概述
双尾蝎(奇安信内部跟踪编号:APT-Q-63)是一个长期针对中东地区的高级威胁组织,其最早于年被披露。至少自年5月起,持续针对巴勒斯坦教育机构、*事机构等重要领域进行网络间谍活动,以窃取敏感信息为主的网络攻击组织,开展了有组织,有计划,有针对性的攻击。
近日,在日常的威胁狩猎中捕获了该组织多起攻击样本,捕获的样本包括伪装成*治热点、教育相关的可执行文件诱饵,以及伪装成微软图像处理设备控制面板程序(ImagingDevices.exe),此类样本运行后,将会释放展示正常的诱饵以迷惑受害者,同时后门将继续在后台运行以窃取受害者计算机敏感信息。
奇安信威胁情报中心在发现此次攻击活动的 时间便向安全社区进行了预警[1]。
样本分析01基本信息
样本1:以美国对巴勒斯坦事业的*策相关信息为诱饵的可执行文件
样本成功执行后将从资源获取诱饵文档释放展示
样本2:伪装成微软图像处理设备控制面板程序(ImagingDevices.exe)
02详细分析
样本1
样本1与我们在去年《近期双尾蝎APT组织利用伪造社交软件等针对多平台的攻击活动分析》[2]一文中披露的windows平台样本相似,均为Delphi语言编写,且携带一个隐藏的窗体,均从资源中释放诱饵文档。
通过对比以往样本,可以看到双尾蝎组织对代码进行了精简,将某些功能函数封装在了点击组件中,将下载功能函数等网络相关的封装在了SendHttp函数中。
与去年我们披露的样本一样,样本1中的Timer1会引导其他控件执行任务,Time1执行后首先会从资源中获取诱饵文档数据保存到%tmp%目录下,然后将其打开以迷惑受害者。
以往样本中的REG_LNK_TimerTimer功能函数被修改为样本1中的ShortClick函数,由Timer3进行调用,在%tmp%目录创建一个指向自身的lnk文件,随后移植到启动目录用于持久化。
以往样本中的Button2Click函数被修改为样本1中的NewClick函数,由Timer4进行调用,收集计算机名字,用户名,系统版本等信息与8位随机字符拼接后用base64加密。
通过WMI查询相关杀*软件信息,不在将杀软信息硬编码在样本中。
将获取到的相关信息经base64加密后,以POST请求方式发送至C2。
与以往样本一样,保留了截屏、下载执行,文件上传、远程shell等功能,这里就不在赘述。
样本2
从自身资源中释放诱饵文档到C:\ProgramData\AuditPolicyGPInterop\MangeFile,然后将其移植到样本所在位置,命名为Folder并调用ShellExecuteA打开。
在C:\ProgramData\AuditPolicyGPInterop目录创建副本AuditPolicy.exe,以及释放文件AuditPolicyGP.ne。
在%tmp%目录下创建指向副本的快捷方式。
调用cmd将快捷方式移植到启动目录,实现持久化。
创建新线程收集office版本信息。
以及收集计算机相关信息。
并循环判断驱动器的类型,将收集的计算机名称与MAC地址,经base64加密后,通过固定格式“celal=加密的计算机名称与MAC地址type=驱动器类型value=驱动器路径“上传至C2:peterabernathy[.]online
采用简单的防御规避手段,上传时先通过连接
转载请注明:http://www.balesitana.com/btdl/9592.html
当前位置: 巴勒斯坦 > 巴勒斯坦地理 > 疑似双尾蝎APT组织近期针对巴勒斯坦地区
