團伙背景
蔓靈花組織,又稱為BITTER,是一支據稱有南亞背景的高級永續性威脅(APT)組織。自2013年11月起,該組織開始活躍,並主要專注於巴基斯坦和中國兩國。其攻擊目標主要包括政府部門、電力行業、軍工業相關單位,其意圖是竊取敏感資料。奇安信內部跟蹤編號為APT-Q-37。
直到2016年,國外安全廠商Forcepoint首次披露了蔓靈花組織的存在[1],之前一直未被發現。根據該組織所使用的遠端訪問工具(RAT)的網路通訊標頭,Forcepoint將其命名為「BITTER」。同年,奇安信威脅情報中心在國內發現了相關攻擊,並將其命名為「蔓靈花」。
自從被曝光後,該組織就修改了資料包結構,不再以「BITTER」作為資料包的標識。至此,蔓靈花正式浮出水面,隨著其攻擊活動不斷被發現披露,蔓靈花組織的全貌越來越清晰。
該組織具有強烈的政治背景,主要針對巴基斯坦、中國兩國,2018年也發現了其針對沙烏地阿拉伯的活動[2],其攻擊瞄準政府部門、電力、軍工業相關單位,意圖竊取敏感資料,2019年還加強了對我國進出口相關的攻擊。
有意思的是,在多份報告中均有指出,蔓靈花組織跟疑似南亞某國的多個攻擊組織,包括摩訶草(Patchwork)、魔羅桫、肚腦蟲(donot)等存在著千絲萬縷的關係。這顯示出蔓靈花組織在南亞地區的複雜網路關聯。
概述
奇安信威脅情報中心紅雨滴團隊一直以來都在對全球各大APT組織進行追蹤,在對南亞相關APT組織進行追蹤時我們發現蔓靈花組織近期非常活躍,本文內容僅是對過去一段時間內蔓靈花組織的攻擊手法做一個分享,揭示其攻擊手段、目標和動機,為相關機構提供有效的安全建議。
自2021年3月《「Operation Magichm」淺談蔓靈花組織的CHM檔案投放與後續操作》[3]一文發佈以來,蔓靈花組織一直都在吃老本,魚叉式釣魚郵件投遞惡意chm檔案屢試不爽,下圖為前文披露時的攻擊全流程。
而在今年,蔓靈花還是以魚叉式釣魚郵件投遞惡意壓縮包,壓縮包裡面通常為惡意chm檔案,有時也會在壓縮包裡面搭載帶漏洞的office檔案。其整個攻擊流程圖如下所示:
可以發現蔓靈花還是擅用chm檔案來創建計劃任務來獲取後續,並且後續msi檔案是有選擇性的進行下發,而在msi檔案中通常搭載蔓靈花最新的攻擊武器wmRAT,該攻擊武器近兩年才被披露,並不斷擴展更新,現已支持十多種遠控指令。
在威脅狩獵過程中,我們捕獲的部分誘餌郵件如下所示:
壓縮包中通常為惡意chm檔案。
當然,有時也會有攜帶漏洞的xlsx檔案。
利用已知的公式編輯器漏洞來創建計劃任務,下載後續msi檔案。
另外我們還發現了蔓靈花利用PowerPoint單擊滑鼠事件創建計劃任務的新方式。
MSI檔案
蔓靈花創建的計劃任務通常定時15到20分鐘請求一次C2,下載後續載荷,在請求時通常會帶上計算機名和使用者名,這會在後臺為受害者建立起一個檔案夾,後續通過FTP的方式向指定受害者目錄下上傳msi檔案[4]。
近期我們觀察到蔓靈花投放兩種類型的msi木馬,捕獲的樣本資訊如下:
|
MD5 |
類型 |
|
d7c3e044df73127776a5bd4cd031de30 |
Microsoft Installer(MSI) |
|
19db308f6e83593824cc912aad18e3b4 |
Microsoft Installer(MSI) |
其中d7c3e044df73127776a5bd4cd031de30使用系統msiexec.exe執行後,會在Local目錄下釋放並執行最新版本的wmRAT,使用7zip可以看到wmRAT被打包在其中。
而19db308f6e83593824cc912aad18e3b4則在%temp%目錄下釋放files.cab檔案,然後解壓該檔案,裡面包含白程序MSOutlookServices.exe和惡意檔案OLMAPI32.dll,同樣,使用7zip可以看到被打包在msi檔案中。
樣本分析
wmRAT
蔓靈花的wmRAT於2022年被首次披露,披露時遠控指令只有16個,並且有一半的指令無實際功能,這表明蔓靈花組織正在積極開發該遠控木馬。
本次捕獲的wmRAT新增網路連接性嗅探。
另外遠控指令增加到22個,但同樣保留了部分無實際功能的指令。
其執行的部分遠控指令如下表所示:
|
指令 |
功能 |
|
5 |
發送截圖資料到伺服器 |
|
6 |
接收檔案資料 |
|
8 |
從伺服器接收資訊,尋找指定檔案處理後發送至伺服器 |
|
10 |
打開指定的URL,並獲取檔案 |
