【安全资讯】疑似亲巴基斯坦的攻击者,针对阿富汗和印度实体进行攻击活动
引言
研究人员观察到了针对阿富汗和印度的攻击活动。攻击者使用政治和政府为主题的恶意域,利用恶意 RTF 文件向受害者提供各种商品恶意软件。该活动分为侦察阶段和攻击阶段,攻击者在初始侦察阶段使用自定义文件枚举器和感染器,在攻击阶段部署dcRAT 和 QuasarRAT等恶意软件。攻击者注册了多个具有政治和政府主题的域,部分域还包含与阿富汗实体相关的主题。研究人员以高置信度评估,此次恶意活动由一个ID为“AR Bunse”的攻击者发起,这名攻击者伪装成一个巴基斯坦 IT 公司的所有者,进行恶意软件活动。
简况
在 2021 年初,攻击者的攻击链如下:
- 第1阶段:使用恶意RTF,利用Office 中的代码执行漏洞CVE-2012-11882,执行恶意 PowerShell 命令。第 1 阶段 base64 通过 certutil.exe 解码下一阶段的有效负载,将其放到磁盘并执行。
- 第2阶段:提取并执行下一阶段的 PowerShell 脚本。第 2 阶段是另一个 PowerShell 脚本,base64 解码并激活另一个有效负载。
- 第3阶段:加载程序可执行文件通过当前用户启动目录中的快捷方式实现驻留,然后将硬编码的 C# 代码编译成可执行程序集,并调用编译后的恶意代码的入口点。
- 第4阶段:最后的有效负载调用到第3阶段的编译器过程中。
2021年7月和8月左右,攻击者对攻击链做出调整,部署RAT作为最终有效载荷,DcRAT、QuasarRAT 和远程桌面客户端 AnyDesk 的合法副本。和此前的感染链一样,攻击者使用恶意 RTF 文档,利用 CVE-2017-11882 来执行第二阶段的PowerShell脚本。然后,第二阶段的脚本会在磁盘上创建一个 BAT 文件,该文件又会执行另一个 PowerShell 命令以下载并激活最终有效负载。
DcRAT 是 2019 年在野观察到的一个相对较新的RAT家族。在当前的活动中,研究人员发现了多个托管在攻击者网站上的DcRAT 负载,这些负载在活动的感染阶段被传送给受害者。DcRAT包含多种功能,包括远程 shell、进程管理、文件管理和键盘记录。研究人员还发现了AndroRAT,这是共享相同C2服务器的攻击者使用的另一种Android RAT软件。
攻击者注册的域包括几个不同的主题。其中一个名为jayshreeram[.]cf的域是对宗教印度教口号的引用。该域随后用于托管 DdcRAT。此外,攻击者还注册并使用冒充阿富汗实体的域名,如af-gov[.]ml和afghancdn[.]world。一些诱饵图片也使用了阿富汗相关的主题,例如一张2021年6月,阿富汗副总统和HCNR主席访问时,白宫发布的官方新闻稿。HCNR是阿富汗为与塔利班谈判而设立的委员会。诱饵图片如下图:
研究人员认为,这一恶意活动由ID为“AR Bunse”的攻击者促成。该攻击者伪装成巴基斯坦 IT 公司 Bunse Technologies 的经营者展开恶意活动。Bunse Technologies (BunseTech) 是一家位于巴基斯坦拉合尔的软件开发和营销机构,似乎是一个虚假实体,旨在促进该攻击者的恶意活动。该公司在Twitter 上只有一个关注者,在 Facebook 上只有不到 60 个关注者。这位名为AR的攻击者经常在 Twitter上发布亲巴基斯坦的内容。该内容可以追溯到 2016 年,攻击者在社交平台发布的内容都带有民族主义主题,从亲塔利班的内容到反印度情绪。此外,研究人员还发现了一个由“AR”维护的 GitHub 帐户。
总结
这位id为AR的攻击者,以一家IT公司为幌子来采购基础设施,以实施其犯罪软件活动。该活动在其图标和诱饵中使用了各种与政治和政府相关的主题,向受害者提供如 dcRAT、Quasar 和 AndroRAT等RAT。由于诱饵文件中具有大量政治相关的诱饵,因此受害者大概率是印度和阿富汗政府和外交实体。