概述

  Bitter也叫T-APT-17、蔓灵花。组织是一个长期针对中国、巴基斯坦等国家进行攻击活动的APT组织，该APT组织为目前活跃的针对境内目标进行攻击的境外APT组织之一。该组织主要针对政府、军工业、电力、核等单位进行攻击，窃取敏感资料，具有强烈的政治背景。
  Bitter的主要动机为进行间谍活动，拥有对多个操作系统进行攻击的能力，他们的武器库主要包含BitterRAT、Artra Downloader、SlideRAT和AndroRAT。
  此次活动的主要目标为孟加拉快速行动营，快速行动营是孟加拉国警察的精英反犯罪和反恐单位。攻击者使用与受害者组织的常规运营任务有关的主题作为诱饵和发送包含该诱饵的鱼叉式网络钓鱼邮件给孟加拉国警察快速行动营高级官员。
  诱饵文件为使用已知漏洞CVE-2017-11882武器化的office文档，一旦受害者打开文档,公式编辑器就会触发嵌入在文档的shellcode,然后从远程服务器下载恶意程序并在受害者机器上执行。

样本详情

流程图

1. 概述

  Mustang Panda又名PKPLUG,PKPLUG这个名称来自将PlugX恶意软件作为DLL侧载包的一部分在ZIP存档文件中传递的策略,ZIP文件格式在其文件头中包含”PK”字符串,因此被称为PKPLUG。
  ESET研究最近发现一次正在进行中的攻击,使用了Mustang Panda以前从未使用过的Korplug变种。他们将该变种命名为Hodur(雷神),其原因是该变种与由团队UINT42发现的KorPlug变种THOR有很大的相似性。在北欧神话中,Hodur是Thor的同父异母的兄弟。
  基于代码相似性、技术和TTP中的许多共性，可以高度信任地将此次活动归因于Mustang Panda。PlugX源码疑似国人开发并在网上已经被泄露很久,很多攻击者使用泄露源码编译生成RAT后门,很多国外安全厂商或研究人员仅根据代码相似性就果断判断PlugX恶意程序并将其背后的攻击者归因于中国APT组织是不可信的。
  Mustang Panda的攻击活动经常使用自定义加载程序来处理恶意软件。包括Cobalt Strike、PlugX,该组织以创建Korplug变种而闻名。该活动的不同之处就是在部署的每个阶段都使用了大量垃圾代码和不透明谓词来阻碍安全人员分析。

2. 样本详情

3. 流程图

概述

  摩诃草，又名Hangover、Patchwork、白象等，该APT组织被广泛认为来自南亚地区某国，其最早攻击活动可以追溯到2009年11月，从2015年开始变得更加活跃。该组织主要针对Windows系统进行攻击，同时也会针对Android、MacOS系统进行攻击。其攻击活动中使用了大量漏洞，其中至少包括一次 0day 漏洞利用攻击。
  摩诃草组织攻击目标所涉及的国家和地区分布非常广泛，除了中国和巴基斯坦等主要目标，还包括以色列、孟加拉国、美国、英国、日本、韩国等国以及中东和东南亚地区。该组织以鱼叉攻击为主，以少量水坑攻击为辅，针对目标国家的政府、军事、电力、工业、外交和经济进行网络间谍活动，窃取敏感信息。

流程图

1. 简介

  Lazarus（T-APT-15）组织是来自朝鲜的APT组织，该组织长期对韩国、美国进行渗透攻击，此外还对全球的金融机构进行攻击，堪称全球金融机构的最大威胁。
  在这次活动中,Lazarus进行了鱼叉式网络钓鱼攻击,这次攻击将诱饵文件伪装成航天航空巨头洛克希德马丁公司的招聘工作主题文档，巧妙的使用Windows更新程序来执行恶意程序和将github作为C&C服务器。

