APT追踪:Transparent Tribe恶意组织演变分析(上)

2020-09-08 14:05:3611453人阅读

一、背景和主要发现

Transparent Tribe(又称为PROJECTM和MYTHIC LEOPARD),是一个高产出的恶意组织,其活动最早可以追溯到2013年。Proofpoint在2016年发表了一篇有关该恶意组织的文章,自当时起,我们就一直关注这一恶意组织。在APT威胁情报报告中,我们向订阅该服务的用户定期报告恶意组织的活动,在过去的四年之中,这个APT组织从未休息。他们持续对目标进行攻击,通常是针对印度军方和政府人员。

多年来,该恶意组织的TTP始终保持一致,该恶意组织持续使用特定的工具,为特定的恶意活动创建了新程序。恶意组织最常用的感染媒介是带有嵌入式宏的恶意文档,这些宏似乎是由自定义的生成器生成的。

他们主要使用的恶意软件是自定义的.NET RAT(称为Crimson RAT),但是多年来,我们还观察到了其他自定义.NET恶意软件和基于Python的PAT(Peppy)的使用。

在过去的一年中,我们看到该恶意组织正在演变,其恶意活动不断加强,并开始进行大规模的感染活动。此外,他们还开发了新的工具,并且将目标扩大到阿富汗地区。

本系列文章共分为两篇,在上篇文章中,我们将分享对Transparent Tribe恶意组织的调查结果。我们的主要发现包括:

1、我们发现了Crimson服务器端组件,这是Transparent Tribe用来管理受感染主机并开展间谍活动的C2。该工具证实了我们对Crimson RAT的大部分观察结论,并帮助我们进一步了解攻击者。

2、Transparent Tribe持续传播Crimson RAT,感染了以印度和阿富汗为首多个国家的大量受害者。

3、USBWorm组件是真实存在的,并且已经在数百台主机上检测到该组件。研究人员在几年前就发现了这一恶意软件的存在迹象,但是此前没有对其进行过分析。

二、Crimson服务器端分析

Crimson是Transparent Tribe从事间谍活动的主要工具。该工具由各种组件组成,攻击者使用这些组件在受感染的计算机上执行多种活动,包括:

1、管理远程文件系统;

2、上传或下载文件;

3、截图;

4、使用麦克风进行音频监控;

5、记录摄像头设备的视频流;

6、窃取可移动媒体中的文件;

7、执行任意命令;

8、记录击键;

9、窃取保存在浏览器中的密码;

10、通过感染可移动媒体实现传播。

在分析过程中,发现了一个.NET文件,该文件被识别为Crimson RAT,但经过仔细观察后,发现该文件的不同之处,这是一个攻击者用于管理客户端组件的服务器端植入工具。

我们发现了两个不同的服务器端版本,一个是我们命名为“A”的版本,分别在2017年、2018年和2019年进行编译,其中包括用于安装USBWorm组件并在远程计算机上执行命令的功能。我们命名为“B”的版本则是在2018年和2019年底进行编译。两个版本的存在证明了恶意软件目前仍然在开发中,APT组织正在努力增强其功能。

通过分析.NET二进制文件,我们可以建立可用环境,并与此前在受害者计算机上检测到的样本进行通信。

2.1 Crimson服务器端版本A

2.1.1 主面板

第一个窗口是主面板,其中列举了受感染主机的列表,并显示有关受害者系统的基本信息。

服务器主面板:

1.png

使用远程IP地址作为输入内容,利用合法网站检索地理位置信息。服务器使用的URL是:

http://ip-api.com/xml/ < ip >

在最上方,有一个工具栏,可以用于管理服务器,或者在指定的主机上进行某些操作。在最下方,有一个输出控制台,其中包含服务器在后台执行的操作列表,例如显示已接收和已发送命令的信息。

服务器会使用在名为“settings”的类中指定的嵌入式配置信息进行配置。

嵌入式配置示例:

2.png

在“settings”类中,包含每个恶意软件组件使用的TCP端口、默认文件名和安装路径。该服务器不包含用于构建其他组件的任何功能。它们需要被手动放置在特定的预先定义好的文件夹中。例如,根据上图显示的配置,“msclient”必须放置在“.\tmps\rfaiwaus.exe”中。

