信息來源：FreeBuf

TAG：高級可持續(xù)攻擊、APT、南亞地區(qū)、印度、巴基斯坦、軍隊、政府、國防、情報機構(gòu)、原子能

TLP：白（報告轉(zhuǎn)發(fā)及使用不受限制）

日期：2019-10-30

概要

在持續(xù)跟蹤全球主流黑客組織的過程中，微步在線發(fā)現(xiàn)了一個至少自2017年開始活動，主要針對南亞地區(qū)各國開展網(wǎng)絡(luò)間諜活動的新APT組織。該組織的攻擊手法與印度背景的SideWinder和Bitter組織存在些許相似，但在攻擊細節(jié)和所用木馬方面存在本質(zhì)的區(qū)別，為方便進行跟蹤，微步在線內(nèi)部將之命名為GroupA21。

對該組織相關(guān)活動進行分析，有如下發(fā)現(xiàn)：

該組織疑似具備印度背景，主要針對南亞地區(qū)的巴基斯坦、斯里蘭卡、馬爾代夫和孟加拉等國的政府、軍事、外交、情報、原子能和高校等行業(yè)和機構(gòu)開展網(wǎng)絡(luò)間諜活動。

根據(jù)IOC和木馬指紋關(guān)聯(lián)溯源發(fā)現(xiàn)，該組織至少自2017年開始活躍。其攻擊木馬使用Python、C、C++、Go等進行開發(fā)，具備回傳系統(tǒng)配置信息、Shell、獲取目錄、傳輸文件、發(fā)送郵件和遠程文件執(zhí)行等功能。

在魚叉式網(wǎng)絡(luò)釣魚攻擊中，該組織善利用時政和軍事等目標相關(guān)信息制作釣魚郵件和誘餌文檔，使用偽裝成PDF文檔的SFX文件、偽裝的LNK文件作為木馬投遞載體，早期也曾利用CVE-2017-11882漏洞傳播木馬。

微步在線通過對相關(guān)樣本、IP和域名的溯源分析，共提取24條相關(guān)IOC，可用于威脅情報檢測。微步在線威脅檢測平臺（TDP）、威脅情報管理平臺（TIP）、DNS防火墻（OneDNS）、威脅情報云API均已支持該組織最新攻擊的檢測。如需協(xié)助，請與我們聯(lián)系：contactus@threatbook.cn。

詳情

基于狩獵和黑客畫像系統(tǒng)，微步在線持續(xù)跟蹤著全球主流的黑客組織。在跟蹤的過程中，我們發(fā)現(xiàn)一個至少自2017年開始活躍，持續(xù)針對南亞地區(qū)的巴基斯坦、斯里蘭卡、馬爾代夫和孟加拉等國的政府、軍事、外交、情報、原子能和高校等行業(yè)和機構(gòu)開展網(wǎng)絡(luò)間諜活動的新APT組織，微步在線內(nèi)部命名為GroupA21。在攻擊時，該組織多利用時政和軍事等目標相關(guān)信息制作釣魚郵件和誘餌文檔，使用偽裝成PDF文檔的SFX文件、偽裝的LNK文件作為木馬投遞載體，早期也曾利用CVE-2017-11882漏洞傳播木馬。

該組織部分攻擊活動的攻擊時間線如下：

下面對相關(guān)攻擊活動進行分析：

2019年10月，以“為什么選擇空軍大學”為主題向空軍和教育等相關(guān)目標發(fā)起釣魚攻擊。誘餌如下：

2019年5月，偽裝PakistanComputer Emergency Response Team (PakCERT)疑似向巴基斯坦海軍參謀長等相關(guān)目標發(fā)起釣魚攻擊，主題為“CNS_Guidelines_2019”。誘餌如下：

2019年3月，以“土耳其對巴基斯坦三軍情報局ISI提供幫助的回應”為主題，內(nèi)容與土耳其向巴基斯坦軍官進行培訓和提供軍事援助有關(guān)，向巴基斯坦國防和情報等有關(guān)部門發(fā)起釣魚攻擊，C2偽裝成巴基斯坦國家信息委員會相關(guān)網(wǎng)站。誘餌如下：