|
11 |
查找指定目錄檔案,並進行操作 |
|
13 |
搜尋指定目錄檔案,將檔案資訊發送至伺服器 |
|
15 |
獲取資訊上傳,包括計算機名、使用者名、磁碟佔用率等 |
|
16 |
使用powershell執行命令、創建管道獲取資料等 |
|
20 |
關閉指定檔案流 |
|
21 |
向指定檔案流中寫入資料 |
|
23 |
打開指定檔案流,並向伺服器傳輸資料 |
|
26 |
發送檔案資料到遠端伺服器,並計算發送進度 |
Backdoor
該msi樣本被我們從蔓靈花的基礎設施officedocuments.info所捕獲,下載時被命名為msos.msi,其利用白加黑的載入機制繞過殺軟的監控。
其利用微軟簽名的Outlook衝突說明相關程序cnfnot32.exe作為白程序,來載入惡意的OLMAPI32.dll。
OLMAPI32.dll與常規木馬不一樣的是,使用RPC與服務端進行互動。另外,該木馬近期被友商詳細分析過,這裡我們僅做一些補充,不進行詳細分析。
其收集的資訊包括以下內容:
|
Host Name |
OS Name |
OS Version |
|
OS Build Type |
Registered Owner |
RegisteredOrganization |
|
Product ID |
Install Date |
System Manufacturer |
|
System Model |
System type |
Processor(s) |
|
BiosVersion |
BIOSVENDOR |
BIOS Date |
|
Boot Device |
System Locale |
Input Locale |
|
Time zone |
TotalPhysicalMemory |
AvailablePhysicalMemory |
|
Virtual Memory: Max Size |
Virtual Memory: Available |
Virtual Memory: In Use |
|
PageFileLocation |
Domain |
創建計劃任務實現持久化
利用RPC來進行通訊,通訊埠為443埠
其支持的遠控指令如下:
|
指令 |
功能 |
|
ID |
標識受害者 |
|
INF |
上傳收集的資訊 |
|
DWN |
下載 |
|
RUN |
執行指定檔案 |
|
DLY |
休眠 |
|
CMD |
執行遠端指令 |
溯源關聯
通過在樣本庫中進行同源搜尋,我們發現了與上述Backdoor同一批次的樣本,樣本大小、結構、創建時間等均一致,唯一不同的是C2有所變化。
|
MD5 |
C2 |
|
09a9e1b03f7d7de4340bc5f9e656b798 |
msdata.ddns.net |
|
893060bff7da03f5555ecc9931d0c700 |
outlook-updates.ddns.net |
|
a6ee959ce128421317f8d97f9f312c78 |
msoutllook.ddns.net |
總結
通過追蹤發現,蔓靈花組織近期活動十分猖獗,其通過社會工程學建立立足點,擅於運用計劃任務獲取後續載荷。值得一提的是其利用受害者資訊建立對應目錄,對感興趣的受害者才會下發後續載荷,有效隔絕絕大部分研究員的分析,這也是為什麼狩獵到蔓靈花組織的惡意chm檔案,訪問其基礎設施,下載回來的msi檔案總是0kb的根本原因。另外蔓靈花組織也在嘗試更新武器庫,使用新木馬來獲取更多的收益。
應對APT組織的攻擊是一項複雜而艱鉅的任務,需要組織和個人採取綜合性的網路安全措施,包括加強網路防禦、定期漏洞修補、人員培訓以識別威脅、使用先進的安全工具和持續監控等。
防護建議
奇安信威脅情報中心提醒廣大使用者,謹防釣魚攻擊,切勿打開社交媒體分享的來歷不明的連結,不點選執行未知來源的郵件附件,不運行標題誇張的未知檔案,不安裝非正規途徑來源的APP。做到及時備份重要檔案,更新安裝補丁。
若需運行,安裝來歷不明的應用,可先通過奇安信威脅情報檔案深度分析平臺(https://sandbox.ti.qianxin.com/sandbox/page)進行判別。目前已支持包括Windows、安卓平臺在內的多種格式檔案深度分析。
目前,基於奇安信威脅情報中心的威脅情報資料的全線產品,包括奇安信威脅情報平臺(TIP)、天擎、天眼高級威脅檢測系統、奇安信NGSOC、奇安信態勢感知等,都已經支持對此類攻擊的精確檢測。
