APT-C-35组织（肚脑虫）的最新攻击活动分析

背景

2017年3月，360追日团队发现了一类定向攻击的样本，确认是之前所未知的APT组织的攻击行动样本，目前可以追溯到的该组织至少在2016年4月便开始活动。追日团队将该攻击组织编号为APT-C-35。2017年6月，360威胁情报中心又发现该组织新的攻击活动，确认并曝光了该团伙针对巴基斯坦的定向攻击活动，并详细分析了该组织使用的独有的EHDevel恶意代码框架（见参考[1]）。

2018年3月，国外安全团队ASERT继续披露了该组织新的恶意代码框架yty，并根据PDB路径中的机器用户名将该组织命名为Donot。鉴于该组织的活动是由360独立发现，并在全球率先披露的，符合360威胁情报中心对APT组织进行独立命名的条件。故，参考国外已有命名及360威胁情报中心对APT组织的命名规则，我们将APT-C-35组织正式名为“肚脑虫”组织（Donot音译）。

APT-C-35主要针对巴基斯坦等南亚地区国家进行网络间谍活动，该组织主要针对政府机构等领域进行攻击，其中以窃取敏感信息为主。从2017年至今，该组织针对巴基斯坦至少发动了4波攻击行动，攻击过程主要是以携带Office漏洞或者恶意宏的鱼叉邮件进行恶意代码的传播，并先后使用了两套独有的恶意代码框架：EHDevel和yty。

自第一次发现该组织的攻击活动以来，360威胁情报中心对该组织一直保持着持续跟踪，近期我们再次跟踪到该团伙利用较新的Office Nday漏洞发起的新的攻击活动，并对攻击中使用的yty框架最新的恶意代码进行了详细分析。

活动时间线

360威胁情报中心与360追日团队对APT-C-35组织的攻击活动跟踪分析的时间线如下：

来源

2018年6月下旬，360威胁情报中心在对恶意代码的跟踪过程中发现疑似定向攻击的APT样本，通过对该样本的深入分析，并利用360威胁情报中心数据平台进行关联，确认其为360威胁情报中心2017年首次曝光的针对性攻击活动的后续（详见参考[1]）。

样本分析

捕获的诱饵文档文件名为：kahsmirissue abida.doc（克什米尔问题），克什米尔地区南部属于印度管辖，北部属于巴基斯坦管辖，两国均宣称对克什米尔全境拥有主权，一直以来处于地区主权纷争当中。因此我们初步推测该攻击主要针对该地区附近的国家。

执行流程

整个攻击流程如下：

Dropper（CVE-2017-8570）

发现的样本是名为kahsmirissue abida.doc的漏洞利用文档，该漏洞利用样本包含三个Objdata，其中两个为Package对象，一个为包含CVE-2017-8570漏洞的OLE2Link。样本利用RTF文档自动释放Package对象的特性，将包含的两个Package对象释放至%TMP%目录下，最后通过CVE-2017-8570触发执行释放的恶意脚本，再通过脚本执行释放的EXE文件，包含漏洞的Objdata对象信息如下：

包含漏洞的OLE2Link对象中设置FileMoniker对应的文件为_JVGHBCYYKRAE2DU.sct脚本，漏洞触发后执行，其主要功能为执行释放在%TMP%目录下的Setup.exe：

Downloader（Setup.exe）

释放的Setup.exe是C++编写的下载者程序，其首先创建一个名为“toptwo”的互斥量，保证系统中只有一个实例运行：

然后在%APPDATA%Roaming/HexRun目录下创建名为lset.txt的调试文件，输出一些运行信息：

并在%APPDATA%Roaming/HexRun创建kt.bat文件，通过创建CMD.exe进程启动该文件：

kt.bat主要功能为设置任务计划，从当前时间开始每5分钟启动一次%APPDATA%Roaming/HexRun/Setup.exe：

设置完成的任务计划如下：

设置完任务计划后，样本开始收集系统信息，获取磁盘信息：

获取MAC地址：

还会检测是否为虚拟机执行环境，并将该环境信息一并发送给攻击者服务器：

之后还会收集计算机名、用户名、program file下的文件名，系统版本号等信息，将获取的所有信息组合成以“|||”分割的字符串：

之后从Google文档：

（

转载请注明来自网盾网络安全培训，本文标题：《APT-C-35组织（肚脑虫）的最新攻击活动分析》

标签：apt-c-35donot肚脑虫