肚腦蟲 (APT-Q-38) 利用PDF文檔誘餌的攻擊活動分析
責編:gltian |2025-02-28 14:14:48團伙背景
肚腦蟲,又名Donot,奇安信內部跟蹤編號APT-Q-38。該組織主要針對巴基斯坦、孟加拉國、斯里蘭卡等南亞地區國家,對政府機構、國防軍事、外交部門以及商務領域重要人士實施網絡間諜活動,竊取敏感信息。肚腦蟲組織具有Windows與Android雙平臺攻擊能力,在以往攻擊活動中經常通過攜帶Office漏洞或者惡意宏文檔的魚叉郵件和安卓APK傳播惡意代碼。
事件概述
奇安信威脅情報中心近期發現肚腦蟲組織利用PDF文檔作為攻擊活動的誘餌,可能影響巴基斯坦、孟加拉國等南亞地區的國家。攻擊者使用攻擊手法具體有兩種:第一種是將惡意EXE文件直接用PDF圖標偽裝,使受害者誤以為是PDF文檔從而打開運行;另一種方式相對要繁瑣一些,誘餌PDF文檔中內置獲取惡意PPT的釣魚鏈接,惡意PPT被受害者下載并啟動后將執行宏代碼。第二種攻擊方式除了在最初階段使用PDF誘餌,其余環節與之前的肚腦蟲直接投遞惡意宏文檔的攻擊活動一致。
誘餌PDF文檔故意模糊內容,并通過偽造的提示信息告訴受害者,如果想查看文檔內容,需要點擊“下載”聯網獲取。一旦受害者按照指示點擊PDF中的指定區域,則會觸發網絡訪問,鏈接最終會重定向到下載惡意PPT的網頁。
偽裝為PDF的EXE
直接偽裝為PDF文檔的EXE惡意程序基本信息如下,在進行詳細分析前先借助奇安信情報沙箱(https://sandbox.ti.qianxin.com/sandbox/page)獲取該樣本的初步信息。
| 奇安信情報沙箱報告鏈接 | https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AZT5fv50h6wn_HCy8ts6 |
| 樣本文件名 | – |
| 樣本MD5 | 893561ff6d17f1e95897b894dde29a2a |
| 樣本類型 | PE32 EXE |
| 樣本大小 | 1.85 MB (1942112字節) |
沙箱分析
將該樣本上傳到奇安信情報沙箱分析后,沙箱基于智能的惡意行為綜合判斷給出了10分的惡意評分。
行為異常部分顯示樣本的一些可疑行為,包括向totalservices[.]info發送POST請求,釋放名為djkggosj.bat的BAT文件,并用cmd.exe執行。
樣本為EXE,但使用PDF圖標,顯然攻擊者想以此作為偽裝。此外,樣本的文件元數據使用游戲程序相關信息,并攜帶名為”Ebo Sky Tech Inc”的數字簽名。
沙箱運行結果的主機行為部分可以看到樣本進程派生cmd.exe子進程執行BAT文件,而BAT文件存放在樣本創建的FROX目錄中。樣本進程的釋放文件列表和刪除文件列表均出現該BAT文件,表明BAT文件在執行后會被刪除。
網絡行為顯示樣本與遠程服務器totalservices[.]info產生HTTPS通信,發送POST請求。
詳細分析
樣本中出現大量01字符串,這些字符串實際由原始字符串中每個字符的ASCII碼二進制形式組成。
以這種方式編碼的字符串其中一部分是用于異或解密的key,這些key被用來還原樣本導入的API名稱等字符串。
樣本首先創建”%LocalAppdata%\\\\TEMP\\\\FROX\\\\”目錄,在該目錄中釋放djkggosj.bat。BAT文件中的代碼設置名為PerformTaskMaintain的計劃任務,實現樣本自身的持久化。
然后創建互斥量”08808″,并收集設備信息,包括:CPU型號、操作系統產品名稱和build number、用戶名、主機名、CPU的ProcessorID、安裝的軟件列表。
收集的信息經過AES加密和Base64編碼處理,拼接到”batac=”之后,作為POST請求的數據,發送到”hxxps://totalservices.info/WxporesjaTexopManor/ptomekasresdkolertys”
惡意軟件根據C2服務器的響應決定是否下載后續載荷。后續載荷名稱為socker.dll,與標識受害者ID的字符串(由用戶名、主機名、ProcessorID組成)拼接并加密后,作為POST請求”data”字段的數據。下載后續的URL為”hxxps://totalservices.info/vrptpvabkokamekastra/N1/SA”。
下載的DLL保存為”%LocalAppdata%\\\\moshtmlclip\\\\socker.dll”,釋放另一個BAT文件”%LocalAppdata%\\\\Temp\\\\FROX\\\\sfs.bat”創建計劃任務用于啟動socker.dll。計劃任務名稱為MicrosoftVelocity,執行socker.dll的導出函數”?ejjwed@@YAHXZ”。