这样,我们就得出结论,服务器文件是由另一个构建器生成的,该构建器创建了可执行文件、目录以及应用程序使用的其他文件。

2.1.2 Bot面板

主要功能可以通过“Bot Panel”访问,该界面包括12个选项卡,可以用于管理远程系统和收集信息。

更新模块

第一个选项卡用于检查客户端配置、上传Crimson组件并在远程系统上执行这些组件。

更新模块标签:

3.png

Crimson框架由7个客户端组件组成:

1、简版客户端:一个用于识别受害者的简版RAT。简版客户端是最常见的客户端,通常会在分发Transparent Tribe的感染过程中投递,并且最常见于OSINT资源。其中包含数量有限的功能,通常可以用于:

(1)收集有关受感染系统的信息;

(2)收集截图;

(3)管理远程文件系统;

(4)下载和上传文件;

(5)获取进程列表;

(6)执行文件。

2、完整版客户端:功能齐全的完整版RAT。它可以处理所有简版客户端的功能,同时还可以用于:

(1)安装其他恶意软件组件;

(2)捕获网络摄像头图像;

(3)使用计算机麦克风进行窃听;

(4)向受害者发送消息;

(5)用COMSPEC执行命令并接收输出。

3、USB驱动程序:一个USB模块组件。用于从连接到受感染系统的可移动驱动器中窃取文件。

4、USB蠕虫:USB蠕虫组件用于从可移动驱动器中窃取文件,并感染可移动介质,使恶意软件在系统间传播,恶意软件将从远程Crimson服务器下载并执行简版客户端组件。

5、凭据窃取程序:窃取存储在Chrome、Firefox和Opera浏览器中的凭据。

6、键盘记录程序:用于记录键盘输入的恶意软件。

7、移除工具:该组件无法使用“更新模块选项卡”获取到,但是可以使用“删除用户”按钮将其自动上传到受感染的计算机上。遗憾的是,我们没能得到这个组件,也无法对其进行描述。

值得关注的是,Transparent Tribe试图通过特定服务器配置来阻止某些厂商的安全工具,以防止在安装卡巴斯基产品的系统上安装某些恶意软件组件,特别是其中的“USB驱动程序”和“凭据窃取程序”。此外,也会阻止在安装了ESET防护产品的系统上安装“凭据窃取程序”。

阻止在安装卡巴斯基产品的系统上安装某些组件的代码段:

4.png

文件管理器和自动下载选项卡

通过文件管理器,攻击者可以浏览远程文件系统、执行程序、下载/上传/删除文件。

文件管理器选项卡:

5.png

大多数按钮的功能都非常直观,其中需要特别说明的是“USB Drive”和“Delete USB”,是用于访问USB驱动程序和USB蠕虫组件所窃取的数据。另一个“Auto File Download”将会打开另一个窗口,也可以通过倒数第二个选项卡进行访问。该功能允许攻击者配置在感染主机上要搜索的文件,对结果进行过滤,并上传这些文件。

自动下载标签:

6.png

屏幕和网络摄像头监控选项卡

屏幕监控选项卡:

7.png

网络摄像头监控选项卡:

8.png

这些选项卡用于管理两个简单而强大的功能。第一个选项卡用于监视远程屏幕,查看用户在系统上正在做什么。第二个可以用于监视远程网络摄像头,并进行视频监控。攻击者可以检索单个屏幕截图,也可以启动一个循环,让恶意程序不断将屏幕截图发送到服务器,从而生成各种实时流。攻击者还可以将RAT组件配置为在远程系统上记录图像。

其他选项卡

其他选项卡用于管理以下功能:

1、音频监控:恶意软件使用NAudio库与麦克风进行交互并管理音频流。该库存储在服务器端,使用特殊命令推送到受害者的计算机上。

2、发送消息:攻击者可以向受害者发送消息。恶意软件将使用标准的消息框显示这条消息。

3、键盘记录器:收集键盘数据。日志包括受害者使用的进程名称和键盘输入。攻击者可以保存数据或清除远程缓存。

4、密码记录器:该恶意软件包含窃取浏览器凭据的功能,特定组件会枚举保存在各种浏览器中的凭据信息。对于每一条凭据,它将保存网站URL、用户名和密码。

5、进程管理器:攻击者可以获得特定进程的列表,并使用特定的按钮将其终止。

6、命令执行:该选项卡允许攻击者在远程计算机上执行任意命令。

2.2 Crimson服务器端版本B

另一个版本与先前的版本非常相似。最明显的区别在于,这个B版本的图形用户界面与A版本不同。

版本B的主工具栏:

9.png

在升级选项卡中,缺少“升级USB蠕虫”,这表明该版本不提供USB蠕虫的功能。

版本B的更新模块选项卡:

10.png

该版本不会阻止在安装卡巴斯基产品的系统上安装某些组件,并且不包含“命令执行”选项卡。在原来的位置,我们看到了另一个选项卡,它用于保存对受感染主机的注释。

注释信息:

11.png

三、USB蠕虫

2019年1月,我们在调查Transparent Tribe的一项恶意活动的过程中,发现他们分发了Crimson恶意软件。攻击过程源于一份恶意的Microsoft Office文档,攻击者使用鱼叉式网络钓鱼电子邮件的方式将其发送给受害者。

针对印度实体的诱饵文件:

12.png

这些文档通常都嵌入了恶意VBA代码,有时还会使用密码进行保护,该文档会投放一个编码后的ZIP文件,其中包含恶意Payload。

包含编码Payload的用户表单:

13.png

恶意宏将ZIP文件投放到%ALLUSERPROFILE%的新建目录下,并在相同位置解压缩文件。目录的名称可能会不同,具体取决于不同样本:

    %ALLUSERSPROFILE%\Media-List\tbvrarthsa.zip
    %ALLUSERSPROFILE%\Media-List\tbvrarthsa.exe

VBA代码片段:

14.png

其中的可执行文件是Crimson的简版客户端,攻击者可以使用它来获取有关受感染主机的基本信息、收集屏幕截图、操纵文件系统、下载/上传任意文件。

在分析过程中,我们注意到一个与Crimson C2服务器连接的有趣示例。该示例与多次检测有关,所有这些检测都使用不同的文件名,并且其中大多数是从可移动设备生成的。

我们观察到的一个文件路径名称组合是“C:\ProgramData\Dacr\macrse.exe”,它同时也在Crimson完整版客户端样本中进行了配置,用于在调用usbwrm命令时保存从C2接收的Payload。

USBWorm文件构建函数:

15.png

我们得出结论,这个样本就是Proofpoint在分析恶意软件时提到的USBWorm组件。

根据先前的研究,我们知道该RAT能够部署一个模块来感染USB设备,但是此前从来没有公开的研究细节。

3.1 USB蠕虫分析

分析表明,USB蠕虫不仅仅是用于感染USB的工具。实际上,攻击者还可以利用它进行以下操作:

1、下载并执行Crimson简版客户端;

2、复制USB蠕虫自身,并使用副本感染可移动设备;

3、从可移动设备窃取感兴趣的文件(类似USB窃取工具)。

默认情况下,该程序可以作为下载程序、感染程序和USB窃取程序。通常该组件是由Crimson完整版客户端安装,在启动时会检查其执行路径是否为嵌入式配置中指定的执行路径,以及系统是否已经感染了Crimson客户端组件。如果满足上述条件,则开始监视可移动媒体,并且对于每种可移动媒体,恶意软件都会尝试感染设备并窃取感兴趣的文件。

感染过程将列出所有目录。然后针对每个目录,会使用相同的目录名称在驱动器根目录下创建其自身的副本,并将目录属性更改为“隐藏”。这将导致所有实际目录都被隐藏,然后再将恶意软件的副本修改为相同目录名。

此外,USB蠕虫使用仿冒Windows目录的图标,在试图访问目录时诱导用户执行恶意软件。

USB蠕虫图标:

16.png

这个简单的技巧在默认的Windows环境中非常有效,在默认情况下,文件扩展名不会显示,隐藏的文件也是不可见的。受害者在每次尝试访问目录时都会执行蠕虫。此外,该恶意软件不会删除真实的目录,并会在启动时执行explorer.exe,并提供隐藏目录路径作为其参数。该命令将会打开用户期望的资源管理器窗口。

使用默认Windows设置查看受感染的可移动媒体:

17.png

在设置了显示隐藏文件、显示文件扩展名后,再查看受感染的可移动媒体:

18.png

在数据窃取过程中,列出了设备上存储的所有文件,并复制了特定扩展名(与预定义列表匹配)的文件。这些扩展名包括:.pdf、.doc、.docx、.xls、.xlsx、.ppt、.pptx、.pps、.ppsx、.txt。

一旦发现文件扩展名与上述列表匹配,则会检查是否已经窃取了相同名称的文件。在恶意软件的文本文件中,包含窃取文件的列表,该文件储存在恶意软件目录下,文件名预先嵌入在恶意软件的配置之中。

