首页 >> 网络安全 >>病毒分析 >> APT小组使用MgBot恶意软件的新变种针对印度和香港
详细内容

APT小组使用MgBot恶意软件的新变种针对印度和香港

时间:2020-07-24        阅读

7月2日,我们找到了一个带有嵌入式文件的存档文件,该文件伪装成来自印度政府。此文件使用模板注入来删除加载了Cobalt Strike变体的恶意模板。


一天后,同一威胁参与者更改了模板,并放下了一个名为MgBot的加载程序,通过使用Windows上的应用程序管理(AppMgmt)服务来执行并注入其最终有效负载。


7月5日,我们观察到另一个带有嵌入式文件的存档文件,该文件借用了英国首相鲍里斯·约翰逊(Boris Johnson)关于香港的声明。本文档使用相同的TTP来丢弃和执行相同的有效负载。


考虑到印度和中国之间的持续紧张局势以及香港的新安全法,我们认为这项新的竞选活动是由中国国家赞助的演员负责的。根据我们的分析,我们认为这可能是至少自2014年以来一直活跃的中国APT小组。


主动定位具有不同的诱惑

我们基于旨在破坏其目标的独特的网络钓鱼尝试,连续几天跟踪了与这些威胁行为者有关的活动。


“Mail security check”的“邮件安全检查”(变体1)

此活动很可能是通过鱼叉式网络钓鱼电子邮件进行的。.rar文件(Mail security check.rar)包含一个具有相同名称的文档(图1)。

1.png

图1:邮件安全性check.docx

该文档使用模板注入从以下URL下载远程模板(图2)。

2.png

图2:模板注入

下载的模板使用动态数据交换(DDE)协议执行恶意命令,这些命令被编码在文档的内容中(图3)。

3.png

图3:编码命令

解码后,我们可以看到将由DDE执行的命令列表:

4.png

图4:解码后的命令

如图4所示,威胁行为者使用带有-urlcache -split -f 参数的certutil从其服务器下载com scriptlet,然后使用Squfullydoo技术通过受害机器上的regsvr32.exe执行下载的scriptlet 。


此脚本let以“ ff.sct”的形式存储在Documents目录中。该脚本是一个嵌入了VBscript的XML文件(图5)。

5.png

图5:ff.sct片段

该脚本创建了一个VB宏,并调用Excel来执行它。宏已被混淆以绕过静态安全机制,并负责使用反射DLL注入方法将嵌入式有效负载注入rundll32.exe。注入的有效载荷是钴击的一种变体。


下图显示了此攻击的总体过程:

6.png

图6:总体过程

MgBot“邮件安全检查”(版本2)

正如我们前面提到的,在第一次攻击的第二天,APT组更改了其远程模板。在这个新的变体中,演员们停止使用Squibledoo技术和钴击作为有效载荷。


图7显示了嵌入在模板文件中的新编码命令。

7.png

图7:编码命令

图8显示了将由DDE执行的命令列表。

8.png

图8:解码后的命令

在这个新的模板文件中,将storm.sct脚本替换为storm.txt。与以前的版本类似,certutil用于下载storm.txt文件,该文件是作为ff.exe存储在Documents目录中的可执行文件。


下图显示了整个执行过程:

9.png

图9:整体执行过程

有效负载分析:MgBot(BLame,Mgmbot)

删除的可执行文件(ff.exe)是名为MgBot的装入程序的新变种,该装入程序删除并装入最终的有效负载。该加载器伪装成Realtek Audio Manager工具(图12)。

图12:文件版本信息

它具有四个嵌入式资源,其中两个使用简体中文。这表明该运动可能是由中国APT团体发起的。

图13:资源语言

加载程序通过使用CMSTPLUA COM接口通过UAC旁路升级特权来开始其过程

MgBot使用了几种抗分析和抗虚拟化技术。代码是自我修改的,这意味着它将在运行时更改其代码段。这使得样品的静态分析更加困难。

MgBot尝试避免在已知的虚拟环境(例如VmWareSandboxieVirtualBox)中运行为了确定它是否在这些环境之一中运行,它会寻找以下DLL文件:vmhgfs.dllsbiedll.dllvboxogl.dll,并且如果找到这些DLL中的任何一个,它将进入无限循环而没有进行任何恶意活动(图14)。

图14:反虚拟机

它还会检查受害者机器上是否存在安全产品,如果检测到安全产品,则采取不同的执行流程。例如,它将检查代码不同部分中的zhudongfangyu.exe,360sd.exe,360Tray.exe,MfeAVSvc.exe和McUICnt.exe(图15)。该恶意软件不会一次执行所有检查,而是在执行的不同步骤中对其中的几个进行检查。

图15:安全产品检查

为了调用所需的API,恶意软件不会直接调用它们,而是为所需的API构建功能指针表。通过访问该表的相关索引来进行对API调用的每个请求。

图16:构建函数指针表

例如,当恶意软件需要调用WinExec时,它通过从函数指针表中的索引对其进行调用来实现。

图17:通过使用函数指针表调用API

构建所需的API调用表后,该恶意软件将执行以下过程:

