团伙背景

响尾蛇,又名Sidewinder,奇安信内部跟踪编号APT-Q-39。该组织被普遍认为具有南亚地区背景,由国内外安全厂商在2018年披露,而它的最早攻击活动可追溯到2012年。该组织攻击目标一般为中国和南亚多国的政府、军事部门,部分攻击活动还涉及高校和科研机构。

事件概述

近期,奇安信威胁情报中心在日常样本跟踪分析过程中,发现针对不丹的恶意样本。样本使用的诱饵内容直接来自不丹政府网站发布的通告。

文档携带的宏代码通过一系列VBS和BAT脚本,最终执行Nim编写的后门。根据该Nim后门的代码特征,我们关联到针对尼泊尔和缅甸的攻击样本,其中针对缅甸的攻击时间可追溯到去年11月。

该Nim后门实际上是2021年底国内安全厂商披露的“幼象”(别名BabyElephant)组织C++后门[1]的变种。2023年2月,Group-IB发布报告[2, 3]披露了响尾蛇组织在2021年6月至11月期间的鱼叉式钓鱼攻击活动,根据恶意软件特点和网络基础设施研究者认为当时归为BabyElephant的攻击活动与响尾蛇存在紧密关联,两个攻击团伙有着密切的联系。基于以上开源情报信息,本文将此次发现的攻击活动统一归属为响尾蛇组织。

详细分析

捕获和关联到的恶意文档及Nim后门样本的基本信息如下:

MD5

创建时间

VT上传时间

文件名

类型

7bea8ea83d5b4fe5985172dbb4fa1468

2023-10-26 05:48:00 UTC

2023-10-30 11:13:20 UTC

GlobalLeadershipProgram1.docm

宏文档

04e9ce276b3cd75fc2b20b9b33080f7e

-

2022-11-16 12:24:46 UTC

Seniority_List.docm

加密宏文档[5]

(密码:20221114PROM)

92612dc223e8f0656512cd882d66f78b

2023-10-26 05:20:38 UTC

2023-10-30 16:08:58 UTC

svchost.exe

Nim后门

c2184d8fd3dd3df9fd6cf7ff8e32a3a4

2023-07-21 06:55:47 UTC

2023-10-16 02:13:41 UTC

sihosts.exe

Nim后门

b2ab01d392d7d20a9261870e709b18d7

2022-12-02 06:35:39 UTC

2023-03-08 04:11:57 UTC

conhost.exe

Nim后门

30ddd9ebe00f34f131efcd8124462fe3

2022-09-15 10:06:04 UTC

2022-11-16 12:53:12 UTC

sihosts.exe

Nim后门

文档宏代码

以样本7bea8ea83d5b4fe5985172dbb4fa1468为例进行分析,文档打开后诱使受害者启用宏。

Sch_task函数在”%AppData%\\Microsoft\\Windows\\Start Menu\\Programs\\Startup”目录下释放OCu3HBg7gyI9aUaB.vbs。

Hide_cons函数释放”%LocalAppData%\\skriven.vbs”。

Read_shell函数从文档的UserForm1.TextBox1对象的文本中提取zip数据,保存为”%LocalAppData%\\Microsoft\\svchost.zip”。

Vb_chain函数释放”%LocalAppData%\\8lGghf8kIPIuu3cM.bat”。最后该函数调用ActiveDocument.Shapes两次,去掉“启用宏”的图层,展示诱饵内容。

脚本链

宏代码只负责文件释放,恶意样本通过Startup目录下的开机启动文件实现脚本启动,一定程度上可以增加攻击行为的隐蔽性。

(1) OCu3HBg7gyI9aUaB.vbs

在休眠操作后启动”%LocalAppData%\\8lGghf8kIPIuu3cM.bat”。

(2) skriven.vbs

该脚本作用是运行参数指定的文件,当运行BAT脚本时可以隐藏控制台窗口。

(3) 8lGghf8kIPIuu3cM.bat

该脚本释放一系列脚本文件,释放的这些脚本文件会依次调用下一个文件。

涉及的脚本信息如下:

