疑似响尾蛇APT组织利用冠状病毒相关信息传播恶意lnk文件

概述

响尾蛇(SideWinder)组织是据称具有南亚背景的APT团伙,其主要针对周边国家政府机构等重要组织开展攻击活动,窃取敏感信息。

在之前的文章中提到在线沙箱any.run是学生党获得样本分析的好地方,而关注一些安全研究员的社交账号则是获取APT样本信息的有效渠道。

近日,安全研究员公开披露了几起响尾蛇的攻击样本

搜索样本

因看到其中有新冠病毒相关的信息,遂想找到样本分析,遗憾的是,在anyrun搜索发现,只有一个样本存在,其他样本均没有在anyrun沙箱。

通过沙箱可发现,该样本是lnk文件,运行后将从远程下载hta文件执行

可惜的是远程连接已经404了,没法继续分析后续。通过anyrun直接找样本分析的路子断了,再次尝试从VT获取一些样本信息。

通过VT 搜索发现利用冠状病毒相关信息的样本也是lnk,运行后将会连接 http://www[.]d01fa[.]net/cgi/8ee4d36866/16364/11542/58a3a04b/file.hta 下载后续执行。但是该连接也失效了,幸运的是,在该样本的评论初,发现一个评论且该评论带有一个anyrun连接

进入anyrun可见该样本是一个hta文件,且其标题与lnk文件相同,且其网络行为中的域名也与lnk文件后续域名相同。因此可判定该样本即为lnk文件后续

至此,可以整理出该样本的相关信息如下

文件名 Pak_Army_Deployed_in_Country_in_Fight_Against_Coronavirus.pdf.lnk
Md5 3c9f64763a24278a6f941e8807725369
后续链接 http://www.d01fa.net/cgi/8ee4d36866/16364/11542/58a3a04b/file.hta
后续md5 7a4f9c2e5a60ec498c66d85d2df351e8

样本分析

样本以巴基斯坦军队抗击冠状病毒为诱饵,并假装是pdf快捷链接,诱导受害者点击执行,一旦受害者执行,该lnk文件将会从 http://www[.]d01fa[.]net/cgi/8ee4d36866/16364/11542/58a3a04b/file.hta 下载后续Hta执行。

Hta文件内容如下

该hta主要功能为解密加载一个.netdll.

解密出dll后,获取杀软信息

加载dll,传入四个参数,分别是后续hta地址,传杀软信息的ur+杀软信息,诱饵pdf的内容,诱饵pdf的文件名

之后该dll将释放诱饵文件,诱饵内容与巴基斯坦军队抗击疫情相关

‘将再次从远程下载一个hta文件执行,但该链接目前又失效了,继续anyrun大法下载。

下载回来的hta与之前的类似,仍是解密加载一个dll文件。加载后调用dll的work函数

该dll主要将在\ProgramData\fontFiles目录下释放四个文件,并将白文件加入自启动,通过白文件加载该目录下的恶意Duser.dll

Duser.dll加载起来后,将读取所在目录下的tmp文件,并解密加载该文件

由于dnspy不能直接调试dll,所以可将该解密算法直接拷贝到vs里,解密文件写入即可

解密加载后的文件即为最终的恶意木马,该木马主要用于窃取信息以及接受远程命令执行,运行后,首先从资源解密配置

解密的配置信息如下,信息内容包括收集保存文件目录以及感兴趣的文件类型等

之后创建两个定时器函数执行

GetTimerCallback用于与c2通信,获取命令执行,根据不同命令执行相应功能

支持的功能如下

1.获取系统信息保存到%programdata%\\fontFiles\\font目录下的随机名.sir中

获取系统信息如下

2.收集所有目录信息的信息保存到%programdata%\\fontFiles\\font目录下的随机名.flc中

3. 收集特定文件类型的信息保存到%programdata%\\fontFiles\\font目录下的随机名.fls中

4.获取文件保存

5.更新c2地址

6.更新是否上传指定文件参数

7.重置想获取的特殊文件类型

8.设置文件大小限制

9.指定上传文件

另一个定时函数PostTimerCallback用于上传文件

关联

此次样本与之前披露的过的响尾蛇样本基本一致

且其c2: cloud-apt.net在各威胁平台上都有响尾蛇的tag

我来评几句
登录后评论

已发表评论数()

相关站点

+订阅
热门文章