  • 它调用CreateFileW%APPDATA%Temp目录中创建iot7D6E.tmpiot开头的随机名称)该tmp文件是嵌入最终有效负载的cab文件。

  • 它调用WriteFile填充其内容

  • 它要求CreateProcessInternalW调用EXPAND.EXE解压缩的内容iot7D6E.tmpProgramData \微软\的PlayReady \ MSIBACF.tmp \ tmp.dat(该MSIBACF.tmp是随机生成的目录名称和MSI,然后开始后跟随机数和字符的组合)

图18:调用expand.exe
  • 它调用CopyFileW将tmp.dat复制到pMsrvd.dll中

  • 它调用DeleteFileW删除tmp.dat

  • 它将DBEngin.EXEWUAUCTL.EXE放在ProgramData \ Microsoft \ PlayReady目录中。这两个文件都是rundll32.exe,以后将用于执行删除的DLL。

  • 它修改HKLM \ SYSTEM \ CurrentControlSet \ Services \ AppMgmt注册表位置的注册表配置单元以使其持久化。要执行此修改,它将两个名为iix * .tmp的注册表文件(已将随机数添加到iix)放入%APPDATA%Temp目录中,它们是上述注册表位置的旧的和新的注册表配置单元。

要加载已删除的DLL(pMsrvd.dll),加载程序会将其注册为服务。为此,它利用已安装的服务AppMgmt加载有效负载,如下图所示:

图18:ServiceDll
图19:ImagePath

最后,它通过运行net start AppMgmt执行删除的DLL 加载DLL之后,加载程序%APPDATA%TEMP目录中创建一个cmd文件(lgt * .tmp .cmd),其内容如图20所示。然后,它执行该操作以从受害者的计算机中删除该cmd文件和加载程序。

图20:cmd文件

我们能够识别出该装载机的几种不同变体。通常,所有变体都会使用expand.exeextrac32.exe删除最终的有效负载,然后使用“ net start AppMgmt ”或“ net start StiSvc”来执行具有以下配置之一的已删除DLL:

  • svchost.exe -k netsvcs -p -s AppMgmt

  • svchost.exe -k netsvcs

  • svchost.exe -k imgsvc

丢弃的DLL是该威胁参与者执行恶意活动的主要有效载荷。下面显示了伪装为Video Team Desktop应用程序的文件版本信息

图21:文件信息

该DLL的创建时间似乎是“ 2008-04-26 16:41:12”。但是,基于Rich标头数据,我们可以断言威胁者可能对此做了篡改。

图22:富头

该DLL具有八个导出函数,这些函数具有经过精心选择的名称,以假装它们正在执行正常任务。它可以检查正在运行的服务,并以此为基础将自身注入WmiPrvSE.exe的内存空间。

图23:注入WmiPrvse.exe
图24:将RAT的DLL注入WmiPrvse.exe的内存空间

它使用几种反调试和反虚拟化技术来检测它是否在虚拟环境中运行或是否正在由调试器进行调试。它使用GetTickCountQueryPerformanceCounter API调用来检测调试器环境。

为了检测它是否在虚拟环境中运行,它使用诸如sldtcpid之类的反VM检测指令,这些指令可以提供有关处理器的信息,还可以检查Vmware IO端口(VMXH)。

图25:环境检测

此RAT使用的所有字符串都经过混淆或XOR编码,以使其分析变得困难。

MgBot中捆绑的最后一段代码是一个远程管理木马,它具有以下功能:

  • 通过TCP进行C2通信(42.99.116 [。] 225:12800)

  • 能够截图

  • 键盘记录

  • 文件和目录管理

  • 流程管理

  • 创建MUTEX

基础设施关系

下面显示了此APT使用的基础结构以及该组使用的主机之间的关系。这个APT小组使用了几个不同的IP地址来承载其恶意有效载荷并用于其C2通信。

有趣的是,此APT使用的大多数IP地址都位于香港,而几乎所有这些基于香港的IP地址都用于C2通信。即使在过去的竞选活动中,他们也大多使用香港的基础设施。该图还显示了此APT组使用的不同IP地址之间的关系。

图26:基础结构连接

Android RAT

我们还发现了一些恶意Android应用程序,我们认为它们是该APT组使用的工具集的一部分。Malwarebytes将其检测为Android / Trojan.Spy.AndroRat.KSRemote

图27:恶意Android APK

所有这些伪造的应用程序都包含一个名为ksremote.jar的jar文件,该文件提供RAT功能:

  • 使用手机的摄像头/麦克风录制屏幕和音频

  • 用坐标定位手机

  • 窃取电话联系人,通话记录,短信,网络历史记录

  • 发送短信

图28:联系人抓取功能

.
更多

1589982338979126.png


ots网络社区

www.ots-sec.cn

联系方式
更多

投稿邮箱:1481840992@qq.com

交流群2群:622534175

ots网络社区3群:1078548359

关注我们
更多
技术支持: 建站ABC | 管理登录