【安全资讯】TransparentTribe APT针对印度教育样本功能性分析
一、概况
巴基斯坦和印度冲突一直是国际焦点,又称印巴冲突.9·11事件后,南亚地区战略发生了格局变动,印巴一度陷入炮火之中,网络对抗愈演愈烈,网络趋势冲入持续延伸.
TransparentTribe APT黑客组织来自于南亚-巴基斯坦,该组织活动2016年被披露,溯源活动踪迹最早2012年。
二、事件描述
近日,捕获疑似apt样本,Log伪装word图标,文件名为sonam karwati,经分析鉴定攻击是Operation Transparent TribeApt APT黑客组织发起,针对印度教育活动攻击。
三、样本分析
➬ 诱饵分析
1) Log伪装成word,本体.net木马。
文件名 | Sonam karwati |
MD5 | 3E688904B05CCD7FCD6FB7CF5A210474 |
欺骗方式 | 图标伪装 |
C2 | 151.106.14.125 |
诱饵详细 | 教育行业诱饵: 专业-会计师和教学 |
RAT-MD5 | 6330AD6D358EF2985A0C630CC5E0B9F0 |
诱饵-MD5 | 5BF97A6CB64AE6FD48D6C5D849BE8983 |
2)Sonam karwati母体Unzip.My.Resources提取有效载荷,释放TroJan,执行pdf以假乱真。
3) C:\ProgramData\Bhithoas目录下dhixica解压rwlbmarivs111. Trojian,执行
4) C:\Users\Administrator\Documents目录下释放sonam karwati文档, 执行
Connect and Command
1) rwlbmarivs分析,rwlbmarivsdo_start为主要逻辑入口点,创建线程执行c2操作,如下所示:
2) C2配置信息如下:
3) C2功能模块梳理
指令 | 功能 |
rwlbmarivs-procl | 系统窃取:采集系统当前进程 |
rwlbmarivs-getavs | 系统窃取:采集系统当前进程 |
rwlbmarivs-thumb | 文件操作:上传gif图像 |
rwlbmarivs-filsz | 文件操作:返回大小文件属性 |
rwlbmarivs-rupth | 文件操作:返回切割\\路径 |
rwlbmarivs-dowf | 文件操作:下载写入数据 |
rwlbmarivs-endpo | 进程操作:指定进程结束 |
rwlbmarivs-scrsz | 窗口窃取:参数设置 |
rwlbmarivs-cscreen | 窗口窃取:WPF远程截屏 |
rwlbmarivs-dirs | 系统窃取:返回当前的磁盘驱动器 |
rwlbmarivs-stops | 窗口窃取:关闭远程截屏 |
rwlbmarivs-scren | 窗口窃取:保存远程截屏 |
rwlbmarivs-cnls | 配置操作:初始化参数 |
rwlbmarivs-udlt | 文件操作:写入payload且执行 |
rwlbmarivs-delt | 文件操作:删除文件 |
rwlbmarivs-afile | 文件操作:读取文件流 |
rwlbmarivs-listf | 文件操作:查找资源 |
rwlbmarivs-file | 文件操作:读取文件流 |
rwlbmarivs-info | 窃取操作:采集获取主机名/用户名/权限/桌面路径 |
rwlbmarivs-runf | 文件操作:运行指定路径文件 |
rwlbmarivs-fles | 文件操作:文件查找 列:bootmgr/BOOTSECT.BAK/pagefile.sys |
rwlbmarivs-dowr | 文件操作:下载payload写入文件 |
rwlbmarivs-fldr | 文件操作:路径获取文件夹 |
四、事件溯源
综合上述分析,内存信标和网络信标锁定攻击组织TransparentTribeAPT.
1. 内存中提取CrimsonRAT是TransparentTribeAPT独特的远控木马,曾披露RAT功能基本一致.
2. 网络C2_Ip则被标记TransparentTribeAPT.
TTPs:
指标 | 内容 |
目标 | 印度政府-教育-金融等 |
战术 | 鱼叉-水坑-欺骗 |
诱饵类型 | 宏-伪装-脚本类语言 |
诱饵内容 | 军事内容为主 |
家族组件 | .Netloader,CrimsonRAT |
目的 | 窃取系统文件,敏感数据 |
