨象

時(shí)間：2023-02-07 07:08:01 | 來(lái)源：建站知識(shí)

時(shí)間：2023-02-07 07:08:01 來(lái)源：建站知識(shí)

概述

奇安信威脅情報(bào)中心在2020年時(shí)發(fā)現(xiàn)了一個(gè)位于南亞區(qū)域長(zhǎng)期針對(duì)巴基斯坦進(jìn)行間諜活動(dòng)的APT組織，奇安信內(nèi)部編號(hào)APT-Q-42，鑒于南亞大區(qū)“優(yōu)秀”的匹配機(jī)制，該團(tuán)伙其主要攻擊方式與其他南亞組織別無(wú)二致，通過自己搭建郵件服務(wù)器并發(fā)送魚叉郵件的方式向目標(biāo)投遞帶有惡意DDE文檔和熱點(diǎn)事件相關(guān)的PDF（word）文檔。

隨著最近兩年南亞次大陸方向的熱點(diǎn)事件越來(lái)越多，以某區(qū)域大國(guó)為首的APT攻擊達(dá)到了歷史的新高，網(wǎng)絡(luò)釣魚活動(dòng)最為活躍，目前除了一些已知?dú)w屬的釣魚新活動(dòng)，我們還捕獲到了許多未知但是已成體系的釣魚活動(dòng)，將在本文第二章節(jié)做一個(gè)簡(jiǎn)短的分享，并披露摩耶象（APT-Q-41）的歷史活動(dòng)。

與之前的文章類似，本文內(nèi)容也僅僅是對(duì)在過去一段時(shí)間內(nèi)攻擊手法做一個(gè)分享，本文所涉及的所有IOC均已無(wú)法訪問，APT-Q-42的活動(dòng)主要針對(duì)巴基斯坦、尼泊爾等國(guó)不涉及國(guó)內(nèi)。

樣本分析

APT-Q-42通過壓縮包投遞的壓縮包如下：

Md5	文件名
872be4b14a71c9c37dc24afacc24f46e	Annexure 1.zip
0a94d9cc975b9acbfd3e03c94d855e5b	Circular - SRO No. 442(I)-2020.zip
1796bf9d88e69253f2e4fd5a992c0967	Delegation Details April 2020.zip
84c4264d6ce75d9c3ab4fac41998b495	Mitigation Strategy March 2020.zip
88241c73619974153be65652f1cdacb2	Training Schedule 2020.zip
ba11cc8eecbf9fa794d250228519e838	Travel amendment.zip

2020年投遞的誘餌如下，巴基斯坦內(nèi)閣秘書處采購(gòu)清單：







Covid19疫情政策相關(guān)PDF文檔：







巴基斯坦民航局國(guó)際旅客健康申報(bào)表：







在2021年投遞的誘餌中我們發(fā)現(xiàn)該團(tuán)伙還會(huì)投遞空的PDF和損壞的PDF來(lái)誘導(dǎo)受害者打開惡意的DDE文檔：







有趣的是，該團(tuán)伙投遞的文件名與之前披露的魔羅桫（APT-Q-40）組織存在重疊、而投遞的誘餌內(nèi)容則與響尾蛇團(tuán)伙存在重疊，這從側(cè)面印證了我們之前提到的南亞APT組織間基礎(chǔ)設(shè)施共享的想法。

DDE代碼如下，從動(dòng)態(tài)域名中下載PS腳本并執(zhí)行，實(shí)現(xiàn)持久化等功能：







經(jīng)過重定向后會(huì)從Dropbox托管平臺(tái)上下載最終的python木馬。







C2一般存放在config.py文件中，核心功能非常簡(jiǎn)單。







具有上傳文件、下載文件、改變目錄、命令執(zhí)行等功能，除此之外我們還發(fā)現(xiàn)了使用python3.8、3.9版本編寫的Rat變種，C2不再是例如http://pythonanywhere.com、http://herokuapp.com等動(dòng)態(tài)域名，而是變成了URL。

指令	功能
send_basic_info	發(fā)送本機(jī)相關(guān)信息
get_dir_items	獲取指定目錄文件信息
download_files	下載文件
spawn_shell	反彈shell

