一、概述
Molerats APT组织又名“Gaza Hackers Team”、“月光鼠”、“灵猫”等,其至少从2012年开始在中东地区活跃,主要攻击目标为以色列地区、巴勒斯坦地区与政党相关的组织和个人,惯用政治相关主题作为诱饵对目标进行鱼叉式钓鱼攻击。
微步情报局近期通过威胁狩猎系统监测到Molerats组织针对中东地区的间谍攻击活动,分析有如下发现:
攻击者使用政治相关主题制作诱饵文档和木马对目标进行攻击;
相关木马使用Google Drive等云服务托管恶意载荷,使用Dropbox API进行C2通信,可提升木马隐蔽性;
木马还支持从合法站点justpaste.it动态获取Dropbox Token进行C2通信,进一步增加了木马的可配置性;
截止分析时,发现已有数十台主机被感染,IP归属地大多为中东地区,符合Molerats组织的攻击目标;
通过资产关联分析,发现攻击者所使用SSL证书指纹等与Molerats组织过往资产重叠,认定幕后攻击者为Molerats组织;
微步在线通过对相关样本、IP 和域名的溯源分析,提取7条相关 IOC ,可用于威胁情报检测。微步在线威胁感知平台 TDP 、本地威胁情报管理平台 TIP 、威胁情报云 API 、互联网安全接入服务 OneDNS 、主机威胁检测与响应平台 OneEDR 、威胁捕捉与诱骗系统 HFish 蜜罐等均已支持对此次攻击事件和团伙的检测。
二、详情
攻击者利用政治相关主题制作诱饵,其中诱饵文档类主要使用恶意宏和模板注入手法,exe文件主要使用伪装Office文档图标或pdf文档图标的方法。
图1 攻击者制作的部分诱饵文件
诱饵文档显示编辑语言为阿拉伯语,作者信息mij daf。
图2 攻击者制作的诱饵文档
相关木马大多为同类型木马,主要使用C#和C++编写,并使用ConfuserEx或Themida加壳,部分文件名称以阿拉伯文命名。
三、样本分析
3.1 使用硬编码的Dropbox Token通信
以攻击者所投递诱饵文档为例,文档所携带的恶意宏较为简单,主要功能为利用powershell从远程服务器下载document.html保存到目录c:\ProgramData\ servicehost.exe,并启动进程,URL:45.63.49.202/document.html。
图3 诱饵文档中携带的恶意宏
该服务器为攻击者所控制的vps服务器。
图4 相关ip在微步在线X社区的信息
下载的servicehost.exe为C#远控模块,图标伪装为压缩包图标。
图5 伪装为压缩包图标的木马
servicehost.exe为C#编写,使用ConfuserEx加壳,执行后解密下步模块koi,并在内存中加载执行。
图6 内存中加载模块koi
之后收集主机信息,包括IP地址、用户名、主机名,使用Base64编码再进行字符串反转,生成用户ID。
图7 收集主机信息
使用攻击者的Token在Dropbox以上述ID创建文件夹,将主机信息上传。
URL:https://api.dropboxapi.com/2/files/create_folder_v2
Authorization: Bearer QTej652Z2CkAAAAAAAAAASJQxCaJf1phi-c8JovfHjgfaPzLAw6IJzmVswuphGQE
图8 以Dropbox API创建文件夹
随后检查枚举到的文件名称是否符合命令格式,进入ControlDropBox函数,响应Dropbox所下发指令,包括文件上传/下载/列表、进程启动、屏幕截图、远程Shell等。
图9 响应远程指令
3.2 动态获取Dropbox Token通信
在另一个同类样本中,支持从合法站点justpaste.it动态获取Dropbox的Token。样本执行后会进行反虚拟机操作。
图10 反虚拟机操作
通过公用站点获取当前日期时间,以MMddyyyy格式化,先使用Base64编码,再将字符串反转,生成字符串。
图11 通过公用站点获取当前时间
在上面生成的字符串前面加一个字符R,作为URL路径进行访问 ,例:https://justpaste.it/REjMwIjNxITM,对服务器返回内容只过滤包含ACSS和OOOO的内容,并进行格式分割。
图12 从justpaste.it动态获取Dropbox Token
分割之后将会把数据加密写入到注册表中,供下次运行调用,其中以文件名为名称的键值是加密的Token,UUUU是下载目录和解压密码。
图13 将配置信息写入注册表
返回数据格式如下,其中Token需要经字符串反转,去掉前面7位,再去掉前后3位,解压密码通过字符反转再Base64解码即可解密。
格式:ACSS={Token}#OOOO={下载文件要保存的目录序号,通过Environment.GetFolderPath获取},{下载文件的解压密码}