部分IOC
MD5
5c3c496869eab67c5742d522f9b35743
2fb6ffb8bd8861943893127d2956749b
9081f304fa2cc059a501e27aed2b31eb
e19dda58beebac867b334fe6bb3f9853
aa3fdb9b07a6dd926a7d5d4f9ce2a824
513b13ec23c08becdde6befb2cba0de7
86b57b0ec360f45331fc5e4eb5c99611
9cee927ab9dbfcee1105f6164d4c517e
95968f3597d61251724f22a6bbeb3dd7
a4c3fa2f91090cff7eb3933ec1442200
47bf243e41009b660a4610c84af835e9
485b6e2bef303251789827d7829e3a3e
ba068724f569d98d56fcfb473449c8df
067d2b13cd93a3c202f601f399926ae2
4ed5d896869949b42e55fcb579e2c689
8b15c4a11df2deea9ad4699ece085a6f
cce89f4956a5c8b1bec82b21e371645b
edcd2d0c8e43f48c853788cf32f78653
1b0748d7ed0bbfbdaa039c2cd0bd2d8e
79a0285313c1f0f4b6369c4a0469244d
515be466eca3c803be66e40c3a84f778
c3e0e2dda8485e56bfcf26b36ada4da5
5c2c1a1fe951591402c36c1a5a240612
f7d293e1ef4181cfb08c9e0a81795eba
a7e8d75eae4f1cb343745d9dd394a154
5df9468112e21c712474483793537aed
a6ee959ce128421317f8d97f9f312c78
893060bff7da03f5555ecc9931d0c700
09a9e1b03f7d7de4340bc5f9e656b798
URL
http://officedocuments.info/live/msos.msi
https://bluelotus.mail-gdrive.com/Services.msi
C2
deriksystemspartens.com
daveonenewtestpanel.com
novasapothecary.com
farleysmxpph.com
folkmusicstreams.com
xiuxonlinehost.com
vsetmediasvc.com
uxmesysconsole.com
grounpackcluepik.com
devqrytoprar.net
erswuniconsharing.com
outlook-services.ddns.net
msoutllook.ddns.net
outlook-updates.ddns.net
msdata.ddns.net
bluelotus.mail-gdrive.com
officedocuments.info
參考連結
[1].https://www.forcepoint.com/blog/x-labs/bitter-targeted-attack-against-pakistan [2].https://unit42.paloaltonetworks.com/multiple-artradownloader-variants-used-by-bitter-to-target-pakistan/ [3].https://ti.qianxin.com/blog/articles/%22operation-magichm%22:CHM-file-release-and-subsequent-operation-of-BITTER-organization/ [4].https://ti.qianxin.com/blog/articles/operation-tejas-a-dead-elephant-curled-up-in-the-kunlun-mountains/點選閱讀原文至ALPHA 6.0
即刻助力威脅研判