文章来源:广东省网络安全应急响应平台
原文链接:https://www.gdcert.com.cn/index/news_detail/WFJaRlkuABYBFgYEBwQ
一、事件背景
2020年2月1日,印度背景APT组织“白象”使用了一个伪装成我国卫生主管部门的域名,并借助新型肺炎为话题,伪造疫情相关文件,对我国医疗工作领域发动APT攻击。
“白象”又名Patchwork、摩诃草,是印度背景的APT组织,自2015年12月开始活跃,长期针对中国军队、政府等部门开展渗透攻击。仿冒域名“nhc****com”于2020年1月23日注册,1月30日后上线,访问部分链接会直接下载名为“武汉旅行信息收集申请表.xlsm”、“卫生部指令.docx”的恶意文档,推测系通过钓鱼邮件传播,打开后将下载具备信息窃取、远程控制功能的木马后门。关联发现,相似功能的样本至少于2019年底开始使用,根据样本特征、攻击手法及资产特点,微步在线判断幕后攻击者为印度背景的黑客组织“白象”。
二、事件详情
2020年2月1日,我方监测发现一个仿冒我国卫生主管单位域名的可疑站点“nhc****.com”,该站点至少存在两条可疑链接会投递与武汉新型肺炎相关的恶意文档,具体情况包括:1、 http://nhc****.com/*****.html?*******访问该链接会展示有“*********健康委员会”的标题、卫生应急办公室的联系方式及相关背景,同时下载名为“武汉旅行信息收集申请表.xlsm”的文档。
“武汉旅行信息收集申请表.xlsm”文档内容如下:
2、 http://nhc****.com/**********/卫生部指令.docx访问该链接将直接下载为名“卫生部指令.docx”的文档。文档内容如下:
核实发现,从该网站下载的两个文档均会进一步下载后门程序,因此判断属于利用时事热点话题发起的攻击活动。
三、样本分析
| |
| |
| |
| fc7c********************************************************c978 |
| http://45.***.***.**/window.scthttp://45.***.***.**//window.jpeg |
(1)诱饵文档中嵌入了恶意宏代码,启用后会通过“scrobj.dll”调用远程“http://45.***.***.**/window.sct”的sct文件。
(2)Sct代码继续从服务器中下载伪装成jpeg文件的EXE文件。
(3)后门基本信息
| |
| |
| |
| 0fbd********************************************************7409 |
| https://185.***.**.**/cnc/registerhttps://185.***.**.**/cnc/tasks/requesthttps://185.***.**.**/cnc/tasks/result |
(4)EXE实际为后门程序,主函数功能实现自拷贝、创建计划任务持久化攻击、最后转入网络功能获取指令执行。(5)通过计划任务COM组件实现持久化攻击,实现代码和效果如下:
(6)之后执行后门功能函数,该函数通过HTTPS的POST请求获取指令数据,其中URL如下:(7)通过“https://185.***.**.**/***/*****/request”获取指令,返回JSON格式数据,包含是否请求成功和指令,代码如下:(9)通过JSON字符串分析,发现该后门能够实现反弹Shell、文件\文件夹上传至FTP服务器、文件下载、屏幕快照功能,相关实现代码如下。
| |
| |
| |
| 32bf********************************************************5b0f |
| https://github.com/nhc***/q*********8/raw/master/submit_details.exehttps://45.***.***.***/qhupdate/pagetip/getconfhttps://45.***.***.***/qhupdate/pagetip/cloudquery/https://45.***.***.***/qhupdate/msquery/ |
诱饵文件伪造“中华人民共和国国家健康委员会”标题的行程信息采集文件,诱惑攻击目标点击按钮执行shell.explorer加载对象下载木马加载器https://github.com/nhc***/q*********8/raw/master/submit_details.exe。1)通过访问www.baidu.com检查网络状态。
2)上传本地配置信息https://45.***.***.***/qhupdate/pagetip/getconf。
3)访问https://api.github.com/repos/*******/meeting/contents/s****p/token.txt获取下载链接指令,该文件目前已被攻击者删除。
该域名于2020年1月23日在openprovider注册,并启用有隐私保护,从其伪造的*********健康委员会页面信息判断,钓鱼站点于2020年1月30日后上线。
(1)通过样本特征字符串我们关联发现两个可疑样本,经过分析其中一个文件(“cb1a********************************************************8431”)与本次诱饵文件“武汉旅行信息收集申请表.xlsm”释放的后门一致,文件编译时间为2019年11月20日。
(2)样本“cb1a********************************************************8431”使用的C2地址为94.***.***.***
(3)关联的另一个样本“6da2********************************************************b9f8”,编译时间为2019年11月4日。(4)该样本功能为下载器,从GitHub中下载Payload进行执行,但由于下载链接已经失效了无法进一步分析后门功能。
此外,对本次事件涉及的木马特点、攻击手法、攻击资产等方式研判认为,幕后攻击者为印度背景黑客组织“白象”。
文章来源:广东省网络安全应急响应平台
原文链接:https://www.gdcert.com.cn/index/news_detail/WFJaRlkuABYBFgYEBwQ
