【广东省应急响应平台】印度APT组织“白象”伪装我国卫生主管单位,以疫情文件发起钓鱼攻击

发布时间:2020-02-08浏览次数:189

文章来源:广东省网络安全应急响应平台

原文链接:https://www.gdcert.com.cn/index/news_detail/WFJaRlkuABYBFgYEBwQ

 

一、事件背景

2020年2月1日,印度背景APT组织“白象”使用了一个伪装成我国卫生主管部门的域名,并借助新型肺炎为话题,伪造疫情相关文件,对我国医疗工作领域发动APT攻击。

“白象”又名Patchwork、摩诃草,是印度背景的APT组织,自2015年12月开始活跃,长期针对中国军队、政府等部门开展渗透攻击。
仿冒域名“nhc****com”2020123日注册,130日后上线,访问部分链接会直接下载名为“武汉旅行信息收集申请表.xlsm”、“卫生部指令.docx”的恶意文档,推测系通过钓鱼邮件传播,打开后将下载具备信息窃取、远程控制功能的木马后门。

关联发现,相似功能的样本至少于2019年底开始使用,根据样本特征、攻击手法及资产特点,微步在线判断幕后攻击者为印度背景的黑客组织白象”。


二、事件详情

202021日,我方监测发现一个仿冒我国卫生主管单位域名的可疑站点“nhc****.com”,该站点至少存在两条可疑链接会投递与武汉新型肺炎相关的恶意文档,具体情况包括:
1、 http://nhc****.com/*****.html?*******

访问该链接会展示有*********健康委员会的标题、卫生应急办公室的联系方式及相关背景,同时下载名为武汉旅行信息收集申请表.xlsm”的文档。


武汉旅行信息收集申请表.xlsm”文档内容如下:


2、 http://nhc****.com/**********/卫生部指令.docx
访问该链接将直接下载为名卫生部指令.docx”的文档。文档内容如下:



核实发现,从该网站下载的两个文档均会进一步下载后门程序,因此判断属于利用时事热点话题发起的攻击活动。


三、样本分析

1.      武汉旅行信息收集申请表.xlsm
文件名称
武汉旅行信息收集申请表.xlsm
文件格式
XLSM文档
文件大小
35.7 KB (36,619 字节)
SHA256
fc7c********************************************************c978
C2
http://45.***.***.**/window.sct
http://45.***.***.**//window.jpeg
 

(1)诱饵文档中嵌入了恶意宏代码,启用后会通过“scrobj.dll”调用远程“http://45.***.***.**/window.sct”的sct文件。

(2)Sct代码继续从服务器中下载伪装成jpeg文件的EXE文件。

(3)后门基本信息

文件名称
window.jpeg
文件格式
可执行文件(EXE
文件大小
6.50 MB (6,821,888 字节)
SHA256
0fbd********************************************************7409
C2
https://185.***.**.**/cnc/register
https://185.***.**.**/cnc/tasks/request
https://185.***.**.**/cnc/tasks/result
 
(4)EXE实际为后门程序,主函数功能实现自拷贝、创建计划任务持久化攻击、最后转入网络功能获取指令执行。

(5)通过计划任务COM组件实现持久化攻击,实现代码和效果如下:


(6)之后执行后门功能函数,该函数通过HTTPSPOST请求获取指令数据,其中URL如下:

(7)通过“https://185.***.**.**/***/*****/request”获取指令,返回JSON格式数据,包含是否请求成功和指令,代码如下:

(8)HTTPS请求返回数据如下:

(9)通过JSON字符串分析,发现该后门能够实现反弹Shell、文件\文件夹上传至FTP服务器、文件下载、屏幕快照功能,相关实现代码如下。
  1. 反弹Shell代码:

   b. 文件上传指令:


   c. 文件下载指令:


   d. 屏幕快照代码:

2.      卫生部命令.docx
文件名称
卫生部命令
文件格式
docx文档
文件大小
567KB (36,619 字节)
SHA256
32bf********************************************************5b0f
C2
https://github.com/nhc***/q*********8/raw/master/submit_details.exe
https://45.***.***.***/qhupdate/pagetip/getconf
https://45.***.***.***/qhupdate/pagetip/cloudquery/
https://45.***.***.***/qhupdate/msquery/
诱饵文件伪造中华人民共和国国家健康委员会标题的行程信息采集文件,诱惑攻击目标点击按钮执行shell.explorer加载对象下载木马加载器https://github.com/nhc***/q*********8/raw/master/submit_details.exe
1)通过访问www.baidu.com检查网络状态。


2)上传本地配置信息https://45.***.***.***/qhupdate/pagetip/getconf

3)访问https://api.github.com/repos/*******/meeting/contents/s****p/token.txt获取下载链接指令,该文件目前已被攻击者删除。

4)创建任务下载组件。

四、关联分析

1、  nhc****.com
该域名于2020123日在openprovider注册,并启用有隐私保护,从其伪造的*********健康委员会页面信息判断,钓鱼站点于2020130日后上线。


2、  相关样本
(1)通过样本特征字符串我们关联发现两个可疑样本,经过分析其中一个文件(“cb1a********************************************************8431”)与本次诱饵文件武汉旅行信息收集申请表.xlsm”释放的后门一致,文件编译时间为20191120日。

(2)样本“cb1a********************************************************8431”使用的C2地址为94.***.***.***


(3)关联的另一个样本“6da2********************************************************b9f8”,编译时间为2019114日。

(4)该样本功能为下载器,从GitHub中下载Payload进行执行,但由于下载链接已经失效了无法进一步分析后门功能。

此外,对本次事件涉及的木马特点、攻击手法、攻击资产等方式研判认为,幕后攻击者为印度背景黑客组织白象



文章来源:广东省网络安全应急响应平台

原文链接:https://www.gdcert.com.cn/index/news_detail/WFJaRlkuABYBFgYEBwQ



茂名校区

高州校区

  • 教网中心微信公众号