巴基斯坦黑客使用新型reverserat攻击印度电力公司

巴基斯坦黑客使用新型ReverseRat攻击印度电力公司

摘要

Lumen 的 Black Lotus实验室检测到一种新的远程访问木马,我们称之为 ReverseRat。根据我们的全球遥测和分析,该攻击者的目标是南亚和中亚地区的政府和能源组织,其运营基础设施设在巴基斯坦。ReverseRat 与名为 AllaKore 的开源 RAT 并行部署,以感染机器并实现持久性。鉴于攻击者所针对的行业的关键性质,我们建议安全从业者学习攻击者当前的策略、工具和程序,以更好地保护他们的组织免受潜在攻击。

介绍

ReverseRat 感染链值得注意,因为它采取了避免检测的步骤以及目标实体的关键性质。杀软规避技术包括:

  • 使用与目标实体位于同一国家/地区的受感染域来托管其恶意文件
  • 初始妥协后高度针对性的受害者选择
  • 重新利用的开源代码
  • 初始访问期间使用的内存组件
  • 修改注册表项以在目标设备上隐蔽地保持持久性

根据 Black Lotus Labs 和MalBeacon遥测,我们评估该黑客很可能在巴基斯坦境外开展活动。我们观察到导致受害者下载两个代理的多步感染链;一个驻留在内存中,而第二个是旁加载的,允许威胁行为者在受感染的工作站上持久化。下图中记录的技术至少从 2021 年 3 月开始就处于活跃状态,并且在某些情况下,与 C2 的双向通信仍在进行中。

巴基斯坦黑客使用新型reverserat攻击印度电力公司
图 1:活动中观察到的多步感染过程

技术细节

组件 1:从受损域中检索 ZIP 文件

在图 1 中描述的感染的第一阶段,指向受感染网站的目标 URL 被传送给受害者。

Black Lotus Labs 推测,攻击者选择使用与目标组织位于同一国家/地区的受感染域来逃避检测并融入目标网络上的标准 Web 浏览活动。然我们无法独立确认 URL 是如何传递给受害者的,但攻击者可能发送了有针对性的电子邮件或消息。

单击后,这些链接会下载一个包含 Microsoft 快捷方式文件 (.lnk) 和良性 PDF 文件的 .zip 文件。如果被用户调用,快捷方式文件将显示一个良性的 PDF 文件,如图 2 和图 3 所示。

PDF 文件充当诱饵来分散用户的注意力,同时快捷方式文件还暗中检索并执行一个 HTA 文件(HTML 应用程序) ) 来自同一个受感染网站。在观察到的活动中,参与者创建的 HTA 文件与 .zip 文件托管在同一站点上,但位于不同的 URL 路径上。

与这一更大的活动集群相关的诱饵 PDF 文件提到了 2021 年春季与印度相关的组织和事件。一些诱饵文件或诱饵更通用,提及获得 COVID-19 疫苗,而其他则更有针对性以能源部门为例。

巴基斯坦黑客使用新型reverserat攻击印度电力公司
图 2:向受害者显示的诱饵疫苗接种 PDF
巴基斯坦黑客使用新型reverserat攻击印度电力公司
图 3:显示给受害者的诱饵能量军团 PDF

组件 2:激活 HTA 文件:CactusTorch 和 preBotHta

在感染的下一阶段,检索到的第一个 HTA 文件包含基于 GitHub 项目CactusTorch 的JavaScript 代码。该项目旨在将 32 位 shellcode 注入正在运行的进程中,以帮助启动名为preBotHta.pdb的 .NET 程序,该角色自 2019 年以来一直在使用。

preBotHta 文件的这个 2021 变体有两个显着特征:首先,它完全在内存中运行,其次,如果主机运行,它包含更改 ReverseRat 位置的逻辑某种杀毒产品。

如果 preBotHta 文件检测到某个 AV 产品,例如卡巴斯基,则将 ReverseRat 放在 MyMusic 路径中;否则,它将文件放在启动文件夹中。当 ReverseRat 在 2021 年 1 月被保存到文件系统时,它显示了名称 tasksmgr.exe;当年晚些时候,他们将其重命名为 officetool.exe。两次迭代都使用了 Svchostt.exe 的内部文件描述名称。

ReverseRat

preBotHta 采取的最后一个动作是开始执行 ReverseRat。该代理首先枚举受感染的设备并通过 Windows Management Instrumentation (WMI) 获取以下组件:

