您的位置:主页 > 科技 > 正文

海外APT组织“蔓灵花”鱼叉式攻击最新变种样本分析

内容导读: 蔓灵花(BITTER)是一个长期针对中国、巴基斯坦等国家的政府、军工、电力、核等部门发动网络攻击的 APT 组织,具有较强的政治背景。该组织最早在2016年由美国安全公司Forcepoint进行了披露。主要使用鱼叉式攻击,通过发送镶嵌攻击工具的诱饵邮件到...

海外APT组织“蔓灵花”鱼叉式攻击最新变种样本分析

       蔓灵花(BITTER)是一个长期针对中国、巴基斯坦等国家的政府、军工、电力、核等部门发动网络攻击的 APT 组织,具有较强的政治背景。该组织最早在2016年由美国安全公司Forcepoint进行了披露。主要使用鱼叉式攻击,通过发送镶嵌攻击工具的诱饵邮件到目标邮箱,从而达到攻击特定目标的目的。

       今年3月,蔓灵花(BITTER)组织使用新的变种样本,将外交部网站的PDF新闻文档制作成攻击样本作为诱饵发送至攻击目标的邮箱,诱使政府、军工等单位的工作人员点击,从而达到获取国家机密文件的目的。

       2046Lab对最新变种攻击样本及攻击过程进行了深入的分析。

海外APT组织“蔓灵花”鱼叉式攻击最新变种样本分析

 

海外APT组织“蔓灵花”鱼叉式攻击最新变种样本分析

海外APT组织“蔓灵花”鱼叉式攻击最新变种样本分析

a.原始样本

1、打开样本,发现该样本为自解压程序。

海外APT组织“蔓灵花”鱼叉式攻击最新变种样本分析

2、通过上面的信息可以发现该程序会通过SFX(SelF-eXtracting)来实现自解压,并且其中包含两个自动打开文件,一个为恶意程序“audiodq.exe”,一个为欺骗性PDF新闻文档。

海外APT组织“蔓灵花”鱼叉式攻击最新变种样本分析

b.攻击样本

主样本:audiodq.exe

1、首先解密相关配置文件。

海外APT组织“蔓灵花”鱼叉式攻击最新变种样本分析

2、之后通过获取计算机进程信息,比对进程名中是否有包含带有“avg”的进程。

海外APT组织“蔓灵花”鱼叉式攻击最新变种样本分析

3、先与healthdevicetracker.com建立连接。

海外APT组织“蔓灵花”鱼叉式攻击最新变种样本分析

4、获取计算机中系统配置信息,并将信息进行拼接。

海外APT组织“蔓灵花”鱼叉式攻击最新变种样本分析

5、将上述拼接信息通过GET形式向hxxp://aroundtheworld123.net///healthne/accept.php传输。

海外APT组织“蔓灵花”鱼叉式攻击最新变种样本分析

6、检测HTTP回传信息中是否存在“Yes File”指令。

海外APT组织“蔓灵花”鱼叉式攻击最新变种样本分析

7、当存在“Yes File”指令时,获取“Yes File”指令后面的组件名称“regdl”,通过hxxp://healthdevicetracker.com/healthne/healthne/regdl来下载该组件。

 

海外APT组织“蔓灵花”鱼叉式攻击最新变种样本分析

8、然后重命名组件后使用“shellexecute”来运行下载的组件。

海外APT组织“蔓灵花”鱼叉式攻击最新变种样本分析

9、该样本会下载三个组件。

▪healthdevicetracker.com/healthne/healthne/regdl

▪healthdevicetracker.com/healthne/healthne/spoolvs

▪healthdevicetracker.com/healthne/healthne/igfxsrvk

组件1:regdl

该组件的功能是给“audiodq.exe”设置自启动。

海外APT组织“蔓灵花”鱼叉式攻击最新变种样本分析

组件2:spoolvs

该组件为后门程序。

1、通过注册表获取计算机配置信息。

海外APT组织“蔓灵花”鱼叉式攻击最新变种样本分析

2、然后获取计算机中的用户名及计算机名称。

 

3、通过nethostsupport.ddns.net发送计算机配置信息及接收操作指令。

4、通过操作指令可远程获取计算机桌面信息等相关远控操作。

组件3:Igfxsrvk

该组件为键盘记录器。

1、获取计算机剪切板信息。

2、添加键盘钩子获取用户键盘操作记录。

3、将获取的键盘记录数据保存到syslog0812AXbcW1.tean文件中。

海外APT组织“蔓灵花”鱼叉式攻击最新变种样本分析

MD5:

3A162979CE37F885448D1CC44B70FF0D

BE171B4DF9B7DB48C67F31C678421BFD

FC516905E3237F1AA03A38A0DDE84B52

8C4E65D14B69A8403EC7847438F6842B

6BB5614223A21DB411B1CB3ED29465F5

C&C:

aroundtheworld123.net

healthdevicetracker.com

nethostsupport.ddns.net

URL:

aroundtheworld123.net///healthne/accept.php

healthdevicetracker.com/healthne/healthne/regdl

healthdevicetracker.com/healthne/healthne/spoolvs

healthdevicetracker.com/healthne/healthne/igfxsrvk

 

海外APT组织“蔓灵花”鱼叉式攻击最新变种样本分析

1、在打开未经请求的电子邮件和未知链接时要格外小心,不要轻易下载运行附件;

2、使用系统安全漏洞扫描软件,打好补丁,弥补系统漏洞;

3、更新病毒库,查杀主机中的恶意病毒;

4、使用“铁穹高级持续性威胁预警系统”(简称”铁穹“)发现潜在的攻击行为。

海外APT组织“蔓灵花”鱼叉式攻击最新变种样本分析

铁穹高级持续性威胁预警系统(简称:铁穹)是一款专门应对高级网络威胁的新一代智能安全产品。产品旁路部署在网络出口处,通过对网络进出流量进行监测,深度发现和分析零日漏洞(0DAY)、远程控制及渗透行为等各类网络攻击和控制行为。帮助用户及时发现网络内部存在的攻击行为以及失陷主机情况,并能深入分析攻击者的攻击途径、关联关系等,为用户进行威胁处置及攻击溯源等工作提供有效帮助。

编辑:

本文标签: 蔓灵花
相关阅读