专栏名称: Seebug漏洞平台
Seebug,原 Sebug 漏洞平台,洞悉漏洞,让你掌握第一手漏洞情报!
目录
相关文章推荐
生态梦网  ·  注意!明天正式进入… ·  17 小时前  
生态梦网  ·  闲置近20年!滨海这座大楼将被打造成商业地标 ·  17 小时前  
生态梦网  ·  3大核心产业!生态城投资控股集团来了 ·  17 小时前  
生态梦网  ·  50处!生态城这个区域道路将有大变化 ·  2 天前  
51好读  ›  专栏  ›  Seebug漏洞平台

威胁情报 | APT-K-47 组织利用新木马工具发起窃密攻击活动

Seebug漏洞平台  · 公众号  ·  · 2024-02-02 16:11

正文

作者:K&XWS@知道创宇404高级威胁情报团队

时间:2024年2月2日



1 概述


参考资料

APT-K-47,也被称为Mysterious Elephant,是知道创宇404高级威胁情报团队首先披露活动细节的APT组织。据推测该组织发源于南亚地区,其攻击活动最早可追溯至2022年。在对APT-K-47的技术手法、战术策略、工具运用以及行动目标进行深入分析时,可以看到南亚多个其他APT组织的影子,包括但不限于Sidewinder、Confucius和Bitter等。

APT-K-47组织其技战术与其他南亚组织基本相同,主要还是围绕着社会工程学展开,根据热点信息投递诱饵进行钓鱼,其初始阶段的攻击载体往往使用CHM、漏洞文档(例如CVE-2017-11882)及WinRAR软件的漏洞。根据我方持续监测的数据显示,该组织攻击目标包含俄罗斯、巴基斯坦、孟加拉国、美国等。
继2023年8月份披露了源自南亚的新兴APT组织APT-K-47的攻击工具ORPCBackdoor之后,知道创宇404高级威胁情报团队一直密切关注该组织的动向。近期我们再次侦测到APT-K-47的新一波攻击活动,并发现了一些此前未被揭露的攻击武器,该组织的核心工具依然是ORPCBackdoor。

在此次攻击中,该组织利用一款尚未公开的木马工具,成功入侵后进一步下载ORPCBackdoor及其他恶意载荷,执行磁盘目录遍历并窃取目标文件,随后将数据回传至命令控制服务器(C2)。同时,该组织还窃取了目标电脑浏览器中的密码信息并进行回传。接下来,我们将详细阐述此次追踪发现的相关内容。

2 攻击详情

本次捕获到的样本名为wallet_Screenshot_2023_09_06_Qbao_Network.rar,该样本利用最新披露的Winrar漏洞(CVE-2023-38831)执行恶意载荷,当压缩文件中的html文件被受害者点击后,精心构造的同名目录下的同名恶意载荷将被执行起来。

本次发现的攻击活动是攻击者利用未曝光的木马程序(木马1因其包含特殊字符串“walker”而命名为WalkerShell,木马2命名为Nimbo-C2),经过梳理,我们发现攻击者共下载了3个不同的恶意载荷,包括ORPCBackdoor、一个专门用于窃取Chrome浏览器密码记录的木马(我们将其命名为DemoTrySpy)和一个下载执行shellcode的后门程序(我们将其命名为NixBackdoor),整体攻击链如图1所示:

图1 整体攻击链

在本批次的攻击活动中,我们识别出了攻击者的两条主要攻击路径:

  1. 攻击者在一台受控机器植入Nimbo-c2木马,然后通过PowerShell 下载DemoTrySpy工具,该工具负责窃取浏览器密码,并将其打包成本地文件,进而将这些文件回传至一个专用于文件回传的服务器。


  2. 在另一台受害机器上,攻击者植入WalkerShell木马,该木马会遍历磁盘,并将攻击者感兴趣的文件回传至一个专用于存储文件的服务器。同时,攻击者通过PowerShell下载DemoTrySpy工具,以窃取浏览器中的用户名和密码,并通过PowerShell下载并执行ORPCBackdoor,从而实现对受害机器的长期远程控制。

以下将对图中所涉及的攻击武器进行详细分析。

2.1 WalkerShell描述

WalkerShell 是一款用 C# 编写的恶意程序,在执行时,它首先会利用polor函数来获取目标主机的主机名(hostname)和用户名(username),具体过程如下图2所示:

图2 WalkerShell执行过程

polor函数的主要功能是利用cmd执行参数1传入的指令,并将最终的结果通过参数2进行返回,详细操作如下图3所示:

图3 polor函数

最终,该程序将收集到的信息附加上~walker字符串,通过在header中添加Author字段,并将处理后的数据写入该字段,以此来回传获取的数据,从服务端返回的header中提取Cmn字段的值并返回,如下图4所示:

图4 处理和回传数据

服务端返回的数据如下表1所示:

命令功能描述
emit程序退出
delta1延迟30秒后重新接收指令
delta2延迟160-190秒后重新接收指令
delta3延迟730-770秒后重新接收指令
xxx(cmd命令)执行xxx命令,并将结果结果返回
表1 WalkerShell 命令列表及功能说明

如果返回的数据为cmd指令,则回传数据的格式为: [username] +“ ”+ [pcname] + “~endow~$[指令]$”,如图5所示:

图5 回传数据的格式

2.2 DemoTrySpy描述

DemoTrySpy因为其pdb路径中包含DemoTry,且主要功能为窃密而得名,如图6所示:

图6 DemoTrySpy路径

在 DemoTrySpy 的导出表中,我们发现了开源项目 cJSON 的部分代码实现。这一代码片段被集成进恶意程序中,目的是用于后续解析 Chrome 浏览器用户数据中的 Local State 所包含的 JSON 格式数据,详细内容如下图7所示:

图7 详细内容

运行后,程序会将自身窗口设置为隐藏状态,如图8所示:

图8 设置自身为隐藏

接下来,程序会创建 C:\Users\Public\Documents\tmpA10.tmp,并将硬编码的数据表头写入其中,如图9、图10所示:

图9 创建tmpA10.tmp文件

图10 将硬编码的数据写入表头

程序会尝试获取Chrome浏览器的用户信息存储目录,若当前主机中不存在Chrome浏览器,则跳过后续逻辑,如图11所示:

图11 尝试获取用户信息存储目录

若Chrome浏览器存在,则程序将Local State中的数据复制到C:\Users\Public\Documents\loc.tmp,如图12所示:

图12 复制数据

接着,程序会将Login data中的数据复制到C:\Users\Public\Documents\log.tmp文件中,如图13所示:

图13 复制数据

后续的主要逻辑是程序从Login data中获取encrypted_key,并使用DPAPI解密出key,如图14所示:

图14 获取encrypted_key

然后,程序会通过sqlite3连接Login Data(该文件为sqlite3数据库文件),获取其中的password、username_value和url字段的值,并利用解密出的key解密其中的数据,如图15所示:

图15 解密数据

最终,解密的数据会被写入tmpA10.tmp文件中,数据格式如图16所示:

图16 写入数据

DemoTrySpy将获取的信息写入文件后,自身并没有回传的功能。攻击者会使用WalkerShell将tmpA10.tmp进行回传,例如使用type或者curl post,如图17所示:

图17 回传数据

2.3 NixBackdoor描述

NixBackdoor的命名源自其落地文件名为Nix.exe,由于该恶意程序整体功能简单、代码量小,无其他特殊字符串,故以此命名,在执行时,NixBackdoor 会创建一个新线程,如图18所示:

图18 创建新线程

线程的主要功能是连接到recentupdate.sytes.net:6364,首先,它会从服务端获取后续shellcode的长度,再获取后续的shellcode,如图19所示:

图19 获取shellcode

NixBackdoor 会修改shellcode权限,然后跳转执行,如图20所示:

图20 修改shellcode权限

2.4 ORPCBackdoor描述

由于ORPCBackdoor在此前的文章《揭秘南亚新 APT 组织 APT-K-47“神秘象”》中已经详细分析,此次将不再赘述。

2.5 NimBo-C2描述

NimBo-C2 是一款开源项目,它是一个简单且轻量级的C2 框架,服务端使用Python语言编写,客户端使用Nim语言编写且支持Windows和Linux操作系统,能够实现丰富的远控功能,如图21所示:

图21 NimBo-C2项目

3 总结

在本次分析中,我们发现了 APT-K-47 组织的攻击活动,这些活动与之前曝光的使用 ORPCBackdoor 的攻击存在明显的差异。在2023年的攻击中,该组织通过发送含有恶意 chm 附件的钓鱼邮件来部署 ORPCBackdoor。而在此次攻击中,他们改用了 WalkerShell 作为初始入侵载体来下载 ORPCBackdoor。同时,我们也注意到该组织在同一时期进行了其他多起攻击活动,我们将在后续的分析报告中进一步分享这些发现的详细信息。



4. IoC


参考资料

HASH:

  • b087a214fb40e9f8e7b21a8f36cabd53fee32f79a01d05d31476e249b6f472ca DemoTrySpy

  • 74ba5883d989566a94e7c6c217b17102f054ffbe98bc9c878a7f700f9809e910 ORPCBackdoor

  • c4817f3c3777b063f0adbc1c8e4671da533f716bab7ad2c4b9bc87295df67334 nimbo-c2

  • 85a6ac13510983b3a29ccb2527679d91c86c1f91fdfee68913bc5d3d01eeda2b walkershell


C&C:
  • outlook-web.ddns[.]net ORPCBackdoor C2



往 期 热 门

(点击图片跳转)

“阅读原文”更多精彩内容!