译者:知道创宇404实验室翻译组
原文链接:https://securelist.com/

背景和主要发现

透明部落(又称PROJECTM和MYTHIC LEOPARD)是一个活动频繁的组织,其活动可以追溯到2013年。Proofpoint 在2016年发表了一篇有关他们的很好的文章,从那时起,我们一直关注着。我们已经通过APT威胁情报报告了他们的活动,在过去的四年中,这个APT小组从未休假。他们的目标通常是印度军方和政府人员。

多年来,该小组TTP一直保持一致,不断使用某些工具并为特定的活动创建新的程序。他们最喜欢的感染媒介是带有嵌入式宏的恶意文档,这些文档似乎是由自定义生成器生成的。

他们的主要恶意软件是自定义的.NET RAT,俗称Crimson RAT,但多年来,我们还观察到了其他自定义.NET恶意软件和基于Python的RAT Peppy的使用。

在过去的一年中,我们看到该组织加强了其活动,开始了大规模的感染运动,开发了新的工具并加强了对阿富汗的关注。

我们最近的调查将在两个博客文章中进行介绍。第一部分将涵盖以下关键点:

  • 我们发现了Crimson Server组件,这是Transparent Tribe用来管理受感染机器和进行间谍活动的C2。该工具证实了我们对Crimson RAT的大多数观察结果,并帮助我们了解了攻击者的观点。
  • 透明部落继续传播深红RAT,感染了多个国家(主要是印度和阿富汗)的受害者。
  • USBWorm组件是真实的,并且已在数百个系统上检测到它。这种恶意软件的存在早在几年前就已被推测出来,但是据我们所知,它从未被公开描述过。

本文将更多地讨论TransparentTribe及其有关GReAT Ideas的工具。由SAS网络研讨会于8月26日提供支持,您可以在此处进行注册:https://kas.pr/1gk9

深红服务器

深红是透明部落从事间谍活动的主要工具。该工具由各种组件组成,攻击者使用这些组件在受感染的计算机上执行多种活动:

  • 管理远程文件系统
  • 上传或下载文件
  • 截图
  • 使用麦克风进行音频监视
  • 记录来自摄像头设备的视频流
  • 截图
  • 窃取可移动媒体中的文件
  • 执行任意命令
  • 记录击键
  • 窃取保存在浏览器中的密码
  • 感染可移动媒体并在系统中传播

在我们的分析过程中,我们发现了一个.NET文件,该文件被我们的产品标识为Crimson RAT,但仔细观察后发现它与众不同:攻击者使用服务器端植入来管理客户端组件。

我们发现了两个不同的服务器版本,一个是我们命名为“ A”的版本,分别于2017年,2018年和2019年编译,并包括用于安装USBWorm组件并在远程计算机上执行命令的功能。我们命名为“ B”的版本在2018年和2019年底进行了编译。两个版本的存在确认该软件仍在开发中,APT小组正在努力对其进行增强。

通过分析.NET二进制文件,我们能够建立工作环境并与以前在受害者计算机上检测到的样本进行通信。

深红服务器版本“ A”

主面板

第一个窗口是主面板,它提供了受感染机器的列表,并显示有关受害者系统的基本信息。

img

使用远程IP地址作为输入从合法网站检索地理位置信息。服务器使用的URL是:http://ip-api.com/xml/

顶部有一个工具栏,可用于管理服务器或在选定的漫游器上启动某些操作。在底部,有一个输出控制台,其中包含服务器在后台执行的操作的列表。例如,它将显示有关已接收和已发送命令的信息。

服务器使用在名为“设置”的类中指定的嵌入式配置。

img

该类包含每个恶意软件组件使用的TCP端口值,默认文件名和安装路径。该服务器不包含用于构建其他组件的任何功能。它们需要手动放置在特定的预定义文件夹中。例如,根据上图显示的配置,“ msclient”必须放置在“.\ tmps \ rfaiwaus.exe”中。

这使我们得出结论,结果服务器文件是由另一个构建器生成的,该构建器创建了可执行文件,目录以及应用程序使用的其他文件。

机器人面板

主要功能可从“机器人面板”访问,该界面带有十二个选项卡,可用于管理远程系统和收集信息。

更新模块

第一个选项卡用于检查客户端配置,上载Crimson组件并在远程系统上执行它们。

img

Crimson框架由七个客户端组件组成:

Thin Client ->用于识别受害者的RAT的小版本。“瘦”客户是最常见的一种,通常在分发透明部落的感染过程中将其丢弃,并且最常见于OSINT资源。它包含数量有限的功能,通常可用于:

  • 收集有关受感染系统的信息
  • 收集截图
  • 管理远程文件系统
  • 下载和上传文件
  • 获取过程清单
  • 杀死进程
  • 执行文件

Main Client ->功能齐全的RAT。它可以处理所有“瘦客户”功能,但也可以用于:

  • 安装其他恶意软件组件
  • 捕获网络摄像头图像
  • 使用电脑麦克风进行窃听
  • 向受害者发送消息
  • 用COMSPEC执行命令并接收输出。

USB驱动程序 -> USB模块组件,用于从连接到受感染系统的可移动驱动器中窃取文件。

USB蠕虫 ->这是USBWorm组件,用于从可移动驱动器中窃取文件,通过感染可移动媒体在整个系统中传播,以及从远程Crimson服务器下载并执行“ Thin Client”组件。

Pass Logger- >凭证窃取程序,用于窃取存储在Chrome,Firefox和Opera浏览器中的凭证。

KeyLogger- >这是用于记录击键的简单恶意软件。

Remover ->这无法使用“更新模块选项卡”将其删除,但可以使用“删除用户”按钮将其自动上传到受感染的计算机。不幸的是,我们没有获得该组件,也无法提供其描述。

有趣的是,透明部落试图通过配置服务器来阻止某些供应商的安全工具,以防止在使用卡巴斯基产品保护的系统上安装某些恶意软件组件,特别是“ USB驱动程序”和“密码记录器”。它们还阻止在受ESET保护的系统上安装“ Pass Logger”。

img

防止在受卡巴斯基产品保护的系统上安装某些组件的代码段

文件管理器和自动下载选项卡

文件管理器使攻击者可以浏览远程文件系统、执行程序、下载、上传和删除文件。

img

文件管理器选项卡

大多数按钮是不言自明的。最有趣的是“ USB驱动器”和“删除USB”,它们用于访问USB驱动程序和USB蠕虫组件以及“自动文件下载”功能所窃取的数据。此功能将打开另一个窗口,也可以通过倒数第二个选项卡进行访问。它允许攻击者将僵尸程序配置为搜索文件,过滤结果并上传多个文件。

img

自动下载标签

img屏幕监控选项卡 img网络摄像头监控选项卡

屏幕和网络摄像头监控选项卡

这些选项卡用于管理两个简单而强大的功能。第一个设计用于监视远程屏幕并检查用户在其系统上正在做什么。第二个可用于监视远程网络摄像头并执行视频监视。攻击者可以检索单个屏幕截图,也可以启动一个循环,迫使机器人将该屏幕截图连续发送到服务器,从而生成实时的实时流。攻击者还可以将RAT组件配置为在远程系统上记录图像。

其他标签

其他选项卡用于管理以下功能:

  • 音频监视:恶意软件使用NAudio库与麦克风进行交互并管理音频流。该库存储在服务器端,并使用特殊命令将其推送到受害者的计算机上。
  • 发送消息:攻击者可以向受害者发送消息。机器人将使用标准消息框显示消息。
  • 键盘记录器:收集键盘数据。日志包括受害者使用的进程名称和击键。攻击者可以保存数据或清除远程缓存。
  • 密码记录器:恶意软件包括一个功能窃取浏览器证书。盗窃由枚举保存在各种浏览器中的凭据的特定组件执行。对于每个条目,它保存网站URL,用户名和密码。
  • 进程管理器:攻击者可以获得特定进程的列表,并使用特定的按钮将其终止。
  • 命令执行:该选项卡允许攻击者在远程计算机上执行任意命令。

深红色服务器版本“ B”

另一个版本与先前的版本非常相似。最明显的是,在此“ B”版本中,图形用户界面是不同的。

img

主工具栏 版本B

Update Bot选项卡中缺少“ Update USB Worm”,这意味着这些版本中不提供USB Worm功能。

img

更新模块选项卡-版本B

该版本不包括阻止在使用卡巴斯基产品保护的系统上安装某些组件的检查,并且缺少“命令执行”选项卡。在同一位置,我们找到另一个选项卡,用于保存有关受感染机器的注释。

img

笔记

USB蠕虫

去年1月,我们开始调查Transparent Tribe发起的一项持续活动,以分发Crimson恶意软件。攻击始于恶意的Microsoft Office文档,这些文档是通过鱼叉式网络钓鱼电子邮件发送给受害者的。

img

诱捕印度实体的诱饵文件

这些文档通常嵌入了恶意VBA代码,有时还会使用密码进行保护,该文档配置为删除包含恶意有效负载的编码ZIP文件。

img

带有有效载荷编码的用户表单

宏将ZIP文件拖放到在%ALLUSERPROFILE%下创建的新目录中,并在同一位置提取存档内容。目录名称可以不同,具体取决于示例:

  • %ALLUSERSPROFILE%\ Media-List \ tbvrarthsa.zip
  • %ALLUSERSPROFILE%\ Media-List \ tbvrarthsa.exe

img

VBA代码段

可执行文件是Crimson的“瘦客户端”,攻击者可以使用它来获取有关受感染机器的基本信息,收集屏幕截图,操纵文件系统以及下载或上传任意文件。

在分析过程中,我们注意到一个与Crimson C2服务器连接的有趣示例。该示例与多次检测有关,所有这些检测均具有不同的文件名,并且其中大多数是从可移动设备生成的。

观察到的文件路径名称组合之一是'C:\ ProgramData \ Dacr \ macrse.exe',它也在Crimson“主客户端”示例中进行了配置,并用于在调用usbwrm命令时保存从C2接收的有效负载。

img

USBWorm文件构建功能

我们得出的结论是,此示例是Proofpoint在分析恶意软件时提到的USBWorm组件。

根据先前的研究,我们知道该RAT能够部署一个模块来感染USB设备,但是据我们所知,它从未公开发表过。

USB蠕虫说明

我们的分析表明,USBWorm不仅仅是USB感染器。实际上,攻击者可以使用它来:

  • 下载并执行深红色的“瘦客户机”
  • 使用USBWorm本身的副本感染可移动设备
  • 从可移动设备(例如USB Stealer)窃取感兴趣的文件

默认情况下,该程序充当下载程序,感染程序和USB窃取程序。通常,该组件是由Crimson“主客户端”安装的,并且在启动时会检查其执行路径是否为嵌入式配置中指定的执行路径,以及系统是否已感染了Crimson客户端组件。如果满足这些条件,它将开始监视可移动媒体,并且对于每种可移动媒体,恶意软件都将尝试感染设备并窃取感兴趣的文件。

感染过程将列出所有目录。然后,对于每个目录,它使用相同的目录名称在驱动器根目录中创建其自身的副本,并将目录属性更改为“隐藏”。这将导致所有实际目录都被隐藏,并使用相同目录名替换为恶意软件的副本。

此外,USBWorm使用模仿Windows目录的图标,在试图访问目录时诱使用户执行恶意软件。

img

USBWorm图标

这个简单的技巧在默认的Microsoft Windows安装中非常有效,在默认安装中,文件扩展名是隐藏的,隐藏的文件是不可见的。受害者每次尝试访问目录时都会执行蠕虫。此外,该恶意软件不会删除真实目录,并会在启动时执行“ explorer.exe”,并提供隐藏目录路径作为参数。该命令将打开用户期望的资源管理器窗口。

img使用默认Windows设置查看受感染的可移动媒体 img具有可见隐藏文件和文件扩展名的受感染可移动媒体的视图

数据盗窃过程列出了设备上存储的所有文件,并复制了扩展名与预定义列表匹配的文件:

感兴趣的文件扩展名:.pdf,.doc,.docx,.xls,.xlsx,.ppt,.pptx,.pps,.ppsx,.txt

如果感兴趣的文件,即文件扩展名在预定义的列表中,则该过程将检查是否已盗取了具有相同名称的文件。该恶意软件的文本文件包含被盗文件的列表,该文件以嵌入式配置中指定的名称存储在恶意软件目录中。

