【安全资讯】疑似亲巴基斯坦的攻击者，针对阿富汗和印度实体进行攻击活动

引言

研究人员观察到了针对阿富汗和印度的攻击活动。攻击者使用政治和政府为主题的恶意域，利用恶意 RTF 文件向受害者提供各种商品恶意软件。该活动分为侦察阶段和攻击阶段，攻击者在初始侦察阶段使用自定义文件枚举器和感染器，在攻击阶段部署dcRAT 和 QuasarRAT等恶意软件。攻击者注册了多个具有政治和政府主题的域，部分域还包含与阿富汗实体相关的主题。研究人员以高置信度评估，此次恶意活动由一个ID为“AR Bunse”的攻击者发起，这名攻击者伪装成一个巴基斯坦 IT 公司的所有者，进行恶意软件活动。

简况

在 2021 年初，攻击者的攻击链如下：

• 第1阶段：使用恶意RTF，利用Office 中的代码执行漏洞CVE-2012-11882，执行恶意 PowerShell 命令。第 1 阶段 base64 通过 certutil.exe 解码下一阶段的有效负载，将其放到磁盘并执行。
• 第2阶段：提取并执行下一阶段的 PowerShell 脚本。第 2 阶段是另一个 PowerShell 脚本，base64 解码并激活另一个有效负载。
• 第3阶段：加载程序可执行文件通过当前用户启动目录中的快捷方式实现驻留，然后将硬编码的 C# 代码编译成可执行程序集，并调用编译后的恶意代码的入口点。
• 第4阶段：最后的有效负载调用到第3阶段的编译器过程中。

2021年7月和8月左右，攻击者对攻击链做出调整，部署RAT作为最终有效载荷，DcRAT、QuasarRAT 和远程桌面客户端 AnyDesk 的合法副本。和此前的感染链一样，攻击者使用恶意 RTF 文档，利用 CVE-2017-11882 来执行第二阶段的PowerShell脚本。然后，第二阶段的脚本会在磁盘上创建一个 BAT 文件，该文件又会执行另一个 PowerShell 命令以下载并激活最终有效负载。

DcRAT 是 2019 年在野观察到的一个相对较新的RAT家族。在当前的活动中，研究人员发现了多个托管在攻击者网站上的DcRAT 负载，这些负载在活动的感染阶段被传送给受害者。DcRAT包含多种功能，包括远程 shell、进程管理、文件管理和键盘记录。研究人员还发现了AndroRAT，这是共享相同C2服务器的攻击者使用的另一种Android RAT软件。

攻击者注册的域包括几个不同的主题。其中一个名为jayshreeram[.]cf的域是对宗教印度教口号的引用。该域随后用于托管 DdcRAT。此外，攻击者还注册并使用冒充阿富汗实体的域名，如af-gov[.]ml和afghancdn[.]world。一些诱饵图片也使用了阿富汗相关的主题，例如一张2021年6月，阿富汗副总统和HCNR主席访问时，白宫发布的官方新闻稿。HCNR是阿富汗为与塔利班谈判而设立的委员会。诱饵图片如下图：

研究人员认为，这一恶意活动由ID为“AR Bunse”的攻击者促成。该攻击者伪装成巴基斯坦 IT 公司 Bunse Technologies 的经营者展开恶意活动。Bunse Technologies (BunseTech) 是一家位于巴基斯坦拉合尔的软件开发和营销机构，似乎是一个虚假实体，旨在促进该攻击者的恶意活动。该公司在Twitter 上只有一个关注者，在 Facebook 上只有不到 60 个关注者。这位名为AR的攻击者经常在 Twitter上发布亲巴基斯坦的内容。该内容可以追溯到 2016 年，攻击者在社交平台发布的内容都带有民族主义主题，从亲塔利班的内容到反印度情绪。此外，研究人员还发现了一个由“AR”维护的 GitHub 帐户。

总结

这位id为AR的攻击者，以一家IT公司为幌子来采购基础设施，以实施其犯罪软件活动。该活动在其图标和诱饵中使用了各种与政治和政府相关的主题，向受害者提供如 dcRAT、Quasar 和 AndroRAT等RAT。由于诱饵文件中具有大量政治相关的诱饵，因此受害者大概率是印度和阿富汗政府和外交实体。