16家企業恐被竊取重要機密！透明部落以“清潔運動”為主題對印度國防部下屬企業發起釣魚攻擊

事件背景

近期安恒信息中央研究院獵影實驗室捕獲到透明部落組織針對印度國防部下屬企業攻擊的樣本，樣本格式為帶有惡意宏的pptm文件，可能通過釣魚郵件投遞至印度國防部下屬企業，樣本中的宏代碼會釋放并執行CrimsonRAT，執行來自惡意C2的各種命令。

誘餌文檔冒充為印度國防部下發的指令，大意為通知各個印度國防公共部門企業進行“清潔運動”以減少未決事項。誘餌文檔如下：

攻擊分析

pptm文件的宏代碼如下。

宏代碼的主要執行流程如下圖。

宏代碼首先將自身復制到根據當前時間創建的目錄“C:\ProgramData\Offrce【當前分和秒】”，重命名為“Offire.zip”并解壓。

然后獲取操作系統名和版本號，判斷其中是否包含“.01”字符串，若包含，則將壓縮包中的ppt\embeddings\oleObject1.bin文件復制到C:\ProgramData\Offrce*\ppt路徑下并重名為“iarwthbnaiv.exe”，然后執行iarwthbnaiv.exe文件，若不包含“.01”字符串則對ppt\embeddings\oleObject2.bin文件執行上述操作。

經過測試發現在Windows7系統中包含“.01”字符串，而Windows 10以上版本返回為空字符串。對oleObject1.bin和oleObject2.bin兩個文件對比發現，oleObject2.bin的編譯信息中指定.NETFramework的版本為4.6，而oleObject1.bin并未指定.NETFramework版本。除此以外，兩個程序的功能完全相同。

ppt\embeddings\oleObject3.bin文件以pptx文件打開，實際為誘餌文檔。

iarwthbnaiv.exe文件為Crimson RAT遠控木馬，在其初始化的函數中能夠發現其版本號。

程序運行后并未立即注冊持久化，而是通過設置窗體關閉事件句柄的方式，在進程結束或其他窗體結束的情況下才進行注冊持久化，方式是在注冊表“SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下注冊自啟動，鍵名為“qerbalahwer”，設置鍵值為當前進程路徑（C:\ProgramData\Offrce*\ppt\iarwthbnaiv.exe）。

隨后與指定ip和端口建立TCP連接。

ip地址通過十進制ASCII碼存儲，編碼后為“38.74.14[.]137”。

端口號共有5個，默認為7516，若連接出現異常則試圖使用下一端口號。

連接成功后從C2服務器讀取數據，數據經過插入、刪除和替換等操作得到程序能夠識別的指令碼。

通過指令碼控制的功能模塊截圖如下圖所示。

功能總結如下：

關聯分析

本次攻擊釋放的最終載荷被識別為Crimson RAT，而Crimson RAT是透明部落特有的遠控軟件。

并且本次樣本的Crimson RAT的執行流程與此前披露的樣本存在多處重合，具體如下：

// 樣本中硬編碼的版本號格式相近

// 功能入口由定時器觸發函數回調進入

// 功能模塊使用的命令混淆方式高度相似

拓展

誘餌文檔中的詞匯“Swachta drive”與印度的“清潔運動”有關。

“清潔運動”是由印度政府于2014年10月2日發起的一項公共環境衛生工程，呼吁印度民眾參與打掃衛生活動，目前仍在持續進行，下圖為《印度時報》中與“清潔運動”相關的新聞，說明攻擊者也在關注著印度的時事。

誘餌文檔中說明“DPSUs附屬/下屬辦公室的所有聯合秘書級官員將確保并監督清潔工作，相關部門的所有員工都將參與清潔運動。”“DPSUs”是“Defence Public Sector Undertakings”的縮寫形式，譯為“國防公共部門企業”，歸印度國防部國防生產部管控。

DPSUs共包含16家企業，涉及航空、電子、武器、建筑、礦業、材料、船舶和軍需等重要行業，此次攻擊目的很可能是竊取這些企業的重要機密。

思考總結

印度和巴基斯坦都是屬于東南亞的國家，但由于歷史原因兩國的關系一直較為緊張，在激烈的武裝沖突的背后，雙方的網絡戰爭也在暗流涌動。

雖然本次捕獲的樣本僅針對印度地區，但我們仍然要保持警惕，因為覬覦我們個人信息和國家機密的組織和團伙仍不在少數，他們無時無刻都在利用我們身邊的信息，并通過社工手段讓我們卸下防備，正如本次攻擊利用印度國家的“清潔運動”一樣。因此，安恒信息在此提醒廣大用戶謹慎對待未知來源的郵件附件和鏈接，不運行來源不明的文件，如有需要，可以投遞至安恒云沙箱查看判別結果后再進行后續操作。

文章轉自公眾號: 網絡安全研究宅基地