Background
Mahacao, também conhecido como Hangover, Patchwork, White Elephant, etc. O número de rastreamento interno da Qi Anxin é APT-Q-36, que foi divulgado pela primeira vez pelo fabricante de segurança estrangeiro Norman e chamado Hangover. Em agosto de 2016, outros fabricantes divulgaram posteriormente Mahacao Relatório detalhado da organização. Outros fornecedores de segurança doméstica costumam chamá-lo de “elefante branco”. Acredita-se que o grupo APT seja de um país do sul da Ásia, e suas primeiras atividades de ataque podem ser rastreadas até novembro de 2009, e se tornou mais ativo desde 2015. O grupo ataca principalmente sistemas Windows, mas também ataca sistemas Android e Mac OS. Vários exploits foram usados em sua campanha, incluindo pelo menos um exploit de 0 dias.
Os países e regiões envolvidos nos ataques do grupo Mahacao são muito extensos, além de grandes alvos como China e Paquistão, também incluem Israel, Bangladesh, Estados Unidos, Reino Unido, Japão, Coreia do Sul e outros países, bem como o Oriente Médio e Sudeste Asiático. A organização usa principalmente ataques de lança, complementados por um pequeno número de ataques de watering hole, e realiza atividades de espionagem cibernética contra o governo, militares, poder, indústria, diplomacia e economia do país alvo para roubar informações confidenciais [1].
Visão Geral
A organização da grama Maha sempre foi nosso foco. Recentemente, a equipe Red Raindrop do Qi’anxin Threat Intelligence Center capturou várias amostras de ataques da organização na busca diária de ameaças. Nesse ataque, o invasor usa um arquivo RTF vulnerável para realizar um ataque de spear poking. Quando a vítima clica e executa o arquivo de chamariz, a variante BADNEWS Trojan será executada por meio da vulnerabilidade. A partir deste ataque de Mahacao, concluímos que os métodos de ataque da organização possuem as seguintes características:
- Familiarize-se com as agências governamentais do país alvo e use ícones de agências governamentais para aumentar a credibilidade da isca;
- O documento de infecção inicial usa a vulnerabilidade do editor de fórmulas CVE-2017-11882 para executar cargas úteis subsequentes;
- Melhore a eficiência da criptografia, use o algoritmo RC4 para substituir o algoritmo AES-CBC-128 para criptografar dados;
Informações de Amostra
As duas amostras de ataque capturadas desta vez são arquivos RTF e ambas carregam a vulnerabilidade do editor de fórmulas CVE-2017-11882.
Isca 1
Usando documentos relacionados ao Ministério do Trabalho e Recursos Humanos do governo paquistanês de Punjab como isca.
As informações relacionadas à isca são as seguintes:
nome do arquivo | Redução de dias úteis.rtf |
MD5 | CB50C0650B32911DAEB17217AC258AFE |
Tamanho do arquivo | 1308543 bytes |
Local de upload de amostra | Paquistão |
Iisca 2
Use os documentos relevantes da Supervisão e Avaliação do Governo do Paquistão Punjab como isca.
As informações relacionadas à isca são as seguintes:
nome do arquivo | Recrutamento de funcionários em regime de delegação2.rtf |
MD5 | 26991E42F4FA6DFAB84CFA886B4D51F0 |
Tamanho do arquivo | 1194286 bytes |
Local de upload de amostra | Paquistão |
Explorar
Ambos os documentos de phishing têm código de exploração CVE-2017-11882 integrado, que executa o shellcode especificado acionando a vulnerabilidade de estouro de pilha do componente do editor de fórmulas no aplicativo do Office.
O exploit acionará dois pedaços de shellcode. A função principal do primeiro shellcode é calcular a posição inicial do segundo shellcode através do endereço da pilha e pular para o segundo shellcode para execução.
Shellcode primeiro detecta se o processo principal avp.exe do Kaspersky ou o processo principal Avast AvastSvc.exe existe no sistema atual. Se existir, execute o comando shell “/c schtasks /create /sc minuto /mo 1 /tn WindowsUpdate /tr C: \\ProgramData\\OneDrive.exe”.
Em seguida, restaure o cabeçalho mágico ‘MZ’ do arquivo PE no final do shellcode e grave-o no programa C:\ProgramData\OneDrive.exe.
Em seguida, adicione itens de inicialização no registro para obter persistência e, finalmente, inicie o programa OneDrive.exe. O programa OneDrive.exe é na verdade o Trojan BADNEWS comumente usado pela organização Mahacao.
Trojan BADNEWS
Desde que o Trojan BADNEWS foi divulgado pela primeira vez em agosto de 2016, ele passou por várias alterações de versão e também derivou várias versões variantes. O Trojan BADNEWS capturado desta vez é uma versão variante. De acordo com o carimbo de data/hora deste Trojan variante, ele foi criado em 22 de maio de 2022 e carrega uma assinatura válida com o nome de exibição 5Y TECHNOLOGY LIMITED.
As informações básicas do Trojan da variante BADNEWS são as seguintes:
nome do arquivo | OneDrive.exe |
MD5 | 729DD4604FDA4B19146D8F33509A43F6 |
tipo de arquivo | exe |
carimbo de data/hora | 6289FBB0 (22/05/2022 17:00:32) |
O Trojan BADNEWS primeiro obtém o UUID exclusivo do sistema atual por meio do WMI, que é usado para identificar o host da vítima.
Obtenha todos os serviços no sistema executando o powershell e grave os resultados no arquivo RTYgjfdg.sys.
