Gorgon APT组织再做文章:DropBox到NJRat的曲折历程

 

背景

近日,奇安信威胁情报中心在发布《Gorgon黑客组织再显新招:通过在线网盘发起“三重奏”攻击》的分析报告后,在对该南亚组织的进一步追踪发现,该组织除了使用Blogspot+pastebin的在线网盘获取木马payload的模式进行攻击外,其还会使用DropBox下载Payload,从伪装的MP3或JPG文件获取最终木马的方式进行攻击。

 

样本分析

本次投递的DownLoader是一个docx文档,打包时间2018年8月22号,上传VirusTotal的时间是2019年8月26日,使用模板注入的方式从DropBox下载后续payload,后续payload是一个RTF文件,内嵌了8个带有宏的Excel OLE对象。启用宏之后会从C&C下载VBS脚本并执行,VBS经过解密执行PS脚本从C&C下载两个payload,并解密最后通过注入器将njrat注入到MSBuild.exe进程中。

DownLoader样本分析

文件名 Reserva Ricargo Bago.docx
MD5 de2eea6519b4150800b2122300809948
时间 2019-08-22 19:11:00

模板注入,打开文档时会从

hxxps://www.dropbox.com/s/0m29532jztadbda/bsuPQI87aopY.doc?dl=1下载RTF文件并打开

bsuPQI87aopY.doc样本信息:

文件名 bsuPQI87aopY.doc
MD5 5287c2873d1a28be773a2457b6f1f4c9
时间 2019-08-22 21:06:00

该RTF文件内嵌了8个带有旧版宏警告的Excel ole对象

当打开该RTF文档时,会弹出Excel表格,并显示旧版宏警告,如果点击禁用,则会弹出下一个Excel,一直持续8次,该技术Carrie Roberts在其博客上[1]有详细的描述。

Excel中的宏会从172.105.68.75/pirata.txt下载VBS脚本,保存名为MTServices.vbs

调用Wscript执行MTServices.vbs,

VBS会调用Powershell执行脚本

Powershell最中会解密并执行最后的ps脚本

从hxxp://www.m9c.net/uploads/15647132812.mp3和hxxp://www.m9c.net/uploads/15647132811.jpg下载后续payload和脚本,15647132811.jpg内容如下,解密后的15647132811.jpg一个是C#编写的远控木马:

15647132812.mp3内容如下,执行脚本解密出一个C#编写的注入器:

PS脚本通过调用注入器的GFG类中的exe方法,将njrat注入到MSBuild.exe中:

经过分析,被注入的C#程序,互斥量为EDFRWFGH-vJoGYkaB6OOZ的njrat远控木马

链接的域名为duckapp.duckdns.org,IP地址为141.255.145.208:5552

同源分析

通过开源情报可知,Gorgon组织曾利用hxxp://www.m9c.net域名发起攻击,最早可以追溯到6月份,该组织通过hxxps://pastebin.com进行payload的投放,最后释放的依然是一个njrat,远控域名:queda212.duckdns.org

经过溯源发现相似样本

文件名 DADOS_CONFIRMAÇÃO_DE_RESERVA_IDAZA.doc
MD5 a77c33fe1d7112eeba2d9653aba67218
时间 2019-07-17 04:37:00

打开文档界面如下:

同样是模板注入从hxxp://bit.ly/2JD9Tlr下载RTF文档:

RTF文档信息:

文件名 tabela.doc
MD5 83bbe5e2a5242de93eb546e4ef22c6fc
时间 2019-07-17 01:20:00

该RTF同样内嵌了带有旧版宏警告的Excel ole对象,启用宏之后会从

hxxp://refugiovistaserrana.com.br:80/novosite2/HNSUSbFuYM48DATA16072019.mp3

下载VBS脚本,如图所示,此处的混淆方法在上一篇报告中也有所提及。

“للظال”和“!의있을모!”是Gorgon组织常用混淆,VBS调用PS脚本

Base64解密后

从hxxps://refugiovistaserrana.com.br/novosite/tt.mp3,下载Payload解密并执行,payload同样为njrat,远控域名依然是duckapp.duckdns.org,IP及端口141.255.147.151:5555

至此,本篇可作为上篇关于Gorgon组织系列分析的延伸,仅供参考。

总结

Gorgon,一个被认为来自南亚某国家的黑客组织,其目标涉及全球政府,外贸等行业,且目的不纯粹为了金钱,还可能与政治相关。

而从本次活动中,Gorgon仍在使用一些传统木马进行攻击,例如njrat这类“旧时代”木马,但也足以证明,在注重诱饵变更,以及投递手法的创新,在Payload获取的路子上做文章,将会是目前大多数黑客组织常使用的手段,但也是最节省成本,最有效的手段。

目前奇安信集团全线产品,包括天眼、SOC、态势感知、威胁情报平台,支持对涉及Gorgon组织的攻击活动检测,并且奇安信安全助手支持对该组织的样本进行拦截。

IOC

文件Hash:

de2eea6519b4150800b2122300809948

7fe468b10d95cc993a499abc6a2760a41024f7fe

300c9b54a3747925d7dc5457cbfb93f2f8c2a4ee

7fa6b8a902a46cf7678a3ea225a3a661f37c8ea5 2ab26f82b54ebd841019b6dcc6b92027ae97fd15 b09dbb9ba2c95019bb34e12010be81140ea6a96a 08212a083f7c969132e0e7f6ff0dfe2a713eb2a1 b3b79e5f8893b1eec4171e473716636146845e3c 925be2c3a80370a5f6d1786d7efcd3e51043662a

97b779463c494544fc698d7ca08725e0d41e37bb

C&C:

141.255.147.151:5555

141.255.145.208:5552

172.105.68.75

URL:

www.dropbox.com/s/0m29532jztadbda/bsuPQI87aopY.doc?dl=1

172.105.68.75/pirata.txt

www.m9c.net/uploads/15647132812.mp3

www.m9c.net/uploads/15647132811.jpg

bit.ly/2JD9Tlr

duckapp.duckdns.org

refugiovistaserrana.com.br:80/novosite2/HNSUSbFuYM48DATA16072019.mp3

refugiovistaserrana.com.br/novosite/tt.mp3

(完)