如何理解蔓靈花組織的CHM文件投放與后續(xù)操作

本篇內(nèi)容主要講解“如何理解蔓靈花組織的CHM文件投放與后續(xù)操作”，感興趣的朋友不妨來看看。本文介紹的方法操作簡(jiǎn)單快捷，實(shí)用性強(qiáng)。下面就讓小編來帶大家學(xué)習(xí)“如何理解蔓靈花組織的CHM文件投放與后續(xù)操作”吧!

概述

蔓靈花（BITTER）是疑似具有南亞背景的APT組織，該組織長(zhǎng)期針對(duì)中國，巴基斯坦等國家進(jìn)行攻擊活動(dòng)，主要針對(duì)政府、軍工業(yè)、電力、核能等單位進(jìn)行定向攻擊，竊取敏感資料。

近日，奇安信威脅情報(bào)中心在日常監(jiān)控過程中發(fā)現(xiàn)蔓靈花APT組織開始通過郵箱投遞包含有惡意腳本Chm文件的RAR壓縮包，對(duì)國內(nèi)外相關(guān)單位發(fā)起定向攻擊，經(jīng)過遙測(cè)此類的攻擊行動(dòng)已經(jīng)持續(xù)兩年，我們將其成為operation magichm。

經(jīng)過溯源，本次攻擊活動(dòng)中蔓靈花采用了與以往截然不同的攻擊鏈，使用.net遠(yuǎn)控作為節(jié)點(diǎn)執(zhí)行命令或者下發(fā)插件，并下發(fā)了一個(gè)之前從未被披露過的新模塊。攻擊全流程如下：

樣本分析

第一階段樣本均通過郵件進(jìn)行投遞，附件中包含

啟動(dòng)Chm后會(huì)執(zhí)行內(nèi)置的惡意腳本

創(chuàng)建計(jì)劃任務(wù)從遠(yuǎn)程服務(wù)器下載msi并執(zhí)行，通過天擎日志我們發(fā)現(xiàn)一個(gè)有趣的現(xiàn)象，受害者在16:21分時(shí)打開惡意文件創(chuàng)建計(jì)劃任務(wù)，16:52成功從服務(wù)器下載并執(zhí)行Msi文件，在c:\intel\logs\目錄下釋放名為dlhost.exe的payload。

該樣本為蔓靈花組織常用的ArtraDownloader

C2：82.221.136.27///RguhsT/accept.php?a=XX&b=XX&c=XX&d=XX&e=

但文件一落地就被天擎查殺，并沒有執(zhí)行后續(xù)操作，接著蔓靈花組織花了半小時(shí)的時(shí)間來替換服務(wù)器上的payload，直到17:21分時(shí)受害者才成功下載了一種免殺的Downloader，我們將其命名為MuuyDownLoader，信息如下：

創(chuàng)建“Check”信號(hào)量用于互斥，

檢查是否存在360totalSecurity、Tencent、kaspersky等信息，將自身拷貝到

%userprofile%\appdata\roaming\microsoft\windows\sendto命名為winupd.exe

收集本機(jī)信息

進(jìn)入下載流程解密C2。訪問的URL如下

下載成功后會(huì)存放在%userprofile%\appdata\roaming\microsoft\windows\sendto目錄下，樣本信息如下：

樣本為Bitter組織常用的.net遠(yuǎn)控程序

C2被轉(zhuǎn)換為十六進(jìn)制存放在配置文件中，C2:45.11.19.170:34318

在以往對(duì)Bitter組織的研究中我們僅僅將.net遠(yuǎn)控作為ArtraDownloader的一個(gè)插件來看待，主要功能為竊取受害者數(shù)據(jù)，

但在本次攻擊活動(dòng)中，我們首次發(fā)現(xiàn)該團(tuán)伙將其作為分發(fā)插件的節(jié)點(diǎn)。分發(fā)的插件均做了免殺處理，信息如下：

值得一提的是分發(fā)插件前會(huì)使用節(jié)點(diǎn)遠(yuǎn)控執(zhí)行cmd命令，例如會(huì)執(zhí)行tasklist | find “ Sysmgr”命令來判斷插件是否正在運(yùn)行。下發(fā)插件后會(huì)使用schtasks命令來實(shí)現(xiàn)插件的持久化。

Sysmgr.exe是Bitter組織常用文件收集模塊的免殺版本，在Bitter以往的攻擊活動(dòng)中該類型的插件名稱一般都為L(zhǎng)sapip、Lsap、Lsapcr、Lsapc等，均由ArtraDownloader下發(fā)。

之后通過POST將數(shù)據(jù)發(fā)送到遠(yuǎn)程服務(wù)器上

C2：svc2mcxwave.net/UihbywscTZ/45Ugty845nv7rt.php

scvhost.exe是Bitter組織常用的鍵盤記錄模塊，在在Bitter以往的攻擊活動(dòng)中該類型的插件名稱一般都為Igfxsrvk、keylogger等名稱，同樣由ArtraDownloader下發(fā)

winsync.exe是一款之前從未被披露的模塊，我們將其稱之為備用模塊BackupDownloader，由CAB-SFX打包而成，執(zhí)行過程中釋放并執(zhí)行appsync.vbs腳本。

通過cmstp執(zhí)行惡意inf腳本，inf腳本調(diào)用powershell從遠(yuǎn)程服務(wù)器下載payload（wdisvcnotifyhost.com/n9brCs21/apprun），最后將其注冊(cè)為計(jì)劃任務(wù)實(shí)現(xiàn)持久化。

我們觀察到當(dāng)核心.net節(jié)點(diǎn)正常運(yùn)行時(shí)，遠(yuǎn)程服務(wù)器上的Payload一直處于404狀態(tài)，當(dāng)核心節(jié)點(diǎn)被殺軟或者人工清除，攻擊者才會(huì)在遠(yuǎn)程服務(wù)器上傳免殺后的核心節(jié)點(diǎn)，核心節(jié)點(diǎn)復(fù)活后，攻擊者首先執(zhí)行了鍵盤記錄模塊，并使用cmd命令評(píng)估損失情況。

關(guān)聯(lián)分析

基于奇安信遙測(cè)數(shù)據(jù)，我們發(fā)現(xiàn)Bitter APT組織最晚于2019年中時(shí)開始投遞惡意Chm郵件，歷史捕獲到的樣本如下：

本次活動(dòng)使用的MuuyDownLoader最早可以追溯到2019年

老版本的樣本包含PDB：

新老版本代碼結(jié)構(gòu)相似度極高

到此，相信大家對(duì)“如何理解蔓靈花組織的CHM文件投放與后續(xù)操作”有了更深的了解，不妨來實(shí)際操作一番吧！這里是億速云網(wǎng)站，更多相關(guān)內(nèi)容可以進(jìn)入相關(guān)頻道進(jìn)行查詢，關(guān)注我們，繼續(xù)學(xué)習(xí)！