【安全资讯】疑似蔓灵花APT组织针对巴基斯坦航空综合部门攻击活动分析

事件背景

蔓灵花(Bitter)是一个被广泛认为来自印度的APT组织，该组织长期针对我国及巴基斯坦的政府、军工、电力、核等部门发动网络攻击，窃取敏感数据，具有较强的政治背景。

近期安恒威胁情报中心猎影实验室捕获到一个疑似蔓灵花组织针对巴基斯坦“航空领域”的攻击活动样本。该样本使用名为“PAC Advisory Committee Report.doc”的诱饵文档进行攻击。并且使用一个处于失陷状态的巴基斯坦二手交易网站服务器来下发第二阶段载荷。

样本分析

初始样本是一个包含CVE-2018-0798漏洞的rtf文档，执行后会访问远程服务器并下载名为“bd.msi”的安装程序执行。远程服务器（sbss.com[.]pk）是一个巴基斯坦的二手交易网站，该网站疑似遭遇了入侵，属于失陷状态。

远程msi程序下载地址：“https://sbss.com[.]pk/gts/bd.msi”

msi程序执行后会根据安装路径释放一个名为“Tlntslvclnt.exe”的下载器：

样本执行后会首先从字符串资源中获取窗口名称（“NewProject_2.1”）与类名（“NEWPROJECT_21”），创建Windows窗口后通过自定义算法解密回连C2（“subscribe.tomcruefrshsvc[.]com”）等字符串数据。

解密算法为异或运算：

创建工作目录："C:\Users\admin\AppData\Local\Updates"，如果当前目录下不存在" systemlog"文件，则表示当前是第一次运行。首次运行时样本会通过进程遍历检测是否存在“avp”和“MsMp”等杀软进程。

然后在系统启动菜单中创建“update.lnk”快捷方式文件，用于持久化。

该快捷方式最终会指向如下工作目录中的文件：“C:\Users\admin\AppData\Local\Updates\update.exe”

在工作目录中创建“systemlog”日志文件，写入字符串数据“aa”，然后将自身拷贝到工作目录重命名为“tmp.exe”，执行自拷贝文件后退出当前进程。

获取系统名称、用户名、系统版本等敏感数据，使用如下格式进行拼接："计算机名&&user=用户名&&OsI=系统版本" 

 拷贝自身（“tmp.exe”）到工作目录（update.exe）用于持久化，然后循环获取C2对应IP地址，准备执行核心函数：

进入核心函数后首先与C2服务器进行通讯，URL参数中包含用户名、主机名、系统版本等信息。URL：“/VcvNbtgRrPopqSD/SzWvcxuer/userlog.php”

检测服务器返回数据中是否包含由“主机名+用户名”组合而成的字符串。然后通过英文状态的单引号'"'从数据包中获取待下载后门程序的名称：

第二次回连C2服务器，获取后门程序。URL：“/VcvNbtgRrPopqSD/WqeC812CCvU/【后门名称】”

判断C2返回数据中是否包含“ZxxZ”字符串：

创建后门程序写入PE文件数据：

第三次回连C2服务器，返回成功标识。URL：“/VcvNbtgRrPopqSD/SzWvcxuer/sDeRcEwwQaAsSN.php?txt=DN-SZxxZ【后门名称】ZxxZ【主机名+用户名】” 

第四次回连C2服务器，根据后门程序执行状态，访问不同URL：