Obtenha uma lista de processos atualmente em execução executando o comando tasklist e grave os resultados no arquivo RTYgjfdg.sys.
Obtenha as informações do produto instaladas pelo sistema atual percorrendo a chave de registro especificada e também grave o resultado no arquivo RTYgjfdg.sys.
Em seguida, envie uma solicitação POST conforme mostrado abaixo para o endereço especificado dayspringdesk.xyz/wfgkl/cvrkaf/xkj/test.php:
Como você pode ver, o tráfego POST contém dados criptografados. O que é diferente do passado é que o grupo Mahacao parece estar tentando reformar o Trojan BADNEWS. Ele não usa mais o algoritmo AES-CBC-128 para criptografar dados, mas usa o algoritmo RC4 mais leve para criptografia. Os dados em alguns campos está usando Depois que o algoritmo RC4 for criptografado, ele também será codificado com Base64. A chave de criptografia do algoritmo RC4 é “abcdefghijklmnopqrstuvwxyzABCD1234567890987654gzasdfghjklqwertpppqqq11111111110000011111”.
Após carregar os dados coletados, crie um novo thread para implementar a função keylogging e registre-o no arquivo atapi.sys.
Em seguida, use nslookup para obter o endereço IP externo.
O IP obtido, nome de usuário, UUID, etc. são criptografados e emendados e enviados para o C2.
Após o Trojan BADNEWS enviar a solicitação POST acima para C2, o C2 retornará os caracteres de comando correspondentes para controlar as ações de acompanhamento do Trojan BADNEWS. Suas funções de código de comando são as seguintes:
roteiro | Função |
1 | Carregue os arquivos coletados |
2 | Após a captura de tela, ela é criptografada e carregada pelo RC4 |
3 | Sair |
4 | Baixe TGJdbkds.exe e execute |
5 | Crie o arquivo especificado |
6 | Carregue o arquivo atapi.sys registrado pelo keylogger após a criptografia RC4 |
7 | execução de comando remoto |
Análise de Correlação
Nas atividades de ataque anteriores do grupo Mahacao, o grupo é bom em usar ataques de lança como uma entrada para entregar documentos com vulnerabilidades às vítimas. Esses documentos geralmente são documentos RTF. As pessoas baixam a guarda. O shellcode usado neste ataque não mudou do shellcode usado em ataques anteriores.
Em segundo lugar, no payload de acompanhamento, o grupo Mahacao continuou usando o Trojan BANDEWS para atacar, e fez alguns ajustes no método de criptografia e em alguns campos da solicitação de tráfego de rede. A função keylogger no ataque anterior foi implementada através da mensagem loop da classe window , enquanto a variante BANDEWS capturada dessa vez abandona essa prática e simplifica o conteúdo do keylogging, e não registra mais logs detalhados, incluindo nomes de hora e janela.
Olhando para o conteúdo da isca, pode-se descobrir que o keylogger combinado com o conteúdo da isca pode roubar melhor as informações da vítima. As amostras capturadas desta vez foram carregadas em Lahore, Paquistão.Pode-se ver que a organização Maha Grass continua a realizar espionagem de inteligência ou aquisição de informações contra o Paquistão.
Resumo
A organização Mahacao é uma organização ativa de longa data, e suas armas de ataque são relativamente ricas. Suas armas de ataque não serão contidas devido à exposição repetida por empresas de segurança, mas continuarão atualizando seu arsenal de armas de ataque. As atividades de ataque capturadas desta vez também mostram que os métodos de ataque da organização são flexíveis e mutáveis, e é uma gangue APT com fortes capacidades de ataque.
Embora a amostra capturada desta vez envolva apenas o sul da Ásia, devemos tomar precauções antes que isso aconteça. Portanto, a equipe Qi’anxin Red Raindrop lembra aos usuários que não abram links de origem desconhecida compartilhados nas mídias sociais, não cliquem em anexos de e-mail de fontes desconhecidas, não executem arquivos desconhecidos com títulos exagerados e não instalem aplicativos de fontes informais fontes. Faça backup oportuno de arquivos importantes, atualize e instale patches.
Se você precisar executar e instalar aplicativos de origem desconhecida, primeiro use a plataforma de análise detalhada do arquivo de inteligência de ameaças da Qianxin (https://sandbox.ti.qianxin.com/sandbox/page) para determinar. Atualmente, ele suporta análise aprofundada de vários formatos de arquivo, incluindo plataformas Windows e Android.
Atualmente, a linha completa de produtos baseados nos dados de inteligência de ameaças do Qi’anxin Threat Intelligence Center, incluindo Qi’anxin Threat Intelligence Platform (TIP), Qi’anxin Tiangu Vulnerability Attack Protection System, Tianqing, Tianyan Advanced Threat Detection System, Qi’anxin NGSOC, Qi’anxin Situation Perception, etc., já suportaram a detecção precisa de tais ataques.
IOCs
MD5
CB50C0650B32911DAEB17217AC258AFE
26991E42F4FA6DFAB84CFA886B4D51F0
729DD4604FDA4B19146D8F33509A43F6
C2
dayspringdesk.xyz
Link de referência
[1] https://ti.qianxin.com/apt/detail/5aa10b90d70a3f2810c4d3c5?name=%E6%91%A9%E8%AF%83%E8%8D%89&type=map
Centro de Resposta ao Vírus Qi Anxin da China
Fonte: Qi’anxin Threat Intelligence
Descubra mais sobre DCiber
Assine para receber os posts mais recentes por e-mail.