【安全资讯】疑似APT-C-23组织近期针对巴勒斯坦地区的攻击活动分析
引言
近日,研究人员捕获了APT-C-23的多起攻击样本,捕获的样本包括伪装成政治热点、教育相关的可执行文件诱饵,以及伪装成微软图像处理设备控制面板程序(ImagingDevices.exe),此类样本运行后,将会释放展示正常的诱饵以迷惑受害者,同时后门将继续在后台运行以窃取受害者计算机敏感信息。
简况
APT-C-23是一个长期针对中东地区的高级威胁组织,最早于2017年被披露。至少自2016年5月起,持续针对巴勒斯坦教育机构、军事机构等重要领域进行网络间谍活动,以窃取敏感信息为主的网络攻击组织,开展了有组织,有计划,有针对性的攻击。
研究人员分析了两个样本,样本1为以美国对巴勒斯坦事业的政策相关信息为诱饵的可执行文件,样本成功执行后将从资源获取诱饵文档释放展示。样本1为Delphi 语言编写,且携带一个隐藏的窗体,从资源中释放诱饵文档。通过对比以往样本,可以看到APT-C-23组织对代码进行了精简,将某些功能函数封装在了点击组件中,将下载功能函数等网络相关的封装在了SendHttp函数中。样本1中的Timer1会引导其他控件执行任务,Time1执行后首先会从资源中获取诱饵文档数据保存到%tmp%目录下,然后将其打开以迷惑受害者。诱饵文档如下图:
样本2为伪装成微软图像处理设备控制面板程序(ImagingDevices.exe)。样本2从自身资源中释放诱饵文档到C:\ProgramData\AuditPolicyGPInterop\ MangeFile,然后将其移植到样本所在位置,命名为Folder并调用ShellExecuteA打开。在本次攻击活动中,APT-C-23组织尝试使用新的方式驻留在受害主机中,通过获取驱动器根目录下指定后缀文件,将其加入自身资源区段中,进而释放新的副本在驱动器根目录下。执行创建的副本,将展示原指定后缀文件内容,而样本将再次得以执行。若驱动器根目录下没有指定后缀的文件,则直接释放副本,并命名为Private-Image-,.exe。最后创建一个后门线程,通过不同的指令来实现其功能。
总结
双尾蝎组织是常年活跃在中东地区APT团伙,其具有Windows和Android双平台攻击武器,且仅Windows平台恶意代码就丰富多变,具有多种语言编译的后门。此次捕获的样本主要针对中东地区开展攻击活动,暂未发现影响国内用户。