当然,这种方法有一些问题,因为如果蠕虫找到两个具有相同名称的不同文件,它实际上只会窃取第一个文件。如果新发现的文件名称不在窃取文件的列表之中,那么文件将从USB复制到通常名为“data”或“udata”的本地目录中,实际目录名称可能会有所不同。

如果蠕虫是从可移动媒体上执行的,那么其行为特征就有所不同。在这种情况下,它会检查系统上是否正在运行简版客户端或完整版客户端。如果系统未被感染,则它会连接到远程Crimson服务器端,并尝试使用特定的“USBW”命令下载简版客户端组件。

用于构建USBW请求的代码段:

19.png

恶意软件的持久性通过程序关闭时调用的方法来保证。它会检查恶意软件目录是否符合嵌入式配置中指定的形式,然后在其中复制恶意软件可执行文件。它还会在“HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下创建一个注册表项,以自动执行该蠕虫。

3.2 USB蠕虫分布

在调查过程中,我们发现了大约200个与Transparent Tribe的Crimson组件相关的样本。我们使用卡巴斯基安全网络(KSN)收集了有关受害者的一些统计信息。

综合统计了在2019年6月到2020年6月期间监测到的所有组件,我们共发现分布在27个国家的1000多名不同的受害者。

Crimson分布图:

20.png

大多数检测与USB蠕虫组件有关。在大多数国家,事件的数量比较少。

Crimson检测情况 - USB蠕虫 VS 其他组件:

21.png

如果我们检查受其他客户端组件影响的受害者,就可以找到真正的目标。

自2019年6月至2020年6月排名前五的受感染国家(不包括USB蠕虫):

22.png

在上图中,包括了占比最大的独立受害者,从中可以看出,Transparent Tribe在2019年下半年主要针对阿富汗,然后在2020年开始继续将目标转回印度用户。

我们可以推测,在其他国家发现的恶意软件,可能与主要目标相关的实体(例如使馆人员)有关。

四、总结

Transparent Tribe持续表现出对多个目标的攻击能力。在过去的一年中,我们观察到恶意组织针对军事和外交目标发动广泛地攻击,利用大量基础设施来支撑其行动,并不断改善其武器库。该恶意组织持续改进其主要使用的RAT Crimson,开展情报活动以监视敏感目标。预计该恶意组织在未来也不会放慢节奏,我们也会持续监测他们的恶意活动。

五、威胁指标

下面的威胁指标是不完整的。如果你想了解有关APT的更多信息以及完整的威胁指标列表,可以选择成为卡巴斯基威胁情报报告的客户。

5158C5C17862225A86C8A4F36F054AE2 – Excel文档 – NHQ_Notice_File.xls

D2C407C07CB5DC103CD112804455C0DE – Zip压缩包 – tbvrarthsa.zip

76CA942050A9AA7E676A8D553AEB1F37 – Zip压缩包 – ulhtagnias.zip

08745568FE3BC42564A9FABD2A9D189F – Crimson 服务器端版本A

03DCD4A7B5FC1BAEE75F9421DC8D876F – Crimson 服务器端版本B

075A74BA1D3A5A693EE5E3DD931E1B56 – Crimson 键盘记录器

1CD5C260ED50F402646F88C1414ADB16 – Crimson 键盘记录器

CAC1FFC1A967CD428859BB8BE2E73C22 – Crimson 简版客户端

E7B32B1145EC9E2D55FDB1113F7EEE87 – Crimson 简版客户端

F5375CBC0E6E8BF10E1B8012E943FED5 – Crimson 完整版客户端

4B733E7A78EBD2F7E5306F39704A86FD – Crimson 完整版客户端

140D0169E302F5B5FB4BB3633D09B48F – Crimson USB驱动程序

9DD4A62FE9513E925EF6B6D795B85806 – Crimson USB驱动程序

1ED98F70F618097B06E6714269E2A76F – Crimson USB蠕虫

F219B1CDE498F0A02315F69587960A18 – Crimson USB蠕虫

64.188.25.206 – Crimson C2

173.212.192.229 – Crimson C2

45.77.246.69 – Crimson C2

newsbizupdates.net – Crimson C2

173.249.22.30 – Crimson C2

uronlinestores.net – Crimson C2


本文转载自:嘶吼

作者:41yf1sh

原文地址:https://www.4hou.com/posts/z9g8

本文翻译自::https://securelist.com/transparent-tribe-part-1/98127

0
现金券
0
兑换券
立即领取
领取成功