概述
根据2021年2月中旬的一项发现,Anomali威胁研究公司(Anomali Threat Research)评估称,至少自2020年6月4日以来,APT网络间谍组织Bahamut一直在对多个目标进行恶意攻击活动。在研究恶意文件时,来自Anomali的研究人员分析了一个.docx文件(List1.docx),该文件包含一个与另一个.docx文件共享的捆绑组件,该文件可以通过模板注入来与lobertica.info域名进行通信,这个域名之前归属于Bahamut。接下来,我们会对这个文件以及后续的感染链进行深入分析。
模板注入域名(lobertica.info/fefus/template.dot)的Header日期表明恶意活动至少可以追溯到2020年6月4日。该文件的标题显示其跟巴基斯坦国家反恐局(NACTA)有关,这也跟Bahamut之前的目标和地理位置一致。6月这个时间节点也跟2020年6月24日巴基斯坦与金融行动特别工作组(金融行动小组)举行的虚拟会议时间相符合,这也导致巴基斯坦被列入资助恐怖主义的灰色名单之中。
除此之外,在2020年6月9日至15日之间,阿联酋和巴基斯坦为在阿联酋的巴基斯坦国民还专门安排了遣返航班。而且,截至6月29日,阿联酋已经禁止了来自巴基斯坦的乘客入境。尽管在时间上可能只是巧合,但众所周知,Bahamut等APT组织一直都在进行有针对性的网络攻击活动。据报道,2016年12月,Bahamut曾以中东地区的人权活动人士作为主要攻击目标,并通过网络钓鱼攻击来传播基于Android的恶意软件,而这种情况也一直持续到了2018年,当时的主要目标是埃及、伊朗、印度、巴基斯坦、巴勒斯坦、卡塔尔、突尼斯和阿联酋的实体和个人。
细节分析
Anomali的研究人员对恶意.docx文件(该文件可以利用远程代码执行漏洞CVE-2017-8570)进行了分析,研究表明,这项活动显然始于2020年6月,并至少持续到了2021年2月中旬。攻击者使用了至少三个具有通用名称的文件:List1.docx、List for Approval.docx和report.doc,其中一个还以NACTA为主题。攻击感染链如下图所示:
技术分析
攻击者使用的恶意.docx文件其目的是为了投放一个RTF文件,并启动其他恶意活动的感染过程。
下图显示了恶意软件与基础设施之间的关联。顶部的.xml文件为包含在其他.docx文件中的捆绑组件。.docx文件会使用模板注入从恶意域名下载一个文件,接下来一个.rtf文件会被删除,其中包含了多个文件,主要目的是为了删除VB可执行文件。图表的最后一层显示了我们观察到的与恶意文件通信的IP地址:
下图显示的是185.175.158.227的自签名证书,这也是Bahamut在以前的活动中经常使用的方法。据报道,Bahamut还倾向于使用营销电子邮件服务MailKing。这些数据点的一致性虽然不是决定性的,但进一步支持了该活动可能与Bahamut有关。
DOCX文件分析
分析文件:
List1.docx
MD5:
3df18ecd55f8e267be39f6f757bcd5f0
详情:
分析的文档为.docx文件,其中包含一个来自于memoadvicr.com/kodec/report.doc的嵌入式RTF对象。外部对象存放在‘webSettings.xml.rels’文件中,它将下载RTF文件。如下图所示,投放的文件名为report.doc:
RTF文件分析
分析文件:
report.doc
MD5:
9dc1cdba6d5838f7984de89521f18ae8
详情:
分析的文档为RTF文件,该文件是从.docx文件中包含的一个.sct文件那里下载过来的,该文件经过混淆处理,可以利用远程代码执行漏洞CVE-2017-8570。利用该漏洞后,攻击者将能够执行.sct文件,并进一步执行RTF投放的其他恶意文件。RTF中包含的文件名包括eisghfgh321.tmp、d.tmp和E.sct。
下图显示的是.tmp文件的OLE包文件信息:
下图显示的是.sct文件的OLE包文件信息:
经过混淆处理的.sct文件内容使用了大量注释和混淆变量名来防止静态分析。但是,经过反混淆处理之后我们就可以构建出更加清晰的.sct文件信息了。
下图显示的是经过混淆处理的.sct文件内容:
下图显示的是经过反混淆处理的.sct文件内容:
接下来,函数readBinary会读取读取eisgfgh321.tmp中的数据,脚本用MZ替换前两个字节和最后两个零字节,直到eisgfgh321.tmp被转换成dwmm.exe文件。然后,这个可执行文件将会被存放到受感染设备的%PUBLIC%目录中。
然后,脚本会再次检查%PUBLIC%文件夹中是否存在这个恶意可执行文件,如果存在,则会终止winword.exe进程以关闭最初打开的诱饵文档。最后,攻击者会使用VB编写的可执行文件在受感染的机器上充当后门的角色。在对代码进行反编译之后,我们发现POST Payload和dwmm.exe是攻击者在通过POST请求跟C2服务器交互时动态生成的:
总结
Bahamut是一个复杂的APT组织,它利用了反分析技术和多阶段感染技术。除此之外,跟许多其他APT组织一样,他们也会通过网络钓鱼电子邮件和消息,并利用社会工程学技术和用户交互来实现初步感染。
入侵威胁指标IoC
域名和URL:
代码语言:javascript复制http://lobertica.info
http://lobertica.info/fefus/
http://lobertica.info/fefus/report.doc
http://lobertica.info/fefus/template.dot
http://lobertica.info/msoll/igtxpres.zip
http://zovwelle.com
http://zovwelle.com/opregftyro/ijkbfumnbvc.php
http://memoadvicr.com
http://memoadvicr.com/kodec/report.doc
http://memoadvicr.com/dvsec/report.doc
http://fastfiterzone.com/sdjfbjsgdlfvfd/gfdbvgfgggh.php可执行程序EXE:
代码语言:javascript复制04e05054e9e4f1c6cba9292fcad9e06f
61639f301c4cdadfd6c4a696375bdc99恶意文件
.docx:
代码语言:javascript复制68d0e326e18bd7ec50db011f9c119e25
de1f5c8223505f7e8c64a4b852614b14
3df18ecd55f8e267be39f6f757bcd5f0RTF:
代码语言:javascript复制9dc1cdba6d5838f7984de89521f18ae8代码段:
代码语言:javascript复制d3e989f44fe3065ec501fe7f0fc33c3e捆绑组件:
代码语言:javascript复制11eb560d256383859b8135cfbbf98e30IP地址:
代码语言:javascript复制185.183.161.125
185.175.158.227
208.91.197.54
194.120.24.116
93.184.220.29
194.67.93.17
