前言
2021年7月,卡巴斯基发现一种针对东南亚的攻击活动,被称作LuminoutMoth。该活动至少可以追溯到2020年10月,早期的攻击大多在缅甸但现在主要在菲律宾,目前发现缅甸共有100多名受害者,菲律宾有1,400名受害者,其中一些受害者是政府实体。
源头
APT组织向受害者发送包含Dropbox下载链接的钓鱼邮件,通过将file_subpath参数设置为指向带有.DOCX后缀的文件名,该链接指向一个伪装成Word文档的RAR压缩包。
hxxps://www.dropbox[.]com/s/esh1ywo9irbexvd/COVID-19 Case 12-11-2020.rar?dl=0&file_subpath=/COVID-19 Case 12-11-2020/COVID-19 Case 12-11-2020(2).docx压缩包中包含两个恶意DLL和两个加载DLL的合法可执行程序。
第一阶段
RAR中两个恶意DLL分别名为wwlib.dll和version.dll,两个合法的可执行程序分别为winword.exe和igfxem.exe,分别加载恶意的DLL。winword.exe是Microsoft Word的主程序,而igfxem.exe是intel核心显卡的驱动程序软件。
version.dll
文件名 | version.dll |
|---|---|
MD5 | 0f8b7a64336b4315cc0a2e6171ab027e |
SHA1 | 2d0296ac56db3298163bf3f6b622fdc319a9be23 |
SHA256 | 59b8167afba63b9b4fa4369e6664f274c4e2760a4e2ae4ee12d43c07c9655e0f |
编译时间 | 2020-12-24 15:20:16 |
文件类型 | Win32 DLL |
version.dll在DLLMain中提供三种参数情况,第一种是无参数,第二种参数为system,第三种参数为assist。
无参数时
首先通过检测父进程是否为explorer.exe来检测是否被调试。
创建文件夹c:\users\public\Documents\Shared Virtual Machines\,并设置为系统隐藏文件夹。
之后将四个目标文件复制到信创建的文件夹。
创建igfxEM.exe进程,并传参assist
传参assist
首先创建一个名为nfvlqfnlqwnlf
启动WINWORD.EXE。
将igfxEM.exe写入到开机自启。
启动新线程sub_10013E3,并创建新进程调用system参数。
遍历除C盘下根目录所有文件。
在当前目录下创建udisk.log并写入。
参数为system
新建一个事件qjlfqwle21ljl。
寻找除C盘外的其他盘符
在其他盘符下创建一个隐藏文件夹
将igfxEM.exe复制到目录下重命名为USB Driver.exe。
移动用户的所有文件到该隐藏目录
第二阶段
wwlib.dll
文件名 | wwlib.dll |
|---|---|
MD5 | 4fbc4835746a9c64f8d697659bfe8554 |
SHA1 | b43d7317d3144c760d82c4c7506eba1143821ac1 |
SHA256 | 95bcc8c3d9d23289b4ff284cb685b741fe92949be35c69c1faa3a3846f1ab947 |
编译时间 | 2020-12-24 16:25:39 |
文件类型 | Win32 DLL |
pdb | C:UsersUSERDesktop白加黑1.35M WinWord - 副本libhwcodecReleasewwlib.pdb |
创建互斥体防止运行多次
之后与103.15.28[.]195通信,可以看到这部分为Cobalt Strike的特征,与C2通信并下载新的载荷,创建新线程。
分析时该C2已经关闭服务,猜测后续可能是使用Cobalt Strike进行远控。
IOCs
IP
103.15.28[.]195
MD5
4fbc4835746a9c64f8d697659bfe8554
0f8b7a64336b4315cc0a2e6171ab027e
ref
- https://securelist.com/apt-luminousmoth/103332/
- 文由ChaMd5