  • MAC地址
  • 设备上的物理内存转换为 Mbs
  • 处理器信息
    • 最大时钟速度转换为 Ghz
    • 数据宽度转换为位
    • 名称(如英特尔®酷睿 i7-8569U CPU @ 2.80GHz的)
    • 制造商(例如 GenuineIntel)

它还使用 .NET 框架来获得以下内容:

然后代理使用密钥对这些数据进行 RC4 加密,并将其发送到 C2 节点。当我们反编译 .NET 代码时,我们发现代理具有预构建的函数,可以根据接收到的正确参数运行以下任何命令。

参数命令
0下载exe可执行文件
1下载文件
2上传文件至C2
3运行并启动一个进程
4删除文件夹或文件
5重命名目录或文件
6创建目录
7列出当前目录或文件中,并获取文件的长度和最后修改日期等信息
8获取正在运行的进程及其私有内存大小的列表
9杀死指定的进程
10复制剪贴板的内容
11剪贴板组
12截图
13Shell可执行文件-从隐藏的cmd.exe窗口运行命令
14关闭会话
巴基斯坦黑客使用新型reverserat攻击印度电力公司
描述预构建函数以获取受害机器屏幕截图的图像

基于其他功能,例如设计用于下载可执行文件的功能,以及将字符串转换为十六进制的其他包含功能,我们怀疑有后续模块可以提供附加功能。

我们评估 ReverseRat 是内部开发的,样本中的工件显示了 PDB 路径,该路径显示了该项目的内部名称,并且该项目的开发人员使用了屏幕名称 Zombie。PDB 路径通常引用 actor 机器上源代码文件的原始路径。此文件可能是由组织的其他成员(例如此元数据中指示的用户 Neil)导入和编译的。

c:\Users\Zombie\Desktop\ReverseRat client\ReverseRat\ReverseRat\obj\Release\svchostt.pdb

c:\Users\Neil\Desktop\inform\c\ReverseRat\ReverseRat\obj\Debug\ReverseRat.pdb

值得注意的是,删除 ReverseRat 的 CactusTorch HTA 文件包含对 JavaScript 函数的修改,该函数在长达 720 万秒(2,000 小时)后关闭受感染的机器。此脚本的先前迭代仅允许计算机休眠 900,000 秒(约 102 小时)。目前尚不清楚是什么导致黑客更改此时间设置。

shell = new ActiveXObject(‘WScript.Shell’);WScript.Sleep(7200000);var exec = shell.Exec(‘cmd.exe /k shutdown /r /t 0’);exec.StdIn.Close();

组件 3:AllaKore 组件

在第三个组件中,第二个 HTA 文件是从托管 ZIP 和第一个 HTA 文件的同一个受感染域中检索到的。第二个 HTA 文件包含用于修改注册表项、加载程序和 AllaKore 的编码命令。解码后,HTA 文件显示了AllaKore 远程代理的一个版本,可能会提供另一种途径来维持对受感染网络的访问。该活动的一个相当奇怪的特征是 ReverseRat 与 AllaKore 的并行部署。

重启后,actor 通过修改 Run 注册表项来旁加载 actor 删除的文件,从而在目标机器的当前用户帐户上保持持久性。

修改运行注册表项的命令:

REG ADD “HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run” /V “WinLogs” /t REG_SZ /F /D “C:\ProgramData\WinLogs\credwiz.exe”

黑客将 DUser.dll 与合法的 Windows 应用程序 credwiz.exe 一起加载,该文件传统上用于备份和恢复凭据。DUser.dll 充当加载程序,在其文件 winidr.exe [注意文件名中的拼写错误] 上生成 CreateProcess 函数,并运行等待循环,直到 AllaKore 示例终止。

巴基斯坦黑客使用新型reverserat攻击印度电力公司
DUser.dll 加载程序创建进程并调用 winidr.exe 的屏幕截图

对于防御者来说幸运的是,这个代理似乎没有任何加密,它可以通过基于网络的监控来检测。当我们在沙箱中运行示例时,我们观察到 HTTP 通信中的一些字符串,例如“MAINSOCKET”。

