来自TransparentTribe APT组织的窃密

近期，深信服安全团队通过对海外第三方数据样本的监控，捕获到疑似TransparentTribe APT组织变种样本（当前在国内尚未发现该病毒活动迹象）。该组织又被称为ProjectM、C-Major，通常通过鱼叉式钓鱼邮件对特定国家政府发起针对性的攻击，主要为窃取受害者主机的敏感信息。

启用宏之后，诱饵文件正文如下，该诱饵文件伪装为“2019英勇奖名单”，另外我们发现正文中“SENA MEDAL”为印度的荣誉奖项，由此推断该诱饵文件是投递到印度区域，结合目前印巴网络战持续升温，该诱饵文件很可能是针对相关军事人员。

查看诱饵文件的宏代码，其主要恶意代码位于Module1的userShorbaLoadr函数。

userShorbaLoadr函数主要行为包括：

◆ 创建：

%ALLUSERSPROFILE\Mtech\revamp.scr文件，并写入UserForm1的数据；

◆将revamp.scr：拷贝到

%ALLUSERSPROFILE\Mtech\revamp.zip；

◆ 最后运行revamp.scr；

释放的revamp.scr 是个PE文件，主要功能：

◆ 释放PE文件：

%PROGRAMDATA%\PowerIso\PowerIso.scr,

并设置为只读权限。

◆ 自启动 ：

%APPDATA%\microsoft\windows\start menu\programs\startup\PowerIso.lnk

恶意文件PowerIso.scr核心代码分析如下：

1) 通过硬编码，创建key和iv向量；

2) 跟进Translate函数，该函数对程序数据进行解密，首先通过对程序数据进行base64解码，再结合key和iv向量进行AES解密，最终解密出编码表，如下所示：

3) 接着程序开始向C2服务器构造请求，首先初始化变量，获取本机信息，随机重新生成key和iv向量和创建主机唯一标识（UserComp/PComp）。

4) 进入_flows函数，与C2通信：

5) 获取证书

URL：kmcodecs.com/A1L5C3endRa@l/b2sp-inutor/motos.php

数据包内容如下：

6) 对随机生成的key和iv进行加密，得到str 和str2；

7) str和str2发送至：

kmcodecs.com/A1L5C3endRa@l/b2sp-inutor/motos.php ,并得到返回结果cipherText，

若为6f6e6c79706172616e6f696473757276697665 ，

则连接成功；

8) 连接成功后,继续向C2发送数据，如下所示：

9) 最后调用damnit函数，携带加密后的usercomp和pcomp对C2发送POST请求（请求包如下所示），接着不断轮询C2等待下发指令。

1） 经分析，我们发现该样本与腾讯披露的巴基斯坦TransparentTribe APT组织样本十分类似：

◆ 首先诱饵文件宏代码与TransparentTribe APT组织所使用的宏代码相似度极高，如下图所示，左边为深信服捕获的诱饵文件，右边为TransparentTribe APT诱饵文件。