当然,这种方法有点麻烦,因为如果蠕虫找到两个具有相同名称的不同文件,它将仅窃取第一个文件。无论如何,如果感兴趣的文件不在被盗文件列表中,则文件将从USB复制到通常名为“ data”或“ udata”的本地目录中,尽管名称可能有所不同。

如果蠕虫是从可移动媒体执行的,则行为会有所不同。在这种情况下,它将检查系统上是否正在运行“瘦客户机”或“主客户机”。如果系统未被感染,它将连接到远程Crimson Server,并尝试使用特定的“ USBW”命令下载并执行“ Thin Client”组件。

img

用于构建USBW请求的代码段

持久性由程序关闭时调用的方法来保证。它检查恶意软件目录是否如嵌入式配置中所指定的那样存在,然后在其中复制恶意软件可执行文件。它还会在“ HKCU \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run”下创建一个注册表项,以自动执行该蠕虫。

USB蠕虫分布

在调查过程中,我们发现了大约200个与Transparent Tribe Crimson组件相关的样本。我们使用卡巴斯基安全网络(KSN)收集了有关受害者的一些统计信息。

考虑到在2019年6月至2020年6月之间检测到的所有组成部分,我们发现分布在27个国家的1000多名不同的受害者。

img

深红色分布图

大多数检测都与USB Worm组件有关。在大多数国家/地区,事件数量很少。

img

深红色检测– USBWorm与其他组件

如果我们检查受其他客户端组件影响的受害者,则可以找到真正的目标。

img

从2019年6月到2020年6月,排名前五的受感染国家-不包括USBWorm

该图包括了最大数量的独立受害者,它显示了透明部落在2019年下半年一直非常关注阿富汗,然后在2020年开始再次关注印度用户。

我们可以推测,在其他国家/地区发现的东西可能与与主要目标有关的实体(例如使馆人员)有关。

结论

透明部落持续表现出对多个目标的攻击力。在过去的十二个月中,我们观察到其针对军事和外交目标的广泛运动。该组织继续投资于RAT Crimson,以开展情报活动并监视敏感目标。我们预计该小组在不久的将来将有更进一步的活动,为此我们将继续监视。

IoC

以下IOC列表不完整。如果您想了解有关此处讨论的APT的更多信息以及完整的IOC列表,且Kaspersky Threat Intelligence Reports的客户可以使用YARA规则。联系人:intelreports@kaspersky.com

5158C5C17862225A86C8A4F36F054AE2 – Excel document – NHQ_Notice_File.xls D2C407C07CB5DC103CD112804455C0DE – Zip archive – tbvrarthsa.zip 76CA942050A9AA7E676A8D553AEB1F37 – Zip archive – ulhtagnias.zip

08745568FE3BC42564A9FABD2A9D189F – Crimson Server Version “A” 03DCD4A7B5FC1BAEE75F9421DC8D876F – Crimson Server Version “B” 075A74BA1D3A5A693EE5E3DD931E1B56 – Crimson Keylogger 1CD5C260ED50F402646F88C1414ADB16 – Crimson Keylogger CAC1FFC1A967CD428859BB8BE2E73C22 – Crimson Thin Client E7B32B1145EC9E2D55FDB1113F7EEE87 – Crimson Thin Client F5375CBC0E6E8BF10E1B8012E943FED5 – Crimson Main Client 4B733E7A78EBD2F7E5306F39704A86FD – Crimson Main Client 140D0169E302F5B5FB4BB3633D09B48F – Crimson USB Driver 9DD4A62FE9513E925EF6B6D795B85806 – Crimson USB Driver 1ED98F70F618097B06E6714269E2A76F – Crimson USB Worm F219B1CDE498F0A02315F69587960A18 – Crimson USB Worm

64.188.25.206 – Crimson C2 173.212.192.229 – Crimson C2 45.77.246.69 – Crimson C2 newsbizupdates.net – Crimson C2 173.249.22.30 – Crimson C2 uronlinestores.net – Crimson C2


Paper 本文由 Seebug Paper 发布,如需转载请注明来源。本文地址:https://paper.seebug.org/1305/