在2021年時(shí)我們發(fā)現(xiàn)在疑似該團(tuán)伙最新活動(dòng)中會(huì)通過DDE從Google云盤上下載payload，使用了基于python編寫的Telegram-RAT。

網(wǎng)絡(luò)釣魚活動(dòng)

目前我們檢測(cè)到越來(lái)越多的“雇傭軍”加入了南亞地區(qū)的網(wǎng)絡(luò)釣魚，攻擊水平完全取決于雇傭人員的代碼水平，在披露摩耶象（APT-Q-41）之前，我們先來(lái)看下魔羅桫組織在今年上半年的最新活動(dòng)。

魔羅桫（APT-Q-40）

釣魚流程與之前出現(xiàn)了較大的變化，投遞的釣魚郵件如下：







提示收件人更新賬戶信息，郵件中包含grabify.link的短鏈接，跳向http://eu3.org動(dòng)態(tài)域名，會(huì)根據(jù)動(dòng)態(tài)域名后面的URL來(lái)跳轉(zhuǎn)最終具有魔羅桫（APT-Q-40）組織特色的復(fù)雜釣魚頁(yè)面，除此之外我們還發(fā)現(xiàn)了用于生成復(fù)雜鏈接的頁(yè)面。

摩耶象（APT-Q-41）

該團(tuán)伙主要以發(fā)送釣魚郵件為主，代碼能力極弱，釣魚郵件如下：







Zip包含了一個(gè)html里面帶有釣魚鏈接，部分釣魚鏈接如下：













輸入密碼后會(huì)展示對(duì)應(yīng)的PDF文件：







該團(tuán)伙釣魚域名均使用http://herokuapp.com或者netlify.app動(dòng)態(tài)域名進(jìn)行托管，在Post數(shù)據(jù)時(shí)則將其發(fā)送到http://000webhostapp.com動(dòng)態(tài)域名。







后端邏輯會(huì)在post的動(dòng)態(tài)域名下生成txt文件存儲(chǔ)受害者輸入的賬號(hào)密碼，收集的txt名稱如下：

文件名

child.txt

kingkong.txt

character.txt

Healthy.txt

mistake.txt

文件記錄格式如下：







從2017年至今始終使用這種方式對(duì)相關(guān)單位進(jìn)行網(wǎng)絡(luò)釣魚活動(dòng)，其通過釣魚郵件投遞的樣本是由msf生成的ruby木馬，還會(huì)投遞一些開源的木馬，總體而言水平更接近低端商貿(mào)信。

下面會(huì)介紹一批我們認(rèn)為是新招募的外包人員所發(fā)起的網(wǎng)絡(luò)釣魚攻擊，由于這些外包人員在被招募以前可能就從事一些商貿(mào)信、灰色產(chǎn)業(yè)，所以相比之下他們的攻擊手法較為粗糙。

釣魚一

釣魚郵件如下：







點(diǎn)擊鏈接后會(huì)先訪問一個(gè)被黑的站點(diǎn)，之后會(huì)被重定向到azure-na的一個(gè)目錄下展示最終的釣魚頁(yè)面，整個(gè)過程非常隱蔽幾乎不可能被測(cè)繪到。

釣魚二

釣魚郵件如下：



















點(diǎn)擊釣魚鏈接后會(huì)先訪問末尾帶有類似UUID的釣魚鏈接，實(shí)際上每一個(gè)UUID對(duì)應(yīng)一個(gè)郵箱，接著經(jīng)過兩層跳轉(zhuǎn)，跳轉(zhuǎn)到最終的釣魚頁(yè)面。

釣魚三

釣魚郵件如下：







近年來(lái)少有的直接使用IP作為C2進(jìn)行釣魚的團(tuán)伙，手法接近與APT，Post邏輯如下：







由于目前我們尚未掌握更多與該團(tuán)伙相關(guān)的信息，故暫不給予對(duì)應(yīng)的編號(hào)。

IOC

MD5：

872be4b14a71c9c37dc24afacc24f46e

0a94d9cc975b9acbfd3e03c94d855e5b

1796bf9d88e69253f2e4fd5a992c0967

84c4264d6ce75d9c3ab4fac41998b495

88241c73619974153be65652f1cdacb2

ba11cc8eecbf9fa794d250228519e838