近期微步在线捕获数起针对南亚、中东地域多个国家的 APT 攻击活动,主要涉及到签订恰巴哈尔港协议的三方成员国,包括伊朗、阿富汗和印度,具有明显的国家战略目的。背后攻击组织进行的历史间谍活动至少可以追溯到2013年,擅长使用钓鱼和水坑攻击,攻击平台涉及到 PC 端和移动端,使用的工具以开源木马为主,同时也具备一定的开发能力,拥有自己的窃密后门。
恰巴哈尔港,又名恰赫巴哈尔,位于伊朗东南端锡斯坦—俾路支斯坦省的海岸,南面海运枢纽的阿拉伯海主航道,东临巴基斯坦。恰巴哈尔港向西是全球油气中心的波斯湾沿岸,向北通向石油资源丰富的中亚国家,正好处于西亚、南亚、中亚和印度洋的交汇之处,地理交通极为重要。它所在的恰巴哈尔市是伊朗海军和空军军事重地,伊朗拥有多处大型铁矿、巨型铜矿和丰富的油气资源,靠近伊朗的阿富汗也拥有亚洲最大的铁矿和世界级的铜矿。而参与签订恰巴哈尔港合作协议的印度和阿富汗,长期以来陆上交通受制于巴基斯坦,恰巴哈尔港的建立正好为印度、阿富汗和伊朗打开一条新的战略通道,恰巴哈尔港距离中巴经济走廊-瓜达尔港不到100公里,被称为印度版的一带一路。
此次发现攻击活动背后的组织至少从2013年活跃至今,攻击地域覆盖伊朗、阿富汗、印度和巴基斯坦国家,涉及人权活动家、运输部门、军事、退役军人、极端信仰者和政府部门等;
在资产 Whois 信息、AndroRAT 木马配置、攻击目标和地域上,发现该组织和透明部落存在一定的重合,疑似也具备巴基斯坦背景;
微步在线通过对相关样本、IP 和域名的溯源分析,共提取25条相关 IOC,可用于威胁情报检测。微步在线威胁感知平台 TDP 、本地威胁情报管理平台 TIP 、威胁情报云 API 、互联网安全接入服务 OneDNS 、 主机威胁检测与响应平台 OneEDR 等均已支持对此次攻击事件和团伙的检测。
近期微步在线捕获到数起攻击活动,包括针对 Windows 平台使用钓鱼攻击和水坑攻击投递具有明显目的性的恶意诱饵文档和伪装正常软件的恶意安装包,同时还有搭建伪装正常 Android 应用商店诱导受害者下载的恶意 APP。关联发现,此次攻击活动背后组织的历史间谍活动至少可以追溯到2013年,早期针对印度地区进行攻击,在2017年恰巴哈尔港协议签订三方-印度、阿富汗、伊朗正式开展贸易往来后v2rayng的url,伊朗、阿富汗以及伊朗和巴基斯坦交界-俾路支斯坦地区也被纳入攻击范围,主要涉及人权活动家、运输部门、军事、退役军人、极端信仰者和政府部门等多个领域。通过溯源分析,发现近期捕获的移动端后门配置信息,与透明部落(TransparentTribe)组织近期使用的后门具有相同配置,这意味着两个组织或许存在一定的关联,此次攻击活动目的性较强,带有国家战略性目的,疑似具有国家背景支持的 APT 攻击组织所为。
此次发现攻击活动中的恶意样本涉及 Windows 平台和 Android 平台,Windows 平台使用多种类型恶意样本进行钓鱼和水坑攻击,在木马后门的使用上以开源木马 QuasarRAT 和命名为 PrisrolRAT 的 Delphi 特马为主,Android 平台上样本使用的都是开源 AndroRat 木马,手法则是通过伪造正常的 Android 软件下载商店,诱导受害者目标下载运行。
1. Windows 平台的恶意样本总共有四类,携带木马的诱饵压缩包、可执行自解压诱饵程序和两种恶意类型的文档,其中一种恶意文档以启用宏的方式释放后门。另外一种恶意文档原理和模板注入相同,但并不是常见的下载恶意文档,而是用来作为探针使用。
a)打开恶意文档后,会触发远程模板链接,访问内嵌 URL 链接 ,但无返回任何下载后续,猜测该样本作用是利用探针获取反连信息。
d) 初始化 C2 服务器的目录(此处 C2 的文件上传并且没有检验文件后缀),获取包括:进程信息、软件信息、硬件信息、系统版本在内的计算机信息,存放在控件的 Text,在 HTTP 中 GetText 取出数据发送至服务器。
e)循环获取 C2 服务器的 /fil 文件,该文件存放文件后缀名,如:*.doc。然后由本地的程序扫描此类后缀的文件并且上传。
a)该样本和上述样本携带同样的宏代码,将 Base64 编码的载荷解码后释放文件并执行,释放目录%appdata%msword.exe。
a) 该样本和宏文档类型2样本分析释放的SFX一致,不同点在于此样本伪装成数据恢复软件投递,SFX在执行后门的同时还会安装正常数据恢复软件。
1.通过资产域名多维度关联,发现其中一个链接下存在恶意APK样本,通过微步在线大数据平台检索发现,该APK样本是通过伪造APKPure应用商店诱导用户下载。
2. 根据伪造的APKPure商店特征分析,回溯到多个伪造的恶意APK样本。
3.3 AndroRAT 的功能至少包括:获取联系人信息、获取通话信息、获取短信信息、GPS/网络定位、实时监控接收短信息、实时获取手机状态、拍照、响铃、录视频、发短信、打电话、打开浏览器和手机震动等。
