【安全资讯】疑似Donot APT组织使用最新域名资产进行攻击活动分析

引言

安恒威胁情报中心在日常威胁狩猎中捕获到多个Donot APT组织的攻击活动样本。该批样本保持了Donot组织一段时间以来的攻击作战风格。

简况

本次捕获的初始攻击样本是一个包含恶意宏代码的PPT文档：

当用户点击打开该文档时，会弹出提示框表明存在宏代码。如果用户忽略该安全提示启用宏，则包含在文档中的恶意代码将会执行，由于文档中没有具体的内容，为了迷惑受害者，恶意代码还会伪装文件打开失败的警告信息让用户降低警惕。该手法已经在此前Donot APT组织的多次攻击活动中被使用。

恶意宏代码主要功能是在用户%public%\ Music目录下释放名为“rihana.exe”的可执行文件，然后创建任务计划执行。名为“musudt”的任务计划会每隔15分钟重复执行“rihana.exe”程序。

rihana.exe详细信息如下所示：

该程序主要功能为下载器，其执行后会首先获取用户名称、设备名称以及GUID全局标识符等信息，随后解密出C2回连地址：digitalresolve[.]live，解密算法（对每个加密字符进行 ‘-3’ 运算）如下所示：

然后回连C2，从服务器下载后续载荷执行，如果下载成功，恶意文件将以隐藏属性存储在同目录下，如下图：

然后新建名为“sidilieicaliei.bat”的批处理文件，该文件会创建另一个任务计划程序执行acrobat.dll模块。

归因

本次样本展现出来的攻击手法与猎影实验室此前发布的文章《Donot APT组织针对军事人员攻击活动分析》中提到的XLS样本基本一致，在样本功能代码相似度方面也基本相同。因此认为该样本属于Donot APT组织。