【安全资讯】疑似南亚APT组织Donot针对阿富汗地区的攻击活动分析

匿名用户 2021-07-19 08:09:32 1709人浏览

引言

近日,研究人员发现,南亚地区 APT组织近期攻击活动频发。其利用恶意RTF模板注入漏洞利用样本对周边国家地区开展了多次攻击活动。在此次攻击活动中,攻击者利用此前披露的Donot组织类似攻击手法,疑似针对阿富汗地区。攻击样本所加载的Payload均采用多层解密,最后阶段的恶意代码BaneChant(MMCore)后门为内存加载,增加了样本的查杀难度。经过分析,研究人员认为此次攻击或应归属到Donot组织,但不排除与Patchwork组织存在联系。


简况

南亚地区一直以来都是APT 组织攻击活动的活跃区域之一。自2013年5月国外安全公司Norman披露 Hangover 行动(即摩诃草组织)以来,先后出现了多个在该地域活跃的不同命名的APT组织,并且延伸出错综复杂的关联性,包括摩诃草(APT-C-09、HangOver、Patchwork、白象)、蔓灵花(APT-C-08、BITTE)、肚脑虫(APT-C-35、Donot)、魔罗桫(Confucius)、响尾蛇(Sidewinder、APT-C-17) 等。


研究人员捕获到的Impact of US and NATO Withdrawal from Afghanistan.doc样本为南亚地区军事相关样本,成功执行后,将展示<美国、北约部队从阿富汗撤军影响>一文,诱饵文档信息如下:


此次捕获样本的初始RTF文件与今年3月发布的<疑似Donot组织利用RTF模板注入针对周边地区的攻击活动分析>一文中[1]RTF文件模板注入的利用手法一致,下载的第二阶段CVE-2017-11882漏洞利用文件中的shellcode逻辑、解密算法也高度一致。其执行流程对比图如下:


此外BaneChant后门曾被披露为BITTER组织所用武器。关于BITTER与摩诃草或应归属同一组织或共享了数字武器来源的说法早有猜测,研究人员在2018年的报告中也详细描述过,包括加密算法、加密后的字符串、甚至域名结构、PDB风格上的相似性。 根据以上分析,研究人员认为本文样本或应归属到Donot组织,但不排除与Patchwork组织存在联系。南亚地区各组织间关系密切,地缘归属相同,攻击目标相似,其部分工具存在重叠性特征,不排除背后支持的国家机构为同一组织。


总结

继Donot组织利用RTF模板注入之后,利用该攻击手法的组织中或再添一员,这意味着随着研究人员的跟踪分析以及防御软件的升级,各组织的针对性恶意代码也在不断改进。此次捕获样本虽未影响到国内用户,但防范之心不可无。研究人员提醒广大用户,切勿打开社交媒体分享的来历不明的链接,不点击执行未知来源的邮件附件,不运行夸张的标题的未知文件,不安装非正规途径来源的APP。做到及时备份重要文件,更新安装补丁。

失陷指标(IOC)8
APT Donot 阿富汗 其他
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。