概述
双尾蝎
APT
团伙是一个长期针对中东地区的高级威胁组织,其最早于
2017
年被披露。其至少自
2016
年
5
月起,便持续针对巴勒斯坦教育机构、军事机构等重要领域开展了有组织,有计划,有针对性的攻击,该组织拥有针对
Windows
和
Android
双平台攻击能力。
近日,奇安信威胁情报中心红雨滴团队在日常的威胁狩猎中捕获多个伪装成视频、文档和图片的可执行文件,此类样本将图标设置为对应的诱饵类型,诱导受害者点击执行。当样本执行后,将释放展示相关诱饵迷惑受害者。释放展示的诱饵包括
CIA
对哈马斯支持的相关政治类诱饵、巴勒斯坦地区美女视频图片、简历相关文档等。奇安信威胁情报中心经过溯源关联后发现,此次捕获样本疑似均来自
APT
组织:双尾蝎。
奇安信威胁情报中心在发现此次攻击活动的第一时间便向安全社区进行了预警。
样本信息
此次捕获的样本具有
Pascal,VC
两个版本,并伪装成视频,图片,文档等几种诱饵类型,伪装成文档类的样本信息如下:
|
文件名
|
MD5
|
|
Financing USA is illegal and suspicious organizations.exe
|
9fcb1cb7e8bb3424ce7e83ce5ad9a78d
|
|
My Cv.docx.exe
|
ae0b53e6b378bf74e1dd2973d604be55
|
|
serati al thatia.docx.exe
|
c27f925a7c424c0f5125a681a9c44607
|
|
My Cv-4786789573896-2347675-docx.exe
|
faff57734fe08af63e90c0492b4a9a56
|
释放展示的文档内容包括
CIA
资助哈马斯相关信息,简历信息,诱饵内容如下:
9fcb1cb7e8bb3424ce7e83ce5ad9a78d
ae0b53e6b378bf74e1dd2973d604be55
c27f925a7c424c0f5125a681a9c44607
faff57734fe08af63e90c0492b4a9a56
除文档类诱饵以外,捕获的样本还会释放展示视频,图片等影音类诱饵,此类部分样本信息如下:
|
文件名
|
MD5
|
|
sun is crying in a door and what it tells tells my country Take me on my homelandd.exe
|
1507f7ecc5fe8ef4c90c853d64e1a9f9
|
|
PhoneProviders.exe
|
9af8f2a02befa7ceb9b72359ce30c0bb
|
|
bihbik lamaa bitahki tarsum eishafafik dahka hbihbik lamaa bitahki.exe
|
26a1fc2f983fb8abae4b47b0c7edfee6
|
|
Her hands are following my pain Irfana, I am suffering What lightness and my pain wasted me.exe
|
e0f8e726e4d5a4ad22de8a62c98e1737
|
|
gift.mp4.exe
|
835f86e1e83a3da25c715e89db5355cc
|
|
Video02042020.mp4.exe
|
f5bac4d2de2eb1f8007f68c77bfa460e
|
影音类诱饵主要以中东地区美女视频,照片为主,部分诱饵内容如下:
1507f7ecc5fe8ef4c90c853d64e1a9f9 9af8f2a02befa7ceb9b72359ce30c0bb
e0f8e726e4d5a4ad22de8a62c98e1737 835f86e1e83a3da25c715e89db5355cc
详细分析
VC
后门
|
文件名
|
Financing USA is illegal and suspicious organizations.exe
|
|
MD5
|
9fcb1cb7e8bb3424ce7e83ce5ad9a78d
|
|
诱饵内容
|
CIA
资助哈马斯相关信息
|
|
C2
|
ansonwhitmore[.]live
|
|
图标
|
|
样本伪装成
word
文档,执行后将从资源中获取数据释放到
Financing USA is illegal and suspicious organizations.docx
,并打开该文档迷惑受害者。
释放展示文档内容为
CIA
资助哈马斯行动相关信息,诱饵内容如下:
之后在启动项目录创建
lnk
文件实现持久化
在
%temp%
目录下创建
SwitcherDataModel
文件夹。
尝试读取
%temp%\\SwitcherDataModel\\Secombe.txt
文件
,
若读取失败,则获取计算机名加随机字符写入该文件。
与
C2: ansonwhitmore.live/yohann/bordalas/ignasI
通信,发送收集的计算机基本信息。
若成功通信则进入后续命令分发函数,获取
Secombe.txt
数据与
C2: ansonwhitmore.live/yohann/bordalas/alejandro
获取命令执行。
与双尾蝎组织常用手法一致的是,该样本也利用人名作为指令。相关指令功能如下:
|
指令
|
功能简介
|
|
germain
|
执行信息收集函数,休眠
|
|
gustavo
|
休眠
|
|
steve
|
请求新地址
|
|
Isabella
|
下载文件并执行。
|
Pascal
后门
|
文件名
|
My Cv-4786789573896-2347675-docx.exe
|
|
MD5
|
faff57734fe08af63e90c0492b4a9a56
|
|
诱饵内容
|
简历信息
|
|
C2
|
Judystevenson[.]info
|
|
图标
|
|
样本将图标设置为
word
文档图标,并以简历为诱饵名,诱导受害者执行,执行后将释放展示简历信息迷惑受害者。
通过资源文件可发现该样本存在一个主窗口,三个定时器,两个按钮,以及一个
Lazarus IDE
的多行编辑框
memo
:
其中三个定时器分别对应不同的功能,两个按钮对应
Post
和
Get
请求功能,
memo
记录每一步操作。
定时器
Timer3
功能为拷贝自身,当计算机中未安装卡巴时候,拷贝自身到
%PROGRAMDATA%\\SecProcessingWindowsSystem.exe
定时器
Timer2
则主要负责持久化操作,启动后首先判断计算机中是否安装了如下杀软:
|
Kasper
|
|
eScan
|
|
360
|
|
Corporate
|
|
F-Secure
|
|
Bitdefender
|
之后将尝试建立持久化,将设置自身
lnk
带上
-rq
参数避免每次开机都打开诱饵文档让用户产生怀疑。同时对不同环境将执行不同的持久化操作:
|
检测到系统存在杀软
|
WindowsXP
|
C:\\Documents and Settings\\Start Menu\\Programs\\Startup\\
SecProcessingWindowsSystem.lnk
|
|
除
XP
外的
Windows
系统
|
%APPDATA%\\Microsoft\\Windows\\StartMenu\\Programs\\Startup\\SecProcessingWindowsSystem.lnk
并写入注册表
Software\\Microsoft\\Windows\\CurrentVersion\\Run
来实现持久化
|
|
未检测到杀软
|
将
lnk
文件放入
startup
目录实现持久化
C:\\Users\\Administrator\\AppData\\Roaming\\Microsoft\\Windows\\StartMenu\\Programs\\Startup
|
定时器
Timer1
主要功能为释放诱饵文档以及与
C2
通信当
Time1
执行后将检测当前的启动参数,若不带
-rq
则将
MYDATA
资源中的诱饵文档释放到
%temp%\\Manal Cv.docx
。
之后获取计算机用户名,杀软,系统版本等信息,
Base64
编码后以如下格式拼接:
