TA402 針對中東目標持續發起攻擊
2021 年底,Proofpoint 分析人員發現了一個針對中東政府、外交智庫和國有航空公司的復雜攻擊行動。Proofpoint 將攻擊行動歸因于 TA402 組織,該組織圍繞巴勒斯坦的利益展開攻擊。
在 2021 年 6 月攻擊被披露后,TA402 一度銷聲匿跡。但根據 Proofpoint 的持續跟蹤,TA402 持續更新惡意軟件和投遞交付方式。TA402 會使用名為 NimbleMamba 和 BrittleBush 的惡意軟件,且依托地理圍欄和復雜攻擊鏈干擾分析人員。
最近發現的攻擊行動中,TA402 使用包含惡意文件下載鏈接的魚叉郵件。
自有域名(2021 年 11 月)
在 2021 年 11 月的攻擊行動中,TA402 部署了虛假的 Quora 網站。攻擊者通過自有的 Gmail 賬戶發送帶有惡意 URL(https[:]//www[.]uggboots4sale[.]com/news15112021.php)的釣魚郵件,訪問被地理圍欄限定在特定國家內。如果訪問 IP 地址來自特定區域,用戶將會被重定向下載 TA402 最新開發的 NimbleMamba 樣本文件。如果是區域外的訪問,用戶將會被重定向到合法的新聞網站。
Dropbox URL(2021 年 12 月)
2021 年 12 月,TA402 發送了多種主題的釣魚郵件,包括醫療主題和政治敏感信息等。TA402 繼續使用攻擊者控制的 Gmail 賬戶,但轉用 Dropbox 部署的 URL 來投遞 NimbleMamba 樣本。但這種方式,攻擊者不能再控制地理圍欄。TA402 不僅濫用 Dropbox 服務作為投遞渠道,也作為 C&C 信道。
WordPress 重定向(2022 年 1 月)
TA402 在攻擊鏈中調整了攻擊者控制的 WordPress URL,地理圍欄內的 IP 訪問會下載 NimbleMamba 樣本,之外的 IP 會重定向到阿拉伯語的新聞網站。
NimbleMamba
TA402 的攻擊鏈中都包含名為 NimbleMamba 的惡意樣本,該樣本要取代之前使用的 LastConn 木馬。NimbleMamba 和 LastConn 有一些相似之處,都是用 C# 編寫、C&C 通信使用 base64 編碼、使用 Dropbox API 作為 C&C 信道等,但兩者之間幾乎沒有代碼級的相似。除此之外,TA402 也常常使用名為 BrittleBush 的木馬。
NimbleMamba 的設計良好,且攻擊者仍然在積極開發中。
SHA256編譯時間攻擊行動c61fcd8bed15414529959e8b5484b2c559ac597143c1775b1cec7d493a40369d2021-11-07 00:02:282021年11月430c12393a1714e3f5087e1338a3e3846ab62b18d816cc4916749a935f8dab442021-11-20 23:13:292022年1月
NimbleMamba 使用 C# 編寫,且使用第三方混淆工具進行混淆處理,通過判斷虛擬環境逃避虛擬機分析。
地理圍欄
NimbleMamba 使用多種機制確保惡意軟件只能在目標機器上運行,通過以下服務確定 IP 地址的位置進行檢測逃避:
- api[.]ipify[.]com (https://www.ipify.org)
- myexternalip[.]com (https://myexternalip.com)
- ip-api[.]com (https://ip-api.com)
- api[.]ipstack[.]com (https://ipstack.com)
如果惡意軟件在封閉的網絡環境中無法連接到這些服務,將會處于無限循環中。
只有 IP 所在位置位于以下列表或者主機安裝了阿拉伯語言包時,惡意軟件才會繼續執行。
配置
NimbleMamba 的配置是通過 JustPasteIt 獲取的。NimbleMamba 通過在線服務確定當前時間戳,避免修改時間配置的計算機在感染后出現問題,再根據時間戳生成一個 JustPasteIt URL,算法如下所示:
有內容時,如下所示:
數據通過 # 以及 = 進行分割:
KeyValueACSSIFK641c5_RQj32p_HvJF14U3eu3iQIl1vYncq-5-g4aMKQAAAAAAAAAAQ6MoiJpHT88KFIEQQ2SH5OOOO40,1ckZnB3a45mMpRTTYplNiNmZ
ACSS 中包含用于 C&C 通信的 Dropbox API 密鑰,惡意軟件將外部 IP 地址、用戶名、計算機名寫入逗號分隔的字符串,base64 編碼再反轉字符串,該字符串用作文件夾名稱。
惡意軟件與 Dropbox 進行通信獲取 RAR 文件與其他誘餌文件,誘餌文件通常是辦公文檔或者 PDF 文件。RAR 文件的壓縮密碼為 OOOO 參數中逗號分隔的第二個字符串,文件中包含兩個可執行文件(一個 NimbleMamba 樣本、一個屏幕截圖的可執行文件)。
JustPasteIt 用戶 Nefaty Benet 可能是為了冒充以色列總理 Naftali Bennett,根據平臺信息顯示,NimbleMamba 可能在 2021 年 8 月就開始活躍了,這與 VirusTotal 上分析 NimbleMamba 樣本的編譯時期處在同一時間范圍。
功能
NimbleMamba 很可能是設計用于初始訪問,可以獲取失陷主機的屏幕截圖和進程信息。
BrittleBush
RAR 文件還提供了一個名為 BrittleBush 的木馬程序(2E4671C517040CBD66A1BE0F04FB8F2AF7064FEF2B5EE5E33D1F9D347E4C419F),該樣本與 easyuploadservice.com 進行通信且以 base64 編碼的 JSON 結構接收命令。
歸因
2021 年 12 月的攻擊行動與卡巴斯基在 2015 年披露的 TA402 攻擊有著顯著的相似之處。
根據分析,LastConn 和 NimbleMamba 幾乎肯定是由同一個攻擊組織使用的,Dropbox 的安全團隊調查也封禁了所有相關賬戶。
NimbleMamba 圍繞巴勒斯坦的利益進行攻擊,且針對講阿拉伯語的人士和計算機。
結論
TA402 仍然是一個活躍的攻擊者,以中東為目標不斷發起攻擊。日后,TA402 也將繼續更新惡意軟件和基礎設施對抗分析與發現。
IOC
430c12393a1714e3f5087e1338a3e3846ab62b18d816cc4916749a935f8dab44c61fcd8bed15414529959e8b5484b2c559ac597143c1775b1cec7d493a40369d925aff03ab009c8e7935cfa389fc7a34482184cc310a8d8f88a25d9a89711e862e4671c517040cbd66a1be0f04fb8f2af7064fef2b5ee5e33d1f9d347e4c419fuggboots4sale.comeasyuploadservice.com
Yara
rule Proofpoint_Molerats_TA402_NimbleMamba { meta: description = "Detects .NET written NimbleMamba malware used by TA402/Molereats" author = "Proofpoint Threat Research" disclaimer = "Yara signature created for hunting purposes - not quality controlled within enterprise environment" hash1 = "430c12393a1714e3f5087e1338a3e3846ab62b18d816cc4916749a935f8dab44" hash2 = "c61fcd8bed15414529959e8b5484b2c559ac597143c1775b1cec7d493a40369d"
strings: $dotnet = "#Strings" ascii $dropbox = "dropboxapi.com" ascii wide $justpaste = "justpaste.it" wide $ip_1 = "api.ipstack.com" wide $ip_2 = "myexternalip.com" wide $ip_3 = "ip-api.com" wide $ip_4 = "api.ipify.com" wide $vm_1 = "VMware|VIRTUAL|A M I|Xen" wide $vm_2 = "Microsoft|VMWare|Virtual" wide
condition: uint16be(0) == 0x4D5A and $dotnet and $dropbox and $justpaste and any of ($ip_*) and any of ($vm_*) }