2. 样本信息

招聘工作主题诱饵文档

shellcode解密的PE文件

stage1_winword.dll注入到进程explorer.exe的dll文件

嵌入在stage2_explorer.dll的两个文件。

由stage3_runtimeBroker.dll释放的文件

由wuaueng.dll注入到进程explorer.exe的dll文件。

Core_module.dll从github获取的恶意模块

3. 流程图

概述

  Lazarus组织是来自朝鲜的APT组织，该组织长期针对韩国、美国进行渗透攻击，Lazarus经常使用社会工程学攻击来接近目标,并以提供工作机会为由进一步将诱饵文件发送给目标。
  最近发现,Lazarus假装来自Coinbase,想要找到适合”产品安全工程经理”的候选人。Coinbase是世界上最大的加密货币交易平台之一，这使 Lazarus能够为一家享有盛誉的组织提供丰厚且诱人的工作机会奠定基础。
  诱饵文件将图标替换成PDF图标,并告知受害者该文件是关于工作职位的PDF文件。当受害者执行文件时,该文件会从网络上下载诱饵PDF或DOC文件，同时还会加载恶意DLL。

流程图

概述

  Gamaredon是一个俄罗斯的APT攻击组织,首次出现于2013年，主要是针对乌克兰进行网络间谍活动。在Gamaredon最近的一次攻击活动中,发现该组织利用Telegram来提供C&C服务器和payload下载地址。

2.流程图

概述

  第一次发现APT-C-48的攻击在2019年，由于其武器库中的远程控制木马的的PDB名包含字符”cnc_client”,因此将其命名为CNC。
  该组织主要攻击对象为我国的的军工和教育行业，在我国疫情爆发初期,该组织就通过伪造疫情相关的文档以及钓鱼网站对医疗行业发起攻击。摆渡攻击是利用移动设备作为渡船,间接从与互联网物理隔离的内部网络窃取数据的一种攻击手段。

2. 详细分析

PrivateImage.png.exe分析

1.检测自身路径

  使用函数GetModuleFileNameA获取恶意程序所在路径，并将路径所有字符转换成小写判断转换后的字符串是否包含字符”appdata\\local”。

概述

  最近发现一个恶意活动,该活动使用模块化攻击技术并投递CobaltStrike木马到受害者机器上。攻击者通过携带CVE-2017-0199漏洞的钓鱼邮件，当受害者打开钓鱼邮件时,它会下载托管再攻击者控制的恶意Word文档模板。

  在此次活动中发现了攻击者使用的两种攻击方法,一种时通过远程模板执行嵌入的VBS脚本,从而导致生成和执行其他混淆的VB和Powershell混淆脚本。另一种使用恶意宏代码下载和执行恶意powershell命令和下载恶意程序。

  两种攻击最终都投递CobaltStrike的泄露版本。Bean配置包含执行任意二进制文件和进程注入，并配置了高信誉，使用重定向技术来伪装Beaons的流量。在投递CobaltStrike的同时还投递了其他窃密软件。

概述

  APT29又叫Nobelium、CozyBear，归属于俄罗斯,从2008年一直以政府、外交官、政治和智库部门。在最近发现该APT组织开始利用合法软件通过侧加载来加载恶意dll文件，并滥用合法的web服务(比如Dropbox、Google Driver)作为C&C通信达到逃避自动分析软件的检测。

2. 流程图

概述

  DeathStalker是一个独特的威胁组织, 专门针对金融机构和律师事务所进行攻击。该组织不受经济利益的驱动，他们不会部署勒索软件，不会窃取付款信息以转售它，或从事通常与网络犯罪黑社会相关的任何类型的活动，他们只对收集敏感的业务信息感兴趣。

  从该组织以往的攻击行为来看DeathStalker是一群雇佣据,他们提供黑客服务或者在金融界充当某种信息经纪人的角色。他们通常通过包含恶意LNK文件的附件的钓鱼邮件来进行传播，并控制受害者的设备一切去敏感的商业信息，主要使用恶意程序Janicab对目标进行攻击,

2.攻击链