由于暫未捕獲到socker.dll,目前無法對后續載荷功能展開進一步的分析。
PDF釣魚攻擊鏈
肚腦蟲組織利用PDF誘餌的另一種攻擊手法是借助PDF包含的釣魚鏈接投遞帶惡意宏的PPT,相關樣本信息如下。
| MD5 | 文件名 | 說明 |
| 5af77f4a63089011563bd3fcd02d56e0 | NDC-Course.pdf | PDF,包含下載惡意PPT的鏈接 |
| eb5d23a6a200016ba9b2d0085e58b586 | Assets 2024.pdf | |
| 0f4f32b97c7bde0824b0fd27fe3ec4b0 | NDC-Course.ppt | PPT,帶惡意宏 |
| d3ff126dc3e69d7f2d660a504b499cc4 | – | |
| a0dbb4f8dbc5df628f03d60ed4a79d29 | Assets 2024.ppt | |
| bcc0f690f330be4321365f6fd1330d95 | PLAIN.dll | DLL,向C&C服務器回傳收集的信息,以及下載后續載荷 |
| 2c2176d9a74851dd30525a87bf0794ca | PLAIN.dll | |
| bdc40a26cd02e33e5b83a9573125793e | PLAIN.dll | |
| 8e91d5ab926daca6f4db41ba8a918ffd | PLAIN.dll | |
| fa6cd1543db5156e7063db87b3241f26 | PLAIN.dll | |
| df2ef826d0a398772f2373cd7303d58b | PLAIN.dll |
以樣本Assets 2024.pdf(MD5:eb5d23a6a200016ba9b2d0085e58b586)為例,其中包含的下載PPT的鏈接為”hxxps://sharetobijoy.buzz/2024/filez/uploadz/invite25.php?id=19112″。
PPT中的惡意宏根據是否為64位系統執行不同shellcode。
Shellcode為肚腦蟲常用的兩階段下載器,以32位shellcode為例,第一階段shellcode從”hxxp://diffgrinder.info/PNubW5l8DVqKlNbo/zFsDitREUBbsbeB815VkWnKpuXN4bhXUg3MFC7txkrV5beqf.png”獲取后續,解密后作為第二階段shellcode執行。
第二階段shellcode再從”hxxp://diffgrinder.info/PNubW5l8DVqKlNbo/zFsDitREUBbsbeB815VkWnKpuXN4bhXUg3MFC7txkrV5beqf.mp3″下載后續,將其保存為”%temp%\\\\meaBRlIGkgtELpU\\\\ksHWqKqg.dll”。然后寫入”4D 5A 90 00″四字節修復DOS頭,接著將該DLL加載進內存中,調用其導出函數”LOPP”。
ksHWqKqg.dll(MD5:2c2176d9a74851dd30525a87bf0794ca)具有LOPP和VelocitySpeed兩個導出函數,DLL功能與上面描述的直接偽裝為PDF的EXE程序惡意行為一致。
(1) LOPP
該函數主要負責持久化操作。釋放cross.bat文件,創建PerformTaskMaintain計劃任務,執行”%temp%\\\\FROX\\\\PLAIN.dll”的導出函數VelocitySpeed,并將DLL文件自身復制為”%temp%\\\\FROX\\\\PLAIN.dll”。
(2) VelocitySpeed
該函數負責與C&C服務器的交互并獲取后續載荷。收集感染設備的信息(CPU型號、操作系統產品名稱和build number、用戶名、主機名、CPU的ProcessorID、安裝的軟件列表),加密后發送到C&C服務器。AES加密使用的IV和key如下所示,與EXE樣本一致。
服務器響應如果符合條件,則繼續從C&C服務器獲取后續載荷socker.dll,保存為”%LocalAppdata%\\\\moshtmlclip\\\\socker.dll”,釋放sfs.dat創建計劃任務,用于啟動socker.dll。
溯源關聯
