【安全资讯】Bitter APT组织针对我国军工、贸易和能源等领域的攻击活动

匿名用户 2021-07-06 08:13:24 1957人浏览

引言

研究人员发现一批针对我国军工、贸易和能源等领域的网络攻击活动。攻击手法存在伪造身份向目标发送鱼叉邮件,投递包含恶意CHM文件的附件诱导受害者运行。经归因分析发现,这批活动具备APT组织“苦象”的历史特征,且在针对目标、恶意代码和网络资产等层面均存在关联,属于Bitter组织在2021年上半年的典型攻击模式。 Bitter 组织又名蔓灵花、苦象,其在攻击活动中使用了多个功能插件,其中多数用于在目标机器上进行窃密作业,包括asms和sthost窃密插件。


简况

攻击者会以“会议议程”等邮件主题,伪造受害者可能感兴趣的发件人向目标连续投递多封鱼叉邮件,邮件附件中包含恶意的CHM文件,“会议议程.chm”为包含恶意脚本的Windows帮助文件,静态属性皆不可用,点击执行后看到的正文为空白:


此刻,其含有的经混淆的恶意脚本被自动运行,作用是添加一个每15分钟运行一次的系统任务计划。任务计划名为“DefenderService”,操作对象为以msiexec命令运行远程的MSI文件,过程完全静默且不重启系统,同时提交本机的主机名和用户名。攻击者疑似会针对目标选择性下发CERT.msi的文件内容。CERT.msi负责向以下目录释放下载器模块winupd.exe,下载器模块功能是从C2服务器获取一系列的功能插件,保存在同一目录下。在观察到的案例中,陆续功能插件的选取和部署过程约在半小时内完成。


asms插件

asms插件是“苦象”组织窃取信息的木马,其主要功能为窃取主机硬盘驱动器中doc、docx、ppt、pptx、xls、pdf、zip、txt以及apk等类型的文件,同时该窃密木马还会探测主机是否存在光盘驱动器,如果存在,则将光盘驱动器中存在的所有文件也回传至攻击的服务器。


sthost插件

sthost插件同样为窃密类木马,时间戳经过伪造,内部字符串等信息使用AES加密,运行后解密使用。样本会收集主机基本信息回传,收集指定后缀文件路径并记录到文本,然后根据关注的重点路径和文件修改时间进行筛选,最后对筛选的文件进行回传。

失陷指标(IOC)10
APT 苦象 钓鱼攻击 Bitter 能源 国防
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。