LuminousMoth样本分析报告

2021-09-07 10:29:22 浏览数 (2)

前言

2021年7月,卡巴斯基发现一种针对东南亚的攻击活动,被称作LuminoutMoth。该活动至少可以追溯到2020年10月,早期的攻击大多在缅甸但现在主要在菲律宾,目前发现缅甸共有100多名受害者,菲律宾有1,400名受害者,其中一些受害者是政府实体。

源头

APT组织向受害者发送包含Dropbox下载链接的钓鱼邮件,通过将file_subpath参数设置为指向带有.DOCX后缀的文件名,该链接指向一个伪装成Word文档的RAR压缩包。

代码语言:javascript复制
hxxps://www.dropbox[.]com/s/esh1ywo9irbexvd/COVID-19 Case 12-11-2020.rar?dl=0&file_subpath=/COVID-19 Case 12-11-2020/COVID-19 Case 12-11-2020(2).docx

压缩包中包含两个恶意DLL和两个加载DLL的合法可执行程序。

第一阶段

RAR中两个恶意DLL分别名为wwlib.dllversion.dll,两个合法的可执行程序分别为winword.exeigfxem.exe,分别加载恶意的DLL。winword.exeMicrosoft Word的主程序,而igfxem.exe是intel核心显卡的驱动程序软件。

version.dll

文件名

version.dll

MD5

0f8b7a64336b4315cc0a2e6171ab027e

SHA1

2d0296ac56db3298163bf3f6b622fdc319a9be23

SHA256

59b8167afba63b9b4fa4369e6664f274c4e2760a4e2ae4ee12d43c07c9655e0f

编译时间

2020-12-24 15:20:16

文件类型

Win32 DLL

version.dll在DLLMain中提供三种参数情况,第一种是无参数,第二种参数为system,第三种参数为assist

无参数时

首先通过检测父进程是否为explorer.exe来检测是否被调试。

创建文件夹c:\users\public\Documents\Shared Virtual Machines\,并设置为系统隐藏文件夹。

之后将四个目标文件复制到信创建的文件夹。

创建igfxEM.exe进程,并传参assist

传参assist

首先创建一个名为nfvlqfnlqwnlf

启动WINWORD.EXE

将igfxEM.exe写入到开机自启。

启动新线程sub_10013E3,并创建新进程调用system参数。

遍历除C盘下根目录所有文件。

在当前目录下创建udisk.log并写入。

参数为system

新建一个事件qjlfqwle21ljl

寻找除C盘外的其他盘符

在其他盘符下创建一个隐藏文件夹

igfxEM.exe复制到目录下重命名为USB Driver.exe

移动用户的所有文件到该隐藏目录

第二阶段

wwlib.dll

文件名

wwlib.dll

MD5

4fbc4835746a9c64f8d697659bfe8554

SHA1

b43d7317d3144c760d82c4c7506eba1143821ac1

SHA256

95bcc8c3d9d23289b4ff284cb685b741fe92949be35c69c1faa3a3846f1ab947

编译时间

2020-12-24 16:25:39

文件类型

Win32 DLL

pdb

C:UsersUSERDesktop白加黑1.35M WinWord - 副本libhwcodecReleasewwlib.pdb

创建互斥体防止运行多次

之后与103.15.28[.]195通信,可以看到这部分为Cobalt Strike的特征,与C2通信并下载新的载荷,创建新线程。

分析时该C2已经关闭服务,猜测后续可能是使用Cobalt Strike进行远控。

IOCs

IP

103.15.28[.]195

MD5

4fbc4835746a9c64f8d697659bfe8554

0f8b7a64336b4315cc0a2e6171ab027e

ref

  • https://securelist.com/apt-luminousmoth/103332/
  • 文由ChaMd5

0 人点赞