脚本路径

说明

%LocalAppData%\\unzFile.vbs

进一步释放%LocalAppData%\\unz.vbs

%LocalAppData%\\2L7uuZQboJBhTERK.bat

调用%LocalAppData%\\unzFile.vbs

调用%LocalAppData%\\2BYretPBD4iSQKYS.bat

%LocalAppData%\\2BYretPBD4iSQKYS.bat

调用%LocalAppData%\\unz.vbs解压svchost.zip

调用%LocalAppData%\\d.bat

%LocalAppData%\\d.bat

为svchost.zip解压出的svchost.exe创建计划任务

调用%LocalAppData%\\e.bat

%LocalAppData%\\e.bat

删除8lGghf8kIPIuu3cM.bat释放的所有脚本文件

Nim后门

宏文档释放的svchost.zip压缩包中包含Nim编写的后门svchost.exe,通过上述脚本d.bat创建的计划任务运行。后门样本中有”Store\\MACRO\\<国家代码>\\<国家代码>_apache.nim”字符串,疑似为后门的软件项目路径。

MD5

字符串

92612dc223e8f0656512cd882d66f78b

"E:\\\\Store\\\\MACRO\\\\BT\\\\bt_apache.nim"

c2184d8fd3dd3df9fd6cf7ff8e32a3a4

"E:\\\\Store\\\\MACRO\\\\NP\\\\np_apache.nim"

b2ab01d392d7d20a9261870e709b18d7

"E:\\\\Store\\\\macro\\\\mm\\\\mm_apache.nim"

30ddd9ebe00f34f131efcd8124462fe3

"C:\\\\Users\\\\ProCoder\\\\Desktop\\\\Store\\\\MACRO\\\\MM\\\\mm_apache.nim"

后门首先对运行环境进行检查,包括:

(1) 检查当前进程列表中是否包含与调试分析相关的软件进程;

(2) 检查运行时间间隔;

(3) 在早期样本(MD5: 30ddd9ebe00f34f131efcd8124462fe3)中还有CPU数量检查和鼠标移动距离检查。

环境检查通过后,首先复制备选的几个C&C服务器URL。

执行”cmd /c hostname”获取主机名,接着用名为bakery的函数加密主机名,然后进入指令执行循环。

在指令执行循环中,首先通过HTTP GET请求获取C&C服务器下发的指令。将主机名的加密结果用base64编码,拼接在随机选取的一个C&C服务器URL后面,末尾再拼上”.php”后缀,由此得到获取指令的URL。

如果GET请求有响应数据,且与上一次获取指令时得到的响应数据不同,则表明C&C服务器下发了新指令,否则休眠一段时间再向C&C服务器请求指令。

响应数据在函数confectionary解密后,与”cmd /c ”拼接,从而执行C&C服务器下发的命令。执行结果也通过GET请求回传给服务器,由于结果数据可能很多,后门将加密后的执行结果按照100字节一组进行分片再发送出去。

回传结果的URL除了包含随机选择的C&C服务器URL,还添加了多个字段,各个字段拼接的数据如下:

字段

拼接数据说明

id=

感染主机名加密数据的base64编码

/session=

结果的加密数据分片的序号,从0开始计数

?/value=

结果的加密数据分片的base64编码

/return=true

加密函数bakery和解密函数confectionary的Python等价实现如下。加密和解密使用的key在不同Nim后门样本中略有不同,且推测”BTA”可能是BT(Bhutan) Agent的缩写。

溯源关联

此次发现的样本与之前披露的响尾蛇和幼象组织攻击活动使用的恶意软件存在诸多相似之处(以下截图源自安天和Group-IB报告 [1, 3]):

(1) 宏代码从文档的文本框窗口中提取zip压缩包数据;

(2) 宏代码启动的脚本链与响尾蛇HTA样本中所用手法基本一致;