2019年1月，以“中國對巴基斯坦的戰(zhàn)略背叛”為主題，內(nèi)容與克什米爾沖突相關(guān)，向巴基斯坦國防等相關(guān)部門發(fā)起釣魚攻擊，C2偽裝成巴基斯坦空軍和國防與新聞分析小組相關(guān)。誘餌如下：

2018年12月，以“ISI在中巴核協(xié)議中的角色”為主題，疑似向巴基斯坦軍事、原子能和情報等相關(guān)部門發(fā)起釣魚攻擊。誘餌如下：

2018年7月，以“REQUEST FOR CAR STICKER FOR THE YEAR 2018”為主題向巴基斯坦空軍人員發(fā)起釣魚攻擊。誘餌如下：

2018年2月，以在印度舉辦的第八屆亞太地區(qū)3R論壇，疑似向馬爾代夫環(huán)境和發(fā)展相關(guān)部門發(fā)起釣魚攻擊。此次論壇主題為“通過3R和資源效率實現(xiàn)清潔水，清潔土地和清潔空氣-亞太社區(qū)21世紀愿景”。誘餌如下：

2017年7月，以“海軍上將阿瑟·穆赫塔爾（Ather Mukhtar）接任KGC主席”為主題向巴基斯坦有關(guān)人員發(fā)起釣魚攻擊。誘餌如下：

樣本分析

自發(fā)現(xiàn)至今，該APT組織的攻擊手法主要經(jīng)過三次變動：2017年至2018年上半年期間投遞的誘餌樣本主要以偽裝的SFX為主，最終釋放Python開發(fā)的后門，具備回傳系統(tǒng)配置信息、Shell、獲取目錄、傳輸文件、發(fā)送郵件和遠程文件執(zhí)行等功能；2018年下半年至2019年上半年，投遞的誘餌文件主要由C、C++開發(fā)，具備反彈Shell的功能，釋放具有誘餌內(nèi)容的bmp文件；2019年5月份至今，則主要投遞攜帶惡意命令行的LNK文件，遠程下載HTA文件，最終加載Go語言開發(fā)的后門木馬或Empire框架生成的Payload。

該組織攻擊手法演變，以及部分活動中的攻擊流程如下：

下面分別對這幾類攻擊樣本進行分析。

Registration_Details.zip

此類樣本通過LNK文件下載HTA文件執(zhí)行，最終加載Go語言開發(fā)的反彈Shell后門木馬。

SHA256	f5026999207600eb4c63c03c2679d46e1a3ec8e25696810d9c7f74721f4d59eb
文件格式	ZIP
C2	auniversity.myftp.org 194.32.76.124
文件名稱	Registration_Details.zip
攻擊時間	2019.10
誘餌主題	為什么選擇空軍大學

1.ZIP文件包含三個文件，其中一個PDF誘餌文件，其他兩個均為LNK文件，執(zhí)行后會下載HTA文件運行，相關(guān)截圖：

2. HTA腳本文件被執(zhí)行后，后續(xù)會下載PDF文件和后門文件updat.b64，解碼完成后拷貝到“%appdata%/pdat.exe”目錄下，并且創(chuàng)建計劃任務實現(xiàn)持久化攻擊，相關(guān)截圖：

3.后門程序pdat.exe采用Go語言編寫，功能為連接C2，接收發(fā)送的命令行轉(zhuǎn)發(fā)到cmd，實現(xiàn)反彈Shell的功能，反彈Shell的部分功能實現(xiàn)代碼截圖：

4.反彈Shell流量交互，其中上線包會發(fā)送“786”標志，回傳數(shù)據(jù)采用base64進行編碼，相關(guān)截圖：

CNS_Guidelines_2019.zip

CNS_Guidelines_2019.zip解壓完成后是一個攜帶惡意命令行的LNK文件，雙擊被執(zhí)行后會從C2服務器下載誘餌DOC文檔和HTA文件，多次下載HTA和PowerShell腳本后最終執(zhí)行Empire后門木馬，后門功能包括Shell、獲取目錄、獲取系統(tǒng)信息等。

