【安全资讯】蔓灵花组织(APT-C-08)使用Warzone RAT的攻击活动披露

匿名用户 2021-01-21 02:47:05 1326人浏览

Warzone RAT是一款纯C/C++开发的商业木马程序,该程序在2018年出现在网络上以软件订阅的方式公开售卖,适配目前所有版本的Windows系统,具备密码采集、远程执行任意程序、键盘记录、远程桌面控制、上传下载文件、远程打开摄像头等多种远程控制功能。

近期,研究人员监控到蔓灵花组织在2020年末的攻击活动中,使用Warzone RAT针对我国研究南亚关系的多位社会科学学者进行了攻击。攻击者通过伪造研究讨论学会邀请信的形式发起攻击,最终在受害者机器中植入Warzone RAT进行远程控制。


攻击通过投递伪装成为邀请信文档的自解压程序,诱导用户打开自解压程序,通过自解压程序释放并打开诱饵文档以及后续的恶意样本。



Warzone RAT主要包含如下功能指令:

功能号

说明

0x0

获取被控制机器信息

0x2

获取进程列表信息

0x4

获取驱动器信息

0x6

获取目录信息

0x8

上传文件到服务器

0xA

删除指定文件

0xC

结束指定进程

0xE

远程shell

0x10

结束指定线程

0x14

开启摄像机

0x16

停止摄像机

0x1A

退出并删除自身文件

0x1C

下载文件到被控制端

0x20

获取浏览器密码

0x22

下载文件到被控端并执行

0x24

键盘记录,并上传

0x26

键盘记录(离线)

0x28

RDP

0x2A

启用反向代理

0x2C

停止反向代理

0x38

反向代理端口设置

0x3A

打开指定文件

0x48

注入指定进程

0x4A

遍历获取文件信息


在《季风行动—蔓灵花(APT-C-08)组织大规模钓鱼攻击活动披露》一文中,该行动使用了域名为“coremailxt5mainjsp.com”的钓鱼网站,相关的诱饵样本为http://coremailxt5mainjsp.com/wzrpxierh875NORwnfot/Fileunst/unstr00000.exe(MD5:a8bd76238d96ea17990e4f2df126ecd4),其后门程序使用的C&C 为“192.236.249.173:2706”。而此次Warzone RAT同样使用的是192.236.249.173这一C&C基础设施,结合C&C、攻击目标和技术特点等,判断该次攻击属于蔓灵花组织。 


结论:

蔓灵花组织是近几年针对我国境内目标进行攻击活动的最活跃的APT组织之一,通过此次分析可以看到虽然该组织的攻击行动、后门程序和基础设施被多次曝光,但是该组织仍然肆无忌惮地选用商业木马程序和相关基础设施再次持续发起攻击,相关机构组织和个人仍需要提高警惕。

失陷指标(IOC)12
APT bitter 远程控制RAT Warzone RAT 学术
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。