图14 攻击者justpaste.it的页面展示
远程指令流程和上述分析样本类似,其在下载流程中会下载合法的压缩包工具Command line RAR.exe和木马压缩包文件,然后利用上面获取的密码作为参数以命令行方式执行Command line RAR.exe进行解压。
命令行示例:”e -pU85EVBYUFKJ5ZQN “”C:\Users\Administrator\AppData\Local\XV5Q9DUJJ8V5JWW.rar”” “”C:\Users\Administrator\AppData\Local\MY05UITSA7OIZT6”” “
图15 调用命令行解压下载到的文件
在下载到的组件中,包含为指定程序设置开机启动模块,通过创建lnk链接文件放到Startup目录进行持久化。
图16 创建lnk文件持久化
还有通过创建任务计划持久化的组件。
图17 创建任务计划持久化
从用户“pla mjsd”控制的JustPaste中,可以看到该用户发布的包含Token的内容最早从2021年7月13日开始,最近为12月13日,攻击者一直在使用同一个Token和解压密码。
Token:j0nS0QwY13AAAAAAAAAAARLL1pdHUHBWI2P6L3G7oPhP1G7sCYQAB5pqmiG9KuI7
解压密码:U85EVBYUFKJ5ZQN
图18 攻击者7月首次在JustPaste发布的内容
图19 攻击者12月最后在JustPaste发布的内容
四、关联分析
4.1 受害者信息
通过Dropbox的公开API,利用攻击者的Token对网盘文件进行遍历,经过分析整理后,发现分析时有10余台被感染的主机,大多IP归属地为中东地区,符合Molerats组织的攻击目标。
在网盘根目录存放着数十个同类木马文件,即上述详情中列出的木马列表,应为攻击者实施攻击时使用的木马,大部分使用政治相关话题作为文件名称,而在对应的感染主机目录中发现有攻击者使用远程指令抓取的屏幕截图文件,相关受害者的系统语言为阿拉伯语。
图20 部分感染主机的屏幕截图
4.2 资产关联
反查IP:45.63.49.202解析域名,发现当前解析记录为msupdata.com。
图21 45.63.49.202的当前解析域名
查看msupdata.com域名信息,发现历史两个相关SSL签名证书,搜索发现存在几个域名使用相同证书,且历史解析IP 185.244.39.165重合。
图22 SSL证书关联
对发现的域名appsign-activity.nsupdate.info继续分析,发现证书关联域名sognostudio.com。
图23 SSL证书关联
sognostudio.com 下存在样本与安全厂商以往所披露的攻击活动《“灵猫”组织针对中东地区的攻击活动分析报告》中的样本同源。
图24 与过往攻击活动样本关联
而另一个相关域名smartweb9.com下存在多个Molerats历史样本。
图25 与过往攻击活动样本关联
五、结论
结合以上分析信息,可以认定幕后攻击者为Molerats组织,该组织在近些年的攻击活动中一直在持续更新间谍组件,其擅长使用Google Drive、Dropbox等云服务进行载荷托管和C2通信,同时也可进一步提升木马隐蔽性,基于地缘政治因素,我们预测Molerats组织在未来的时间里会持续保持活跃,微步情报局会对相关攻击活动持续进行跟踪,及时发现安全威胁并快速响应处置。
六、附录 – IOC
C2
45.63.49.202
23.94.218.221
185.244.39.165
msupdata.com
appsign-activity.nsupdate.info
sognostudio.com
smartweb9.com
URL
http://45.63.49.202/document.html
http://23.94.218.221/excelservice.html
http://45.63.49.202/doc.html
http://45.63.49.202/gabha.html
https://drive.google.com/uc?export=download&id=1xwb99Q7duf6q7a-7be44pCk3dU9KwXam
Dropbox Token
QTej652Z2CkAAAAAAAAAASJQxCaJf1phi-c8JovfHjgfaPzLAw6IJzmVswuphGQE
j0nS0QwY13AAAAAAAAAAARLL1pdHUHBWI2P6L3G7oPhP1G7sCYQAB5pqmiG9KuI7
Hash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