文件名稱	CNS_Guidelines_2019.zip
文件大小	1.27 KB (1,302 字節(jié))
SHA256	aefe7ce3ec9328664b375dfb9910b863e086560f990c6d35bf467e2e5b0a992f
SHA1	bf789d83854ca7b149fa9de516024a0d1b1b0aaf
MD5	3aa327948d02d24d6139ae89564ff791
C2	pakcert.gov-pk.org:443
URL	http://pakcert.gov-pk.org/zaqxswcderfv.hta http://pakcert.gov-pk.org/mnbvcxz http://pakcert.gov-pk.org/zaqxswcde.hta http://pakcert.gov-pk.org/poilkjmnb http://pakcert.gov-pk.org/zxcvqwerasdf
攻擊時間	2019.05
誘餌主題	CNS指南2019

1.此次攻擊活動的樣本為壓縮文件，解壓完后釋放LNK文件“Shipment.docx.lnk”，LNK命令行被執(zhí)行后會下載HTA文件和RTF文件，相關(guān)截圖：

2. HTA文件被mshta執(zhí)行后會繼續(xù)下載下一階段的HTA文件。

3. 第二階段的HTA文件被下載執(zhí)行后，會繼續(xù)從C2服務器獲取PowerShell代碼繼續(xù)執(zhí)行。

4.多階段下載完成后，獲取到一段Base64編碼的PowerShell代碼，解碼完成后是一段使用Empire框架生成的后門，相關(guān)截圖：

5.該后門從“http://pakcert.gov-pk.org:443/admin/get.php”獲取最終的PowerShell執(zhí)行，該后門使用R**加密，其中密鑰為“Nsrs0ep7u4{X2>_M;.%Ftznhxj&]8:Fc”，能夠獲取系統(tǒng)信息、執(zhí)行命令等，相關(guān)截圖：

Betrayal_of_Pakistan_by_China.exe

Betrayal_of_Pakistan_by_China.exe使用C++編譯，本身是一個反彈Shell后門，能夠回傳系統(tǒng)信息，執(zhí)行Shell命令，同時還會釋放BMP誘餌文件。

文件名稱	Betrayal_of_Pakistan_by_China.exe
文件大小	1.27 KB (1,302 字節(jié))
SHA256	0e6fadc64284167473bfc8eb22987852a8a8e8cb323548d2e2efdfb26354adb3
SHA1	a9cc72e785cbd46abcdf7cf90f57beca46c29fab
MD5	d160d0845b654c3aa23552ac0a3725a7
PDB	D:\Project\C\pend\Release\pend.pdb
C2	quwa-paf.servehttp.com
攻擊時間	2019.01
誘餌主題	中國對巴基斯坦的背叛

1、嘗試連接19419-19429端口，C2域名為“quwa-paf.servehttp.com”，相關(guān)截圖：

2、如果嘗試連接成功后，會解析接收的數(shù)據(jù)，如果是“l(fā)ist”字符串則返回計算機名稱和用戶名稱，相關(guān)截圖：

3、如果非“l(fā)ist”字符串則創(chuàng)建一個新的線程，并且將接收的數(shù)據(jù)輸入到cmd進程中，實現(xiàn)Shell的功能，相關(guān)截圖：

4、然后樣本釋放bmp誘餌文件，其中bmp圖片展現(xiàn)一些文檔內(nèi)容。

5、添加自啟動，實現(xiàn)持久化攻擊，此處執(zhí)行的命令行和Go版本的后門中的字符串語法相似。

6、該后門還支持收集信息的一些cmd命令，但是調(diào)試發(fā)現(xiàn)并未執(zhí)行相關(guān)流程。

Karachi GOlf Club Newsletter june2017.pdf.exe

Karachi GOlf Club Newsletter june2017.pdf.exe類樣本采用RAR的SFX封裝，雙擊被執(zhí)行后會釋放誘餌信息和木馬后門，木馬后門采用Python編寫，具備回傳系統(tǒng)配置信息、Shell、獲取目錄、傳輸文件、發(fā)送郵件、遠程文件執(zhí)行等功能。

