【安全资讯】Operation（अग्नि）Angi：魔罗桫组织2020年攻击活动总结

研究人员发布了对魔罗桫组织在2020年的攻击活动的总结，并对南亚地区有争议的组织进行了梳理。魔罗桫组织长期针对东亚和南亚地区进行了长达数年的网络间谍攻击活动，主要攻击领域为政府机构、军工企业、核能行业、商贸会议、通信运营商、智库期刊、广播电台、新闻媒体等。研究人员发现了魔罗桫组织使用的新型攻击手法和恶意软件。

2020年，研究人员捕获了大量的魔罗桫组织钓鱼页面，加载钓鱼页面前会有预加载页面，然后会跳转到对应的钓鱼页面，受害者需要连续输入两次密码，且两次密码必须相同的情况下才会跳转到对应的页面。钓鱼页面涉及军工、政府、媒体、智库期刊、杂志、高校、国企、研究所等单位。钓鱼页面如下图：

研究人员共发现了以下五类诱饵投递的手法：

1. Rar+Exe

2. Rar+Documnet+Exe

3. Rar+Lnk+Sfx

4. Rar+Exe+txt

5. Rar+document

2020年，研究人员发现魔罗桫组织使用了.net混淆器、dephi注入器、warzone Rat、DarktrackRAT、AsyncRat等工具。在本次活动中，研究人员捕获了一些魔罗桫组织之前从未披露过的样本和攻击手法：

1. VB DownLoader：从远程服务器下载payload并执行，下载PDF诱饵文件并执行。

2. Golang Rat：会先弹出提示框，连接远程服务器，然后根据控制号执行相关动作，如命令执行、文件下载、屏幕快照、注册表管理、文件管理、键盘记录等。

3. DDE AUTO+VBA Stomping：恶意文档的DDE auto代码会启动同目录下的paper_final_comment.exe程序。DDE auto除了会执行VB的弹窗程序外还会执行Loader程序，最终会内存加载WarZone远控。

4. 模板注入+DDE auto：攻击者会将一个带有DDE auto的恶意文档和一个带有模板注入的恶意文档一起打包作为邮件附件发送，这两个文档类样本的最终payload相同，均为Warzone Rat。

魔罗桫组织与Bitter组织存在一定程度的重叠，研究人员认为这些组织的基础设施很有可能是由同一个机构进行统一管理分配，调度资源包含但不限于域名、IP、邮箱等。 但上述两个组织的攻击手法，木马家族，发件邮箱以及钓鱼网站的形式都完全不同。