对相关样本分析后,通过微步在线溯源平台和大数据平台进行攻击活动回溯,发现该组织攻击活动至少可以追溯到2013年,并从2017年开始使用恰巴哈尔港协议签订三方国家的相关话题进行攻击,如:俾路支失踪人员联系名单、阿富汗-印度-伊朗战略政策成员、阿富汗、印度和伊朗的主要利益相关者名单等。通过代码同源发现该组织最早在2013年开始使用 Delphi 开发的后门进行攻击活动,根据早期中后门出现的 prisrol.dev 字符串,微步在线将后门命名为PrisrolRAT,并且根据功能的不同分为V1和V2两个版本。
1.对近期发现的样本分析时,发现一例相关样本作者名较为特别,通过大数据平台进行搜索发现一例2018年使用的攻击样本。
2.对关联到的历史恶意样本宏代码元数据和资产进一步关联分析,发现一批2017年至2018年该组织攻击活动中使用的诱饵。
5.除此,在对比近期攻击中的 Delphi 后门过程中,发现和 PrisrolRAT V1 代码存在一定的相似性并且资产也高度接近,所以将其近期攻击使用的 Delphi 后门命名为 PrisrolRAT V2。对比两个版本,V1 和 V2 存在一定的差异,但实现的功能均为窃取文件功能。
6.版本差异,在 V1 版本中,其窃取的文件类型固定为 xls、jpg、ppt、iaf,还具备键盘记录功能,在 V2 版本中去除了键盘记录功能,文件类型也由服务端的fil文件所决定,此外还增加了系统信息的回传。
7.除此,发现大量 PrisrolRAT 样本具有 /.php?a= 这样的 URL 请求特点,通过微步在线同源 URL hunting 系统进行搜索,发现部分疑似该组织的请求URL。
8.对疑似同源的 URL 进行排查后,筛选出该组织的早期资产,发现其中一个域名下存在通信的样本,分析后发现该样本为 PrisrolRAT V1 版本,上传时间为2013年4月。
1.历史活动中使用的资产域名 “,在历史 Whois 信息中注册国家为巴基斯坦。
2.在“透明部落” APT 常用的域名 “ 上发现了完全一致配置的 APK样本,其 APK 上传时间在2021年5月份,这说明两个组织存在一定的关联。
3.在对2017年-2018年攻击活动使用的文档类型诱饵模板分析时,发现一批使用相同模板的样本,分别为使用 CrimsonRAT 的透明部落组织和使用 EHDevel、YTY 恶意框架的 Donot 组织。
4.对比双方样本发现docker v2rayng,透明部落样本量明显多于 Donot,宏代码上 Donot 较为单一而透明部落则花样繁多,并且在观察到两个组织历史活动中,同样发现有明显使用相同模板的痕迹,元数据和宏代码对比如下:
5.分析历史活动样本时,发现其中部分样本的压缩包文件是由印度地区进行上传,在该压缩包内,还发现透明部落组织相关样本。
此次发现的攻击活动背后组织至少从2013年活跃至今,具备双平台攻击能力,拥有木马开发能力,早期活动中使用特马攻击,而后期活动中改为使用开源木马,资产方面多以动态域名为主。此外,在关联分析样本的过程中发现,该组织与透明部落攻击目标和手法发现存在一定程度的重合。攻击目标早期主要覆盖印度地区,随着恰巴哈尔港协议签订,涉及到的国家均被列入攻击范围,除了伊朗、阿富汗和印度这三位协议签定方外,靠近恰巴哈尔地区的俾路支斯坦(巴基斯坦和伊朗边境)也没逃脱攻击范围。
此次攻击活动的背后符合来自国家之间的利益冲突和较量,涉及的国家基本也位于南亚、中东地域,而南亚和中东地域一直也是APT攻击活动高发地域。近日,随着美国撤军阿富汗后v2rayn 32位下载,阿富汗接手政权,阿富汗国内局势大变,引起全球高度关注,这种剧烈的政治震荡并不会马上平息,同样会影响相关地域网络空间战场局势,微步在线一直以来高度关注来自相关地区的APT组织,并且会持续性跟踪相关APT攻击活动。
三边”可获取完整版(含IOC)PDF报告。关于微步在线研究响应团队微步情报局,即微步在线研究响应团队,负责微步在线安全分析与安全服务业务,主要研究内容包括威胁情报自动化研发、高级 APT 组织&黑产研究与追踪、恶意代码与自动化分析技术、重大事件应急响应等。
微步情报局由精通木马分析与取证技术、Web 攻击技术、溯源技术、大数据、AI 等安全技术的资深专家组成,并通过自动化情报生产系统、云沙箱、黑客画像系统、威胁狩猎系统、追踪溯源系统、威胁感知系统、大数据关联知识图谱等自主研发的系统,对微步在线每天新增的百万级样本文件、千万级 URL、PDNS、Whois 数据进行实时的自动化分析、同源分析及大数据关联分析。微步情报局自设立以来,累计率先发现了包括数十个境外高级 APT 组织针对我国关键基础设施和金融、能源、政府、高科技等行业的定向攻击行动,协助数百家各个行业头部客户处置了肆虐全球的WannaCry 勒索事件、BlackTech 定向攻击我国证券和高科技事件、海莲花长期定向攻击我国海事/高科技/金融的攻击活动、OldFox 定向攻击全国上百家手机行业相关企业的事件。
平台声明:该文观点仅代表作者本人,搜狐号系信息发布平台,搜狐仅提供信息存储空间服务。
