【安全资讯】疑似“肚脑虫”APT组织近期针对孟加拉国的攻击活动分析

引言

近日，研究人员捕获一起肚脑虫 APT 组织近期疑似针对孟加拉国攻击活动。在此攻击活动中，攻击者主要以”孟加拉国职业大学2021年电子工程专业演示文稿”为主题，将PPT诱饵文件通过钓鱼邮件发送给受害者。当受害者打开诱饵文件并执行宏后，会上传计算机和用户基本信息到远程服务器，并下载后续攻击模块到本地执行。

简况

Donot“肚脑虫”是疑似具有南亚背景的 APT 组织，其主要以周边国家包括巴基斯坦、孟加拉国、尼泊尔和斯里兰卡的政府和军事为目标进行网络攻击活动，通常以窃取敏感信息为目的。该组织具备针对 Windows 与 Android 双平台的攻击能力。

本次攻击使用包含宏的诱饵文档“EE 2021 B Final ppt BUP.ppt”，以”BUP(孟加拉国职业大学)”、”EE(电子工程)”命名文件，””演示文稿2021(PRESENTATION 2021)”为主页内容，诱导受害者打开诱饵文件。

“EE 2021 B Final ppt BUP.ppt”文档中的宏执行后会释放"%Public%\Music\delta.dll"文件，并在系统启动目录下释放”sdelta.bat”文件。

”sdelta.bat”主要是创建计划任务”deckteck”，用来加载"%Public%\Music\delta.dll"的导出函数”qdsfakraksdfkdkfjk”，以实现delta.dll自启动，值得注意的是文件delta是”德尔塔”毒株的希腊名称，以delta名称命名，可用来迷惑用户。

最后弹出构造的“错误”弹框用来迷惑用户，掩盖释放文件的恶意行为，这种弹框方式在以往Donot组织攻击活动中也是经常使用，点击弹框中的”确定”或”取消”按钮后显示为空白界面，但恶意行为却早已被执行。

delta.dll文件执行后主要是收集被害者的机器指纹信息，并下载后续攻击模块执行。此次捕获的攻击样本与Donot组织常用攻击手法，恶意代码基本一致，Donot 本次活动和以往活动中的C2注册信息都较有特点：注册时间都为1年、注册商主要是namecheap、NameSilo。

总结

此次捕获的样本主体功能没有较大变动，依然延续构造”错误弹框”、字符自加减进行字符串解密的风格。其主要针对南亚地区开展攻击活动，国内用户不受其影响。