巴基斯坦黑客使用新型reverserat攻击印度电力公司
来自 AllaKore 的字符串通过 HTTP 以明文形式传输

与先前报告和不同代理的联系

一旦我们确定了上面详述的感染链,我们就将该活动的 TTP 与去年称为Operation SideCopy的先前活动相关。我们观察到相同的感染过程——使用快捷方式文件检索受感染域上的恶意 HTA 文件,然后生成 .NET 代理。在这种情况下,我们还观察到新旧样本之间的元数据重叠。值得注意的是,我们甚至发现与 2019 年的一篇博文中描述的 TTP 重叠,该博文描述了威胁行为者使用credwiz.exe侧加载 AllaKore 代理. 由于该参与者多年来一直致力于定制开源框架,因此我们观察到他们环境中的细微差别,例如链接其他定制开源功能的 PDB 字符串,包括 Bladabindi 代理(基于著名的木马njRAT)。您可以在下面的两个提取的 PDB 路径中看到相似性。第一行是内部称为 Svchostt 的 ReverseRat 代理,第二行是内部称为服务器的 njRAT 样本:

C:\Users\be\AppData\Local\Temporary Projects\svchostt\obj\x86\Release\svchostt.pdb

C:\Users\be\AppData\Local\Temporary Projects\server\obj\x86\Release\server.pdb

虽然 njRAT 是一个众所周知且有文档记载的代理,但它表明,与许多其他威胁参与者一样,该威胁参与者可能更喜欢使用公开可用的代理而不是自定义构建。

Black Lotus Labs 遥测和分析

遥测——受害者

一旦我们策划了与该威胁行为者相关的指标列表,我们就会通过我们的内部数据库运行先前报告[1] 中的这些指标和其他指标。Black Lotus Labs 的全球知名度表明,与该威胁行为者相关的活动非常有针对性。少数实体表现出与已识别节点的双向通信。

大多数表现出被入侵的迹象的组织在印度,少数在阿富汗。可能受到损害的受害者与政府和电力公司的垂直行业保持一致。我们要强调的一点是,我们发现的代理是为传统上在 IT 网络上找到的基于 Windows 的机器设计的;到目前为止,我们还无法将任何恶意软件样本与这个专门设计用于与 OT 系统相关的系统的活动集群相关联。

部分受害者包括:

  • 外国政府组织
  • 输电机构
  • 一个发电和输电组织

我们不认为此列表包含他们的全部操作,因为一些潜在受害者与动态 IP 地址相关联,因此很难将这些 IP 地址与单个组织相关联。

遥测 – 黑客

Black Lotus Labs 和 MalBeacon 都能够独立得出结论,该黑客的 C2 操作位于巴基斯坦之外。MalBeacon 确定了攻击者源 IP,103.255.7.33,这是分配给巴基斯坦移动数据运营商 CMPak Limited 的 IP。

另外,根据 Black Lotus Labs 分析和全球可见性,我们确定 ReverseRat C2 节点由至少两个巴基斯坦 IP 控制:端口 8088 上的 203.175.72.105 和 115.186.189.6。尤其是 182.188 .181.224 短暂地用作位于 167.86.97.221 的此操作的后端节点。

后端和源范围 IP:

175.72.105
186.189.6
255.7.33
188.181.224

分析

Black Lotus Labs 从与此感染媒介相关的文件中识别出以下网络指标:

97.142.96
68.104.126
86.75.119
249.40.68
91.65.100
68.108.22

基于内部网络遥测分析、被动 DNS 记录和相关样本的开源恶意软件存储库,Black Lotus Labs 发现了 IP 和域,我们也可以对这个参与者有中等高度的信心。

额外的 C2

207.180.230.63
164.68.108.153
167.86.97.221
certindia.ignorelist.com
defencecyberorg.myddns.me
certindia.chickenkiller.com
coronavirusupdate.ddnsking.com

结论

尽管迄今为止,该威胁行为者的目标仍停留在南亚和中亚地区,但事实证明,它们可以有效地访问感兴趣的网络。尽管之前依赖于 AllaKore 等开源框架,但通过开发 Svchostt 代理和 ReverseRat 项目的其他组件,该攻击者能够保持有效并扩展其功能。我们评估认为,随着攻击者继续开发这些功能、利用受损域并改进这些多步骤感染过程,它将对这些地区内外的组织构成真正的威胁。虽然这个黑客不像最熟练的国家赞助的演员那么老练,但应该持续监控。

为了打击这一特定活动,黑莲花实验室在 Lumen 全球 IP 网络中对参与者基础设施进行了空路由,并通知了受影响的组织。Black Lotus Labs 继续关注该威胁组以检测和破坏类似的危害,我们鼓励其他组织在其环境中对此类活动和类似活动发出警报。