(3) 有的Nim后门中也出现了通过鼠标移动距离检测运行环境的代码;

(4) 同样有多个备选的C&C服务器URL,以及在回传信息的URL中使用相同的字段;

(5) 同样的数据加解密算法。

国内外安全厂商都提到幼象与响尾蛇组织存在关联[2, 3, 6],并且Nim后门内置的C&C域名符合响尾蛇组织模仿被攻击国家相关域名的常用手法,因此我们将此次发现的样本统一归属为响尾蛇组织。

总结

此次发现的恶意样本攻击目标涉及缅甸、尼泊尔和不丹等南亚多国,时间跨度接近一年。通过恶意文档投递的Nim后门功能相对简单,很可能只是长期攻击行动的一环。无论是文档的宏代码还是Nim后门均沿用了攻击者以往恶意代码的特点,可能表明相关手法对攻击者来说屡试不爽。

防护建议

奇安信威胁情报中心提醒广大用户,谨防钓鱼攻击,切勿打开社交媒体分享的来历不明的链接,不点击执行未知来源的邮件附件,不运行标题夸张的未知文件,不安装非正规途径来源的APP。做到及时备份重要文件,更新安装补丁。

若需运行,安装来历不明的应用,可先通过奇安信威胁情报文件深度分析平台(https://sandbox.ti.qianxin.com/sandbox/page)进行判别。目前已支持包括Windows、安卓平台在内的多种格式文件深度分析。

目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等,都已经支持对此类攻击的精确检测。

IOC

MD5

7bea8ea83d5b4fe5985172dbb4fa1468

04e9ce276b3cd75fc2b20b9b33080f7e

92612dc223e8f0656512cd882d66f78b

c2184d8fd3dd3df9fd6cf7ff8e32a3a4

b2ab01d392d7d20a9261870e709b18d7

30ddd9ebe00f34f131efcd8124462fe3

C&C

dns-mofgovbt.ddns.net

mail-mofgovbt.hopto.org

microsoftupdte.redirectme.net

updatemanager.ddns.net

mx2.nepal.gavnp.org

cloud.nitc.gavnp.org

dns.nepal.gavnp.org

mx1.nepal.gavnp.org

asean-ajp.myftp.org

dof-govmm.sytes.net

mail-mohs.servehttp.com

drsasa.hopto.org

pdf-shanstate.serveftp.com

myanmar-apn.serveftp.com

mytel-mm.servehttp.com

pdf-shanstate.redirectme.net

URL

hxxp://dns-mofgovbt.ddns.net/update/

hxxp://mail-mofgovbt.hopto.org/update/

hxxp://microsoftupdte.redirectme.net/update/

hxxp://updatemanager.ddns.net/update/

hxxp://mx2.nepal.gavnp.org/mail/AFA/

hxxp://cloud.nitc.gavnp.org/mail/AFA/

hxxp://dns.nepal.gavnp.org/mail/AFA/

hxxp://mx1.nepal.gavnp.org/mail/AFA/

hxxp://asean-ajp.myftp.org/MOFA/

hxxp://dof-govmm.sytes.net/MOFA/

hxxp://mail-mohs.servehttp.com/MOFA/

hxxp://drsasa.hopto.org/MOFA/

hxxp://pdf-shanstate.serveftp.com/MOFA/

参考链接

[1].https://www.antiy.com/response/20211119.html

[2].https://www.group-ib.com/media-center/press-releases/sidewinder-apt-report/

[3].https://www.group-ib.com/resources/research-hub/sidewinder-apt/

[4].https://twitter.com/GroupIB_TI/status/1625762101758140416

[5].https://www.virustotal.com/gui/file/1409f9d855c06f66fb7d7c7bf9f821b5d1631da926b07dcdb260606e09763ad3/community

[6].https://www.antiy.cn/research/notice&report/research_report/20200115.html

声明:本文来自奇安信威胁情报中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。