文件名稱	Betrayal_of_Pakistan_by_China.exe
文件大小	1.27 KB (1,302 字節(jié))
SHA256	8fb17be82e6998740e2c17d49012fbd475fcaf8b2ecf8990d996a30b1061cddf
SHA1	178f07d1e8afc9b0fb3150fad234b74b5e53778d
MD5	c671362015dab11c0b552d8b4112825a
C2	110.10.176.193
攻擊時間	2017.07
誘餌主題	海軍上將阿瑟·穆赫塔爾（Ather Mukhtar）接任KGC主席

1.此攻擊樣本采用RAR的SFX封裝，雙擊被執(zhí)行后會釋放誘餌信息和木馬后門，相關(guān)截圖：

2.RichAudio.exe為python實現(xiàn)的后門程序，連接固定C2服務器“110.10.176.193”，能夠拷貝自身到啟動目錄，實現(xiàn)持久化攻擊，相關(guān)截圖：

3.相關(guān)功能包括Shell、獲取目錄、傳輸文件、發(fā)送郵件、遠程文件執(zhí)行，功能截圖：

4.通過搜索微步在線云沙箱的分析記錄（鏈接），發(fā)現(xiàn)同次攻擊活動中的“provisionalagenda.pdf.exe”釋放的后門曾經(jīng)傳輸過PowerShell代碼進行執(zhí)行：

5.Base64解碼后為Empire框架生成的后門木馬

關(guān)聯(lián)分析

綜合分析相關(guān)活動的被攻擊目標、潛在受益者和涉及的地緣政治，我們認為該組織可能具備印度背景。

對該組織的誘餌文檔和相關(guān)木馬進行分析，發(fā)現(xiàn)早期多使用SFX自解壓文件作為木馬載體，少部分使用CVE-2017-11882漏洞文檔，在近期的攻擊活動中多使用攜帶惡意命令的LNK文件作為木馬投遞載體，通過魚叉攻擊將木馬投遞給目標，并通過創(chuàng)建自啟動方式等實現(xiàn)木馬長期有效駐留。在C2資產(chǎn)方面，該組織經(jīng)過了從固定IP、動態(tài)域名到注冊高仿政府域名的轉(zhuǎn)變。

對該組織進行關(guān)聯(lián)分析，發(fā)現(xiàn)該組織同時還有進行著網(wǎng)絡(luò)釣魚攻擊，如gov-pk.org在微步在線X平臺可查到如下子域名：

gov-pk.org子域名	攻擊活動分析
mail.navy.mil.bd.mailupdatenavybdzimbra.gov-pk.org	疑似針對孟加拉海軍的郵箱釣魚
mfamail.foreign.gov.mv.mfamailzimbraupdation.gov-pk.org	疑似針對馬爾代夫外交部的郵箱釣魚
mail.paec.gov-pk.org	疑似針對巴基斯坦原子能委員會的郵箱釣魚

綜合分析該組織的歷史活動和相關(guān)TTPs，對該組織畫像如下：

組織名稱	GroupA21
組織簡介	該組織似具備印度背景，主要針對南亞地區(qū)的巴基斯坦、斯里蘭卡、馬爾代夫和孟加拉等國的政府、軍事、外交、情報、原子能和高校等行業(yè)和機構(gòu)開展網(wǎng)絡(luò)間諜活動。
組織背景	印度
活躍時間	2017至今
活躍狀態(tài)	活躍
目標地域	南亞地區(qū)的巴基斯坦、斯里蘭卡、馬爾代夫、孟加拉等國
目標行業(yè)	政府、軍隊（空軍和海軍）、國防、外交、情報機構(gòu)、原子能、高校、環(huán)境和發(fā)展等
攻擊手法	社工、魚叉攻擊、網(wǎng)絡(luò)釣魚、多階段、腳本化、SFX自解壓文件、惡意命令行LNK文件、CVE-2017-11882
慣用木馬	Python、C、C++、Go等開發(fā)的木馬后門，Empire框架
攻擊目的	竊取政治和軍事情報、持續(xù)控制
針對平臺	Windows

GroupA21相關(guān)IOC

更多IOC信息可前往微步在線X情報社區(qū)：https://x.threatbook.cn/nodev4/vb4/article?threatInfoID=2398