【安全资讯】疑似APT-C-23组织近期针对巴勒斯坦地区的攻击活动分析

匿名用户 2021-09-07 15:15:59 917人浏览

引言

近日,研究人员捕获了APT-C-23的多起攻击样本,捕获的样本包括伪装成政治热点、教育相关的可执行文件诱饵,以及伪装成微软图像处理设备控制面板程序(ImagingDevices.exe),此类样本运行后,将会释放展示正常的诱饵以迷惑受害者,同时后门将继续在后台运行以窃取受害者计算机敏感信息。

简况

APT-C-23是一个长期针对中东地区的高级威胁组织,最早于2017年被披露。至少自2016年5月起,持续针对巴勒斯坦教育机构、军事机构等重要领域进行网络间谍活动,以窃取敏感信息为主的网络攻击组织,开展了有组织,有计划,有针对性的攻击。

 

研究人员分析了两个样本,样本1为以美国对巴勒斯坦事业的政策相关信息为诱饵的可执行文件,样本成功执行后将从资源获取诱饵文档释放展示。样本1为Delphi 语言编写,且携带一个隐藏的窗体,从资源中释放诱饵文档。通过对比以往样本,可以看到APT-C-23组织对代码进行了精简,将某些功能函数封装在了点击组件中,将下载功能函数等网络相关的封装在了SendHttp函数中。样本1中的Timer1会引导其他控件执行任务,Time1执行后首先会从资源中获取诱饵文档数据保存到%tmp%目录下,然后将其打开以迷惑受害者。诱饵文档如下图:

样本2为伪装成微软图像处理设备控制面板程序(ImagingDevices.exe)。样本2从自身资源中释放诱饵文档到C:\ProgramData\AuditPolicyGPInterop\ MangeFile,然后将其移植到样本所在位置,命名为Folder并调用ShellExecuteA打开。在本次攻击活动中,APT-C-23组织尝试使用新的方式驻留在受害主机中,通过获取驱动器根目录下指定后缀文件,将其加入自身资源区段中,进而释放新的副本在驱动器根目录下。执行创建的副本,将展示原指定后缀文件内容,而样本将再次得以执行。若驱动器根目录下没有指定后缀的文件,则直接释放副本,并命名为Private-Image-,.exe。最后创建一个后门线程,通过不同的指令来实现其功能。

 

总结

双尾蝎组织是常年活跃在中东地区APT团伙,其具有Windows和Android双平台攻击武器,且仅Windows平台恶意代码就丰富多变,具有多种语言编译的后门。此次捕获的样本主要针对中东地区开展攻击活动,暂未发现影响国内用户。

失陷指标(IOC)13
APT APT-C-23 巴基斯坦 其他
    0条评论
    0
    0
    分享
    安恒威胁分析平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。