一．背景

TransparentTribe APT組織，又稱ProjectM、C-Major，是一個來自巴基斯坦的APT攻擊組織，主要攻擊手段是透過魚叉式釣魚郵件對印度政府、軍事、金融等目標發起攻擊。該組織的活動最早可以追溯到2012年並在2016年3月首先被proofpoint公司披露。

透過對該駭客組織的長期威脅情報的追蹤，我們發現該駭客組織於近期發動了一場針對金融行業的魚叉式釣魚郵件攻擊，該攻擊以金融從業者簡歷為誘餌，誘騙使用者啟用宏程式碼，並將惡意程式碼嵌入其中。

二．攻擊活動分析

1。攻擊流程：

2。宏程式碼分析：

該文件的正文宏程式碼部分只有一句，在開啟宏文件後，會呼叫模組中waqopfiloLdr裡的惡意程式碼。

首先呼叫了WaqopfileLdr函式，獲取系統的ProgramData的路徑，並拼接Dlymrdsa，形成完整路徑後，建立該資料夾。

接著獲取作業系統版本，並判斷是否為win7

當系統為win7時，取出TextBox1中的資料，將其中的”w”字串去除，形成完整的資料。（可以理解為解混淆），最後將解密的資料寫入到C：\ProgramData\Dlymrdsa\ravidhtirad。zip當中。

隨後判斷標準位，該標準位在執行了Win7系統流程後會自動將標準位置為1，則下述程式碼將不在執行，這裡應該是除Win7以為系統執行的邏輯程式碼，該程式碼與上述的程式碼一致，只是將TextBox2的資料釋放。

接著呼叫unwaqopip方法將壓縮包內的exe進行解壓。

unwaqopip方法內部將使用系統自帶的解壓工具對壓縮包進行解壓。（Shell。Application物件的CopyHere方法）

解壓完成後呼叫Shell函式將解壓出來的exe執行起來，並呼叫WaqopdocLdr方法。

WaqopdocLdr方法將UserForm2中的文字寫入到正文文件當中去。

該釣魚內容為簡歷，可以看出其簡歷內容主要是金融行業相關，由於該組織的一貫攻擊習慣，可以判斷出該組織的目標及有可能是金融機構。

3。RAT分析：

我們對2個內建的RaT進行了分析，發現是用。net編寫的，編寫過。net的都知道。net3。5/2。0和4。0是不相容的，而Win7和XP預設是預裝了3。5/2。0，而Win8以上則預設預裝的是4。0，就導致了需要進行系統的判斷。

經過筆者分析，該Rat2個版本功能是一樣的至少語法上有區別，主要是適配。net版本，這裡以。net2。0的樣本為主來進行分析。

該Rat是。net的視窗程式，透過Form1類建立視窗。

首先呼叫初始化方式。

設定視窗屬性是否顯示以及關閉視窗訊息相應函式和主訊息回撥。

3。1 FormClosing回撥：

呼叫ravidhtiradload_apep方法。

獲得Rat的完整執行路徑並呼叫ravidhtiradset_ruwn方法。

向登錄檔項寫入開啟自啟。

3。2 Load回撥：

設定視窗相關屬性後，呼叫ravidhtiraddowStart方法。

使用定時器執行緒定時呼叫ravidhtiradlookupCdon方法，延遲時間為31210毫秒，定時器間隔為35210毫秒。

接著呼叫ravidhtiradIPSeC方法。

首先呼叫ravidhtiradserverIPeD方法獲取C&C伺服器地址。

值得注意的是ravidhtiraddefaultwP預設是有一個C&C地址，但該地址並未使用，而是被上述的IP地址取代，推測是為了應付一些自動提取IOC的軟體或者初級分析人員的干擾選項。

然後將會嘗試連線到C&C伺服器：“151。106。14。125：6818”。

當發生錯誤時，會進入異常流程，異常流程會按下述埠重新發起連線。

並將異常原因傳送到http：//shareboxs。net/indexer。php，同時附帶系統使用者名稱和系統版本。

如果成功連線後將呼叫ravidhtiradseeRse方法進行處理。

由於筆者分析時，該C&C伺服器以關停，故無法獲取其返回的命令格式，以及相關資料，但可以透過內建的部分指令以及功能來獲取其對應的惡意行為，該Rat的服務端是由Web進行控制的。

可以看到會首先獲取服務端返回的資料。

然後將資料賦值給<>c__DisplayClasse結構並對其進行拆分/判斷。

接著就是一個巨型的switch，透過switch進行不同命令的分發，值得注意的是該Rat為了相容不同版本的服務端使用了多個命令對應相同的一個功能。

由於該Rat的功能較多，為避免文章過於冗長下面僅列取部分Rat的功能程式碼。

ravidhtirad-getavs命令是遍歷當前計算機中所有程序相關的資訊並將其回傳到C&C伺服器。

ravidhtirad-thwumb命令是獲取圖片快取資訊，並將其回傳到C&C伺服器。

ravidhtirad-fiwlsz命令是獲取指定的檔案，並將其回傳到C&C伺服器。

三．攻擊活動TTP

四．關聯&溯源

對該樣本進行關聯溯源，分別發現了國內友商2019年的幾篇報道，其中公開的核心技術細節與本次活動所用的特馬（私有特種木馬）相匹配，對其核心C&C地址進行溯源，發現了多個關聯的惡意樣本，均被標註為該駭客組織。

該C&C的伺服器地址位於法國境內的IDC服務商，根據開源威脅情報可知該地址曾被多個APT組織與黑產團伙利用。

五．總結

該組織的攻擊目標和攻擊意圖十分明顯，且對免殺逃逸技術的迭代並沒有進行頻繁的更新，但攻擊活動卻十分頻繁，這可能源於印巴衝突的升級，網路戰爭也擺到了明面進行，如此頻繁的攻擊活動，但卻對逃逸技術迭代止步不前，也許是因為現實衝突導致了網路防備鬆懈。

六．IOC

SHA-256：

（1）dbb9168502e819619e94d9dc211d5f4967d8083ac5f4f67742b926abb04e6676

（2）bbea096ceb3c94454a5b92e5f614f107bd98df0b9d2f7022574256d0614f35c8

（3）8f01ae46434e75207d29bc6de069b67c350120a9880cc8e30fefc19471eaac4a

C&C：

（1）151。106。14。125

（2）shareboxs。net

歡迎登入安全客 -有思想的安全新媒體www。anquanke。com/加入QQ交流群1015601496 獲取更多最新資訊

原文連結：https：//www。anquanke。com/post/id/243326

TAG: 呼叫攻擊NETRAT伺服器