有关其他 IOC,例如与此活动相关的文件哈希以及该威胁参与者的更大活动集群,请访问我们的 GitHub 页面:github.com/blacklotuslabs/IOCs/blob/main/Reverserat_iocs.csv

侵害指标文件名类型[后缀]第一次在VisualTotal看到的时间
b74e20c912e5c1529ec73bcd89776d4f81e56663edcfaccc82ecac50e34d5284EngrCorpsPolicy.zipZip5/31/2021
bf31145ea7ae06bce7bf53edcfe548fea4047055a6c9c6aba143dc1ef64ad504vaccination.zipZip5/10/2021
de6d22103f4d655614d5c8cb7fa6350486edc08a80da48b20a3c83ec45bb7abaImage__7563.jpg.lnkMicrosoft Shortcut1/14/2021
hxxps://minervacollege.co.in/fonts/plugins/mrt/Image-7563/css2css2.htaCompromised Domain3/19/2019
8a10797ac7f84d09cfb4cb3a6a1e75473dc81dab757c0000036a861575216e5cDATE-OD-NEXT-INCREMENT-ON-UP-GRADATION-OF-PAY-ON-01-JAN-AND-01-JUL.pdf.lnkMicrosoft Shortcut4/2/2021
hxxps://londonkids.in/echoolz/assets/css/front/hwo/DATE-OF-NEXT-INCREMENT-ON-UP-GRADATION-OF-PAY-ON-01-JAN-AND-01-JUL/csscss.htaURL4/2/2021
54759951089f44a3918e164b8bf29c8f388cfd41f9930f81b8103852947fed93Call-for-Proposal-DGSP-COAS-Chair-Excellance.pdf.lnkMicrosoft Shortcut4/16/2021
hxxps://iiieyehealth.com/fonts/times/files/Call-for-Proposal-DGSP-COAS-Chair-Excellance/css/css.htacss.htaURL4/16/2021
24469a7f1f33cdecf507824a773814b5f3190c81acaf04d06c168ccbf71b2ee8Covid Vaccination.pdf.lnkMicrosoft Shortcut5/10/2021
hxxps://londonkids.in/preschool/video/Emergency_Vaccination/css/css.htaURL5/10/2021
df47ca45bdf2f910a0ebae49d29549240066f77d0abb735cf1afe41368cb0d85Cir-Bfg-Int-May21-Summary.docx.lnkMicrosoft Shortcut5/15/2021
hxxps://ikiranastore.com/images/files/ist/doc/i.phpi.phpURL5/15/2021
7f800784b00354dd15eee129317a63bd3f7bb25622e898c873603e5b142cbb09Covid Vaccination On Emergency Basis for All Employees and their Familes.pdf.lnkMicrosoft Shortcut5/17/2021
hxxp://5-135-125-106.cinfuserver.com/Emergency_Vaccination/css/css.htaURL5/17/2021
caed359105265eac5e9628548c95a898c3f8d0e427354eaa6ec3a2acb3515c83css3.taHTA4/3/2021
b0942f024982da62053fa5c469b02ccdc2ceb16290a07bb2eae01d9a42b55452officetool.exeSvchostt.exe4/3/2021
4ad90c52ef1ee513305a50f0247a44bdec8edb2d80c8042a4139e6e5a69a8c83css.htaHTA1/14/2021
12a1bfe07c0615ad260c07b2810c9bb3cee2e19378a5ff98f374e2e48928de8ccss210.htaHTA1/18/2021
419bc71bd6c50e531db61c11762d4e8433caef3173714bc30342b16f9fca5e2d7.htaHTA1/18/2021
d94424bc2a0f8a4f7f719d05ac72ef7d56df94c52e31b7cbc1ccbf7cb4cf0363css27.htaHTA1/18/2021
4294b86cc73437343da28e9d5c38877a199bf05e10b1242697e0140eaf9cdc651.htaHTA1/18/2021
df173424d830588307eb70c50c5811cac66d8daf03f53d610cc0129ba5d3016710.htaHTA1/18/2021
78bb6fa38c7854e592f06177be16ebb1e621f964f3a79d532b137f06d4d314f610.htaHTA1/18/2021
46e2595644f26bea7b6ad5b332ab04ee93cedb603717696ff82494f5217bdb977.htaHTA1/18/2021
0f97d13cf263ca75cbcf587bb5f2c3ba981ccae7ddb94bb4bc813f6083b00e04Update.exeExecutable1/18/2021
hxxp://164.68.108.22/h_ttp URL1/18/2021
