近日,研究人员分析了几个来自南亚的APT组织,包括Transparent Tribe和SideCopy等。在分析过程中,研究人员发现了一个以前未知的 RAT,并根据二进制有效负载中留下的特定 PDB 字符串,将这些样本称为SDuser样本。SDuser VBA 代码和 Donot VBA 代码之间具有很强的相似性。通过代码相似性检测方法,研究人员确认了南亚APT之间的代码重用。 简况Transparent TribeTransparent Tribe(透明部落、APT36) 是一个在南亚运营超过五年的组织。该组织在恶意文件中使用的诱饵表明,其目标是印度政府和军事组织。透明部落在大多数相关活动中使用的主要有效载荷是 Crimson 和 Oblique RAT 的变体,这表明他们的活动目标是获得立足点和持久的远程访问。
Patchwork(白象、摩诃草、APT-C-09、Dropping Elephant)是一个疑似具有印度国家背景的APT组织,长期针对中国、巴基斯坦等南亚地区国家的政府、医疗、科研等领域进行网络攻击窃密活动。近期安恒威胁情报中心猎影实验室捕获到多个Patchwork组织攻击活动样本,本次样本主要通过鱼叉式钓鱼邮件进行传播,样本以“登记表”和“巴基斯坦国防官员住房登记表”等相关内容作为诱饵,最终释放“BADNEWS”后门程序进行窃密活动。
Patchwork是一个印度APT组织,自2015年12月以来一直活跃,通常针对巴基斯坦目标展开鱼叉式网络钓鱼攻击。2021年11月下旬至2021年12月上旬,Patchwork组织首次针对研究分子医学和生物科学的员工发起攻击活动。在此活动中,攻击者使用恶意RTF文件释放了名为Ragnatela的木马。 简况Ragnatela是BADNEWS木马的新变种,通过鱼叉式网络钓鱼电子邮件分发给巴基斯坦受害者。Ragnatela在意大利语中表示蜘蛛网,这也是Patchwork APT组织面板的名称,如下图:
近日,研究人员捕获到APT-C-09组织使用美女图片作为诱饵的恶意样本,这些样本通过婚介主题来诱骗用户执行恶意程序或文档文件,运行后释放并打开对应图片文件,自身主体则与服务器连接,接收指令数据,达到攻击者远程控制用户设备的效果。APT-C-09(摩诃草)组织,又称HangOver、VICEROY TIGER、The Dropping Elephant、Patchwork,是一个来自于南亚地区的境外APT组织,该组织已持续活跃了7年。APT-C-09组织主要针对中国、巴基斯坦等亚洲地区国家进行网络间谍活动,其中以窃取敏感信息为主。
2015年12月,Patchwork APT组织遭到披露,该组织也被称为Dropping Elephant,Chinastrats,Monsoon,Sarit,Quilted Tiger,APT-C-09和ZINC EMERSON。该组织针对多个与中国外交相关的知名外交官和经济学家。Patchwork使用一套自定义的攻击工具,攻击通常是通过鱼叉式网络钓鱼活动或水坑攻击进行的。该组织背后的归属疑似是说印度语的国家,该组织还针对在巴基斯坦,斯里兰卡,乌拉圭,孟加拉国,台湾,澳大利亚和美国的外国使馆和外交机构。在2018年初,研究人员发现,Patchwork APT组织还针对美国的智囊团开展了鱼叉式网络钓鱼活动。
“白象”又名“Patchwork”,“摩诃草”,来自南亚某国,自2012年以来持续针对中国、巴基斯坦等国进行网络攻击。近期威胁情报中心监测到多个白象APT的攻击活动样本,攻击活动中依然使用了CVE-2017-0261 EPS漏洞,并且在近期使用的样本中使用了CVE-2019-0808提权模块。其中一个样本为“中印边境争端.docx”,意图十分明显,样本生成时间在6月初期,攻击活动时间应该也在这个时间左右,此时正是中印边境白热化阶段。样本使用了EPS UAF漏洞(CVE-2017-0261)和Win32k.sys本地权限提升漏洞(CVE-2016-7255)的组合套路,依然使用VMwareCplLauncher.exe进行侧加载,最终载荷也是白象常使用的木马。回连C2为kmnh.crabdance[.]com。
奇安信威胁情报中心红雨滴团队监测发现,黑客组织摩诃草近期异常活跃。利用与邻国边境争端问题的等热点问题为诱饵;利用CVE-2017-0261漏洞释放执行恶意负载;最终恶意负载为FakeJLI后门和Quasar RAT;恶意负载带有AccelerateTechnologies Ltd公司的数字签名证书,根据签名溯源关联发现,疑似该组织开发人员曾将测试样本上传VT测试;该组织升级新增了CVE-2019-0808提权模块;疑似该组织开发人员开始测试.NET版本后门。
奇安信发现多个摩诃草组织近期针对周边国家和地区的定向攻击样本。在此次样本中,摩诃草组织采用了多种利用方式:例如伪装成南亚地区某国的网络安全协议的CVE-2017-0261漏洞利用文档,伪装成疫情防范指导指南的宏利用样本等。同时还捕获一例疑似水坑攻击样本,其攻陷了巴基斯坦某证券交易网站,并在网站中放置了一个伪装成java运行环境安装程序的恶意可执行文件。最终执行的后门是摩诃草组织常用的FakeJLI后门。该后门加载执行后,首先通过创建互斥量保证只有一个实例运行,然后收集受害者计算机电脑名、操作系统版本等信息。除此之外,还发现了疑似是Bozok RAT的dll文件,其加载执行后,将从资源中获取配置信息,包括互斥量、c2、解密插件密钥等。
赛门铁克(Symantec)的研究人员发现,在一个Sodinokibi勒索软件的活动中,攻击者还会扫描某些受害者的网络,以获取信用卡或PoS软件。攻击者使用Cobalt Strike恶意软件向受害者发送Sodinokibi定向勒索软件。有八个组织的系统中有Cobalt Strike恶意软件,其中三名受害者随后感染了Sodinokibi勒索软件。感染Sodinokibi勒索软件的受害者来自服务、食品和保健部门。这次攻击的目标主要是大型、甚至是跨国公司。
MMCore针对南亚地区的APT攻击活动分析,MMCore是一款有趣的恶意文件,为下载器下载后在内存中解密执行的一个恶意文件。该恶意文件也被称为BaneChant,最早由fireeye在2013年曝光。此外Forcepoint也在2017年初曝光过而恶意文件的一些攻击活动。 该恶意文件的活动,主要活跃在亚洲地区,包括中国、巴基斯坦、阿富汗、尼泊尔等。不过Forcepoint也提到该攻击活动也包含非洲和美国。攻击的目标主要为军事目标、媒体、大学等。