【风险预警】腾云蛇组织(APT-C-61)针对南亚地区的攻击活动披露

概述

近日,国内有关研究机构发现发现南亚地区中有新的境外APT组织活动,且最早活跃可追溯到2020年1月,至今仍处于极度活跃状态。该APT组织主要针对巴基斯坦、孟加拉等国家的政府机构、军工、国防、科研等重要领域发起攻击。经分析,该APT组织利用社会工程学手段通过鱼叉邮件进行渗透,向目标设备传播恶意程序,从暗中控制目标设备,持续性地窃取设备上的敏感文件。其使用的C2、载荷下发、窃取的数据存储等均需依赖于云服务,使用的木马为python语言编写,因此,国内有关研究机构将其命名为“腾云蛇”,编号APT-C-61。我中心网络威胁数据联盟成员单位360政企安全对该组织的攻击手法进行了以下分析。

攻击流程

鱼叉攻击

攻击者通过精心编制的邮件,诱导受害者下载并打开附件文件,为后续的攻击活动创造更多机会。近日,国内有关安全机构捕获到腾云蛇组织(APT-C-61)使用的多个鱼叉邮件,邮件内容如下图所示:

附件中包含一个pdf文件,以及一个带有DDE漏洞的文档文件。

在pdf文件中,部分为无法打开的pdf文件。

而部分pdf是与邮件内容相关的伪装文件。

攻击分析

当投递的文档被打开后,会请求更新引用域,用来执行对应的恶意代码。

域代码如下图所示:

执行代码如下图所示:

当执行域代码后,会启动powershell从而下载多个脚本到本地执行。其中,脚本的功能主要有以下三种:

下载恶意程序

恶意程序持久化

扫描并上传敏感文件

而腾云蛇组织(APT-C-61)下发的恶意程序数据会使用以下两种方式进行加密。

文件数据转为十进制数

base64编码

恶意样本为pyinstaller封装的python脚本。在恶意程序中,使用在pythonanywhere.com搭建的网站作为交互的服务器。其中交互的数据格式如下图所示:

而在恶意程序中,指令对应功能如下图所示:

除了上述提到的RAT以外,国内有关安全研究机构监测到腾云蛇组织(APT-C-61)还会下发7za.exe、Rclone等白文件来完成数据的窃取。

Rclone是一个开源、多线程、命令行界面的计算机程序,可用于管理云存储。同时,Rclone的功能包括:档案同步、文件传输、加密、缓存和挂载。Rclone支持包括Amazon S3和Google 云端硬盘在内的40种以上云存储服务,如下图所示:

腾云蛇组织(APT-C-61)通过7za.exe对将文档文件压缩后,使用rclone.exe文件上传到谷歌云盘中,从而规避上传文件过程中的恶意流量检测。

信息总结

国内有关安全研究机构获取到部分攻击者用于记录攻击中使用的脚本指令文件。

上图中的docx的文件名以设备的计算机名命名,里面记录在对应设备上执行的脚本指令内容。

从脚本中使用的上传路径,国内有关安全机构发现腾云蛇组织(APT-C-61)在谷歌云硬盘中存储的路径主要有四个,如下图所示:

其中880、BD为孟加拉国的国家区号以及缩写,结合攻击目标,国内有关安全机构推测这两个文件夹均主要用于存储孟加拉上传的文件数据。

而92为巴基斯坦的国家区号,国内有关安全机构推测92和TBP则为存储巴基斯坦上传的文件数据。

组织归属

国内有关研究机构通过对攻击者下发攻击指令的时间进行统计分析,可以得到攻击者大致的活跃时间如下:

1.BD方向:

2.PK方向:

根据上述的统计信息推算腾云蛇组织(APT-C-61)使用的时区可能在(UTC+6.0)附近,结合其攻击对象的地理位置和政治因素,国内有关安全机构认为该APT组织可能与某些南亚地区的国家存在一定的关联关系。

与其他南亚APT组织的区别

国内有关安全研究机构在对腾云蛇组织(APT-C-61)进行溯源以及归属判断时,发现该APT组织与肚脑虫、蔓灵花等组织有存在同样的攻击目标,但在攻击手法、基础设施等方面与其他南亚地区APT组织存在较大的差距。

基础设施方面,腾云蛇组织(APT-C-61)惯用的基础设施多数依赖于第三方服务平台注册,如herokuapp.com,pythonanywhere.com,谷歌云硬盘等。虽然肚脑虫同样会使用谷歌云硬盘,但肚脑虫主要采用云硬盘下发服务器配置信息,并非上传文件数据。

在样本侧,除了使用的rat与目前南亚地区的APT组织的已知样本存在较大差别外,该组织更倾向于使用rclone.exe,7za.exe等白样本来完成文件数据的窃取,目前也暂未在其他南亚地区APT组织发现。

IOC

文章来源:广东省网络安全应急响应中心

标签: