freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

中东持续活跃的威胁 :月光鼠组织借助云服务展开间谍攻击
2022-03-07 18:37:01
所属地 北京

一、概述

Molerats APT组织又名“Gaza Hackers Team”、“月光鼠”、“灵猫”等,其至少从2012年开始在中东地区活跃,主要攻击目标为以色列地区、巴勒斯坦地区与政党相关的组织和个人,惯用政治相关主题作为诱饵对目标进行鱼叉式钓鱼攻击。

微步情报局近期通过威胁狩猎系统监测到Molerats组织针对中东地区的间谍攻击活动,分析有如下发现:

  • 攻击者使用政治相关主题制作诱饵文档和木马对目标进行攻击;
  • 相关木马使用Google Drive等云服务托管恶意载荷,使用Dropbox API进行C2通信,可提升木马隐蔽性;
  • 木马还支持从合法站点it动态获取Dropbox Token进行C2通信,进一步增加了木马的可配置性;
  • 截止分析时,发现已有数十台主机被感染,IP归属地大多为中东地区,符合Molerats组织的攻击目标;
  • 通过资产关联分析,发现攻击者所使用SSL证书指纹等与Molerats组织过往资产重叠,认定幕后攻击者为Molerats组织;
  • 微步在线通过对相关样本、IP 和域名的溯源分析,提取7条相关 IOC ,可用于威胁情报检测。微步在线威胁感知平台 TDP 、本地威胁情报管理平台 TIP 、威胁情报云 API 、互联网安全接入服务 OneDNS 、主机威胁检测与响应平台 OneEDR 、威胁捕捉与诱骗系统 HFish 蜜罐等均已支持对此次攻击事件和团伙的检测。

二、详情

攻击者利用政治相关主题制作诱饵,其中诱饵文档类主要使用恶意宏和模板注入手法,exe文件主要使用伪装Office文档图标或pdf文档图标的方法。

图1 攻击者制作的部分诱饵文件

诱饵文档显示编辑语言为阿拉BO语,作者信息mij daf。

图2 攻击者制作的诱饵文档

相关木马大多为同类型木马,主要使用C#和C++编写,并使用ConfuserEx或Themida加壳,部分文件名称以阿拉bo文命名。

文件名称

描述信息

مجريات الاجتماع الثلاثي الذي تم عقده الاسبوع المنصرم وأهم النقاط التي تمس الديوان الملكي الهاشمي.exe

上周举行的三方会议的进展情况和影响哈希姆王国政府的主要问题

12-12.doc

无标题

cairo hamas office.rar

شروح حركة حماس لفتح مقر دائم لها في القاهرة.exe

开罗哈马斯办事处.rar

哈马斯在开罗开设永久总部的解释.exe

details.rar

تفاصيل صادمة لعملية هروب الأسرى الستة من سجن جلبوع.exe

六名囚犯从基利波监狱越狱的令人震惊的细节。

Emergency.rar

متابعة الحالة الصحية للرئيس الفلسطيني ابو مازن 16-09-2021.exe

监测巴勒斯坦总统阿布·马赞的健康状况16-09-2021

excelservice.rar

excelservice.exe

idf.rar

Ministry of the Interior statement 26-9-2021.exe

内政部声明26-9-2021

images.rar

شاهد ما التقطه كاميرات المراقبة أحداث التحرش الجنسي لأشهر 100 اعلامي في العالم.exe

几个月来阿拉bo媒体和艺术家性骚扰事件的监控录像。

看看安全摄像头拍到的世界上最著名的100家媒体的性骚扰事件.exe

israelian attacks.zip

Israelians Attacks during the years 2020 to 2021.exe

以色列的袭击.zip

以色列人在2020到2021年间袭击.exe

meeting.rar

محضر اجتماع نائبة الرئيس الأمريكي ووزير الخارجية الاسرائيلي.exe

美国副总统兼以色列外交部长会议记录.exe

ministry of the interior 23-9-2021.rar

Ministry of the Interior statement 23-9-2021.exe

内政部声明23-9-2021

moi.rar

أيليت شاكيد ترد على طلب الرئيس عباس لقاءها.exe

艾利特·沙基德应阿巴斯主席的要求会见了她。

my05uitsa7oizt6.exe_

my05uitsa7oizt6.exe

namso.rar

namso.exe

NVIGJ4A1U75KAUA.rar


patient satisfaction survey.zip

Patient Satisfaction Survey Patient Satisfaction Survey.exe

病人满意度调查

rafah passengers.rar

كشف تنسيقات السفر عبر معبر رفح البري.exe

rafah passengers

检测通过拉法公路过境点的旅行格式

sa.rar

وعودات عربية وأمريكية بالتحرك للإفراج عن معتقلي حماس في السعودية.exe

阿拉bo和美国承诺将采取行动释放在沙特阿拉bo的哈马斯被拘留者

shahid.rar

شاهد ما التقطه كاميرات المراقبة أحداث التحرش الجنسي لأشهر 100 اعلامي في العالم.exe

观看监控摄像头记录了世界上 100 位最著名媒体人物的性骚扰

sudan details.rar

قيادي فلسطيني شارك في محاولة الانقلاب في السودان.exe

参与苏丹未遂政变的巴勒斯坦领导人

tawjihiexam.rar_

以色列-哈马斯囚犯交换进展

U0AGKML1665RKOT.docx

我对贾米尔·梅泽尔同志在纪念阿布·阿里·穆斯塔法同志殉难节上的讲话的笔记

XV5Q9DUJJ8V5JWW.rar


أجندة الاجتماع المتوقع.rar

أجندة الاجتماع المزمع عقده الأسبوع القادم - ملفات شائكة تنتظر الاجتماع المتوقع.exe

预期会议议程

下周会议的议程 - 等待预期会议的棘手文件

الجلسة الثانية.zip

تفاصيل الجلسة الثانية من مؤتمر مسارات السنوي العاشر.exe

第二届

第十届玛莎拉特大会第二届会议详情

رسائل طالبان لحماس.zip

رسائل طالبان لحماس فيما يخص الشأن التركي وحساسية الموقف بين كل منهم.exe

塔利ban给哈马斯的信息

塔利ban就土耳其事务和双方之间局势的敏感性向哈马斯发出信息

مجريات الاجتماع .rar

مجريات الاجتماع الثنائي وأهم النقاط التي تمس الأمن القومي المصري.exe

会议过程

埃及总统会见以色列总理的进程及其对埃及国家安全的影响

مجلة اتجاهات سياسية.zip

مجلة اتجاهات سياسية العدد الخامس والعشرون.exe

政治趋势杂志

政治态度杂志,第 25 期.exe

مقترح.zip

مقترح احياء ذكرى أبو علي مصطفى ـ مقترح احياء ذكرى أبو علي مصطفى.exe

建议

纪念阿布·阿里·穆斯塔法的提案 - 纪念阿布·阿里·穆斯塔法的提案

مؤتمر المنظمة.zip

مؤتمر المنظمة في لبنان - مؤتمر المنظمة في لبنان.exe

粮农组织大会

粮农组织在黎巴嫩会议 - 粮农组织在黎巴嫩会议

三、样本分析

3.1 使用硬编码的Dropbox Token通信

以攻击者所投递诱饵文档为例,文档所携带的恶意宏较为简单,主要功能为利用powershell从远程服务器下载document.html保存到目录c:\ProgramData\ servicehost.exe,并启动进程,URL:45.63.49.202/document.html。

图3 诱饵文档中携带的恶意宏

该服务器为攻击者所控制的vps服务器。

图4 相关ip在微步在线X社区的信息

下载的servicehost.exe为C#远控模块,图标伪装为压缩包图标。

图5 伪装为压缩包图标的木马

servicehost.exe为C#编写,使用ConfuserEx加壳,执行后解密下步模块koi,并在内存中加载执行。

图6 内存中加载模块koi

之后收集主机信息,包括IP地址、用户名、主机名,使用Base64编码再进行字符串反转,生成用户ID。

图7 收集主机信息

使用攻击者的Token在Dropbox以上述ID创建文件夹,将主机信息上传。

URL:https://api.dropboxapi.com/2/files/create_folder_v2

Authorization: Bearer QTej652Z2CkAAAAAAAAAASJQxCaJf1phi-c8JovfHjgfaPzLAw6IJzmVswuphGQE

图8 以Dropbox API创建文件夹

随后检查枚举到的文件名称是否符合命令格式,进入ControlDropBox函数,响应Dropbox所下发指令,包括文件上传/下载/列表、进程启动、屏幕截图、远程Shell等。

图9 响应远程指令

3.2 动态获取Dropbox Token通信

在另一个同类样本中,支持从合法站点justpaste.it动态获取Dropbox的Token。样本执行后会进行反虚拟机操作。

图10 反虚拟机操作

通过公用站点获取当前日期时间,以MMddyyyy格式化,先使用Base64编码,再将字符串反转,生成字符串。

图11 通过公用站点获取当前时间

在上面生成的字符串前面加一个字符R,作为URL路径进行访问 ,例:https://justpaste.it/REjMwIjNxITM,对服务器返回内容只过滤包含ACSS和OOOO的内容,并进行格式分割。

图12 从justpaste.it动态获取Dropbox Token

分割之后将会把数据加密写入到注册表中,供下次运行调用,其中以文件名为名称的键值是加密的Token,UUUU是下载目录和解压密码。

图13 将配置信息写入注册表

返回数据格式如下,其中Token需要经字符串反转,去掉前面7位,再去掉前后3位,解压密码通过字符反转再Base64解码即可解密。

格式:ACSS={Token}#OOOO={下载文件要保存的目录序号,通过Environment.GetFolderPath获取},{下载文件的解压密码}

图14 攻击者justpaste.it的页面展示

远程指令流程和上述分析样本类似,其在下载流程中会下载合法的压缩包工具Command line RAR.exe和木马压缩包文件,然后利用上面获取的密码作为参数以命令行方式执行Command line RAR.exe进行解压。

命令行示例:"e -pU85EVBYUFKJ5ZQN ""C:\Users\Administrator\AppData\Local\XV5Q9DUJJ8V5JWW.rar"" ""C:\Users\Administrator\AppData\Local\MY05UITSA7OIZT6"" "

图15 调用命令行解压下载到的文件

在下载到的组件中,包含为指定程序设置开机启动模块,通过创建lnk链接文件放到Startup目录进行持久化。

图16 创建lnk文件持久化

还有通过创建任务计划持久化的组件。

图17 创建任务计划持久化

从用户“pla mjsd”控制的JustPaste中,可以看到该用户发布的包含Token的内容最早从2021年7月13日开始,最近为12月13日,攻击者一直在使用同一个Token和解压密码。

Token:j0nS0QwY13AAAAAAAAAAARLL1pdHUHBWI2P6L3G7oPhP1G7sCYQAB5pqmiG9KuI7

解压密码:U85EVBYUFKJ5ZQN

图18 攻击者7月首次在JustPaste发布的内容

图19 攻击者12月最后在JustPaste发布的内容

四、关联分析

4.1 受害者信息

通过Dropbox的公开API,利用攻击者的Token对网盘文件进行遍历,经过分析整理后,发现分析时有10余台被感染的主机,大多IP归属地为中东地区,符合Molerats组织的攻击目标。

IP

用户名

主机名

制造商

IP归属地

94.142.38.134

John

WIN-VUA6POUV5UP

LENOVO

LENOVO

约旦

83.244.54.146

SAD-Hnofal

SAD-Hnofal-HP5


巴勒斯坦

78.175.228.191

ŞERİF

DESKTOP-95C958C5

Gigabyte Technology Co., Ltd.

To be filled by O.E.M.

土耳其

217.21.4.61

USER

DESKTOP-JV2PE085

HP

HP Desktop Pro G2

巴勒斯坦

40.94.36.61

srevans

SHAIBO5

Toshiba

3816

美国德克萨斯


Administrator

lenovo-PC



85.114.112.152

pc

DESKTOP-GAMVCIN

Hewlett-Packard

HP ENVY 15 Notebook PC

巴勒斯坦

40.94.90.14

petelope

WALEDWA

LG

5049

荷兰阿姆斯特丹

40.94.95.51

carlbry

AMAROWE

Panasonic

6542

芬兰赫尔辛基

40.94.29.21

meganrice

RUSSEL

Apple

2791

美国怀俄明夏延

85.114.112.152

win10-vm

DESKTOP-4U4H8HA

innotek GmbH

VirtualBox

巴勒斯坦

185.244.39.105

mijda

DESKTOP-5H2EUR8

innotek GmbH

VirtualBox

荷兰北荷兰省

在网盘根目录存放着数十个同类木马文件,即上述详情中列出的木马列表,应为攻击者实施攻击时使用的木马,大部分使用政治相关话题作为文件名称,而在对应的感染主机目录中发现有攻击者使用远程指令抓取的屏幕截图文件,相关受害者的系统语言为阿拉bo语。