以PDF文檔誘餌開始的釣魚攻擊鏈與肚腦蟲組織以往的攻擊手法[1]高度一致,相似之處包括shellcode的代碼特點、獲取后續載荷的URL格式、字符串采用01編碼、通過BAT文件設置計劃任務運行其他組件。
偽裝為PDF的EXE與PLAIN.dll兩者在代碼和惡意行為上幾乎一模一樣,而EXE中還保留了”PLAIN.dll”的01編碼,并且EXE的編譯時間和數字簽名時間在PLAIN.dll投入攻擊活動之后。因此可以認為該EXE由PLAIN.dll改寫而來,攻擊者直接用EXE偽裝為PDF,可能是簡化攻擊流程、改變攻擊手法的一種嘗試。
總結
本次捕獲的攻擊樣本屬于肚腦蟲組織攻擊流程前期階段的組件,從C&C服務器獲取的后續載荷(如socker.dll)很可能執行進一步的情報收集工作。以PDF作為誘餌在該組織以往的攻擊活動中并不多見,不過此次活動的攻擊過程依然延續了肚腦蟲組織的慣用手法,從整體上看變化不大,這也側面說明了這套攻擊鏈在肚腦蟲實施網絡間諜活動的過程中屢試不爽。
防護建議
奇安信威脅情報中心提醒廣大用戶,謹防釣魚攻擊,切勿打開社交媒體分享的來歷不明的鏈接,不點擊執行未知來源的郵件附件,不運行標題夸張的未知文件,不安裝非正規途徑來源的APP。做到及時備份重要文件,更新安裝補丁。
若需運行或安裝來歷不明的應用,可先通過奇安信威脅情報文件深度分析平臺(https://sandbox.ti.qianxin.com/sandbox/page)進行判別。目前已支持包括Windows、安卓平臺在內的多種格式文件深度分析。
目前,基于奇安信威脅情報中心的威脅情報數據的全線產品,包括奇安信威脅情報平臺(TIP)、天擎、天眼高級威脅檢測系統、奇安信NGSOC、奇安信態勢感知等,都已經支持對此類攻擊的精確檢測。
IOC
MD5
(EXE)
893561ff6d17f1e95897b894dde29a2a
(PDF)
eb5d23a6a200016ba9b2d0085e58b586
5af77f4a63089011563bd3fcd02d56e0
(PPT)
0f4f32b97c7bde0824b0fd27fe3ec4b0
d3ff126dc3e69d7f2d660a504b499cc4
a0dbb4f8dbc5df628f03d60ed4a79d29
(DLL)
bcc0f690f330be4321365f6fd1330d95
2c2176d9a74851dd30525a87bf0794ca
bdc40a26cd02e33e5b83a9573125793e
8e91d5ab926daca6f4db41ba8a918ffd
fa6cd1543db5156e7063db87b3241f26
df2ef826d0a398772f2373cd7303d58b
C&C
bijoyshare.buzz
sharetobijoy.buzz
diffgrinder.info
totalservices.info
theoyservices.info
URL
hxxps://bijoyshare.buzz/2024/filez/uploads/invite25.php?id=10515
hxxps://sharetobijoy.buzz/2024/filez/uploadz/invite25.php?id=19112
hxxp://diffgrinder.info/PNubW5l8DVqKlNbo/zFsDitREUBbsbeB815VkWnKpuXN4bhXUg3MFC7txkrV5beqf.{ico|png|mp3|mp4}
hxxp://diffgrinder.info/4us2rZQSxKVHgbyW/iAILc6MjCh4QEXTJWmKyY8r4DaoKRwkQ3yjlf0evOOO9vIdh.{ico|png|mp3|mp4}
hxxps://totalservices.info/WxporesjaTexopManor/ptomekasresdkolertys
hxxps://totalservices.info/WxporesjaTexopManor/vrptpvabkokamekastra/N1/SA
hxxps://theoyservices.info/WxporesjaTexopManor/ptomekasresdkolertys
hxxps://theoyservices.info/WxporesjaTexopManor/vrptpvabkokamekastra/N1/SA
參考鏈接
[1].https://ti.qianxin.com/blog/articles/Heavy-Shadows:Summary-of-Recent-Attack-Techniques-Used-by-Donot-Group-CN/