660427971b04313c2ebf2410f9ba4f67c5f1d8ecc472be6c709546a12dc97f7dcourse.htaHTA11/11/2020
c43028136118dc1aeed2d47bbb0c6822297f65c9fd411b4de19824f52dafa01fhta.dllLoader1/18/2021
fd2f6e33ab19446828dc73771e2696220f4f3a03a2cd73037bae1b77db548385preBotHta.dllLoader1/18/2021
1e488c21314be1a976218e39c90ee17902636508e6e97754152b3bb14f5af062Update.exeexecutable10/2/2020
hxxp://164.68.104.126/htt_p URL10/2/2020
19e680eaa52c0ad14274b04141a8e172d2ec1a01a3f429263090a990120ad9dfofficetool.exeexecutable4/18/2021
hxxp://161.97.142[.]96/htt_p URL4/18/2021
hxxp://164.68.108.153/h_ttp URL4/11/2021
33533dadcc92631727eaf4bfb9df640fd29aa68f6914aafe12597ef3404d0082winstr.exeexecutable1/15/2021
144.91.65[.]100 IP Address1/15/2021
a40a5b308253a683b706885327fd8445600451bfd410778126b309ea8bb54236tasksmgr.exeexecutable1/25/2021
173.249.50[.]230 IP Address1/25/2021
b0dd5fc993f7eedff8179193cf4aa505342efad2ea74aecb3754284a0995aee4svchostt.exeexecutable1/26/2021
6cb62698bf337bdcad590c5ee5917afe654fe18a793cb555fd3f22a860d7011dsever.exeexecutable1/19/2021
5c99faa28727bdfdcbf0a14786b7059df5932bba76dd6dbf0e98636fd4c80395 wordex.exeexecutable5/4/2021
hxxp://173.249.40.68/h_tt_p URL5/4/2021
5a4616da2511ae67e0892a043d3079977e9b57c73f2c21031284ce473f84e071windeloExecutable4/23/2021
hxxp://167.86.83.29:3245 URL4/23/2021
fad7d427e5904e870426d3edbd6b06da46ccf6bf885df2dc3c567b05d104ecd5DUser.dllexecutable6/8/2021
827a869552d07e1b469092694c07cb436eece54f7c9d5a8f229f0d65f39504e7winidr.exeexecutable6/8/2021
hxxp://167.86.75.119:51742  6/8/2021
402b8f0004931ba334161bdcedd42c8e8bf4c8398a3739e0c9e6ce9e0514b581DUser.dllexecutable4/28/2021
cf16c7ece034eca4d6489f77d87a7100ba3b4721678bde3bf2e54a01dd4ecc51DUser.dllexecutable1/26/2021
d36dd9c94384c8e8f9b2229ef01dfb9fc799f0420428af8e3d04b06c324a6b59winidr.exeexecutable1/23/2021
7f3ce9fd0863bf591f360e163dc7d3aee6d3810a89863fed3cbad980fef72430winidr.exeexecutable5/6/2021
67c3e0e36a27f353e87583aee3749c056ee1d47850b3f112ddcf138523626727winidr.exeexecutable3/30/2021
hxxp://144.91.65.100:4145 URL12/8/2020
hxxp://207.180.230.63/htt_p URL3/4/2021
939a1d74b0902662fd1575ad7fef8c09f8a4291674cd0c721e2d79efbdb3b584officetool.exeExecutable3/4/2021
164.68.108.153 IP address4/1/2021
167.86.97.221  IP address3/4/2021
certindia.ignorelist[.]com       Domain1/1/2021
defencecyberorg.myddns[.]me      Domain1/1/2021
certindia.chickenkiller[.]com    Domain1/1/2021
coronavirusupdate.ddnsking[.]com Domain2/1/2021
frankooxyz2.ddns.net Domain1/19/2021
161.97.142.96  IP address5/21/2021
144.91.65.100 IP address12/8/2020
203.175.72.105 IP address3/14/2021
115.186.189.6 IP Address3/1/2021
182.188.181.223 IP Address3/14/2021
103.255.7.3 IP Address4/1/2021
182.188.181.224 IP Address5/1/2021
207.180.230.63 IP Address4/1/2021

from

Leave a Reply

您的电子邮箱地址不会被公开。