图20 部分感染主机的屏幕截图

4.2 资产关联

反查IP:45.63.49.202解析域名,发现当前解析记录为msupdata.com。

图21 45.63.49.202的当前解析域名

查看msupdata.com域名信息,发现历史两个相关SSL签名证书,搜索发现存在几个域名使用相同证书,且历史解析IP 185.244.39.165重合。

图22 SSL证书关联

对发现的域名appsign-activity.nsupdate.info继续分析,发现证书关联域名sognostudio.com。

图23 SSL证书关联

sognostudio.com 下存在样本与安全厂商以往所披露的攻击活动《“灵猫”组织针对中东地区的攻击活动分析报告》中的样本同源。

图24 与过往攻击活动样本关联

而另一个相关域名smartweb9.com下存在多个Molerats历史样本。

图25 与过往攻击活动样本关联

五、结论

结合以上分析信息,可以认定幕后攻击者为Molerats组织,该组织在近些年的攻击活动中一直在持续更新间谍组件,其擅长使用Google Drive、Dropbox等云服务进行载荷托管和C2通信,同时也可进一步提升木马隐蔽性,基于地缘政治因素,我们预测Molerats组织在未来的时间里会持续保持活跃,微步情报局会对相关攻击活动持续进行跟踪,及时发现安全威胁并快速响应处置。

六、附录 - IOC

C2

45.63.49.202

23.94.218.221

185.244.39.165

msupdata.com

appsign-activity.nsupdate.info

sognostudio.com

smartweb9.com

URL

http://45.63.49.202/document.html

http://23.94.218.221/excelservice.html

http://45.63.49.202/doc.html

http://45.63.49.202/gabha.html

https://drive.google.com/uc?export=download&id=1xwb99Q7duf6q7a-7be44pCk3dU9KwXam

Dropbox Token

QTej652Z2CkAAAAAAAAAASJQxCaJf1phi-c8JovfHjgfaPzLAw6IJzmVswuphGQE

j0nS0QwY13AAAAAAAAAAARLL1pdHUHBWI2P6L3G7oPhP1G7sCYQAB5pqmiG9KuI7

Hash

058e33e62dd03187d3bbb6a7154a14559149cab11c5bb6111cc965d154f82080

308a317c32b37c0d003801fc8c4c54551c1641990cea66a25359a7e159608eba

430c12393a1714e3f5087e1338a3e3846ab62b18d816cc4916749a935f8dab44

a93ff2fc64ff46e6784db8e7330ad6989de3e335a573af98011b092d95618c20

04a40aca8991bbd207d5aeab71f731c598f5f1c02524695518421d7f298463b2

8562f6b2a95963f076f7bc6ff00401d96656eafda1cfad3af53b3e3b99ae6452

2a9857f5b247488166e25d42f819459e685b3556e4f9ba0a052ba6b3c6c2fa4f

4974839d24750b283231ababff885d904e02415ab33e961c095662f5efb9ceb2

b2260d530f51b2289e2c64579eb53c4c9ce0c9ee3c850e57e90296968fd9625e

925aff03ab009c8e7935cfa389fc7a34482184cc310a8d8f88a25d9a89711e86

47d59c69721372075d9f03371e6d80fbd8f64f50c15379040ad9b04185f0b87a

1f2c80d957c4bf12fcb6c6c2819c05e4bc59ebb69c2ff92b168a1cd36fcdd420

925aff03ab009c8e7935cfa389fc7a34482184cc310a8d8f88a25d9a89711e86

531192c013d209f7b75567322d2f917cdc425eb0562f75c0a699b0921c8601a9

9d9d9a31f8798777ecf75630c08688b6274b791dd4272f9ede788a0fcf558cf6

c4debd56ab97adecefc354c8b6463f27b13609c0343a9a5b5d87f287da259bb8

a6bbe67ad4b1e9749daff07f69b001eb45615a63cdc9e74d24cfd53ea501310d

3449c97e5f53df59d4255c47c5bf77ae7911c1e57582694204f968c4ace312c3

# 分析报告
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者