欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

Bitter盗取巴基斯坦警察部门签名进行攻击活动分析

来源:本站整理 作者:佚名 时间:2019-09-23 TAG: 我要投稿

Bitter团伙是一个长期针对中国、巴基斯坦等国家进行攻击活动的APT组织,该组织主要针对政府、军工业、电力、核等单位进行攻击,窃取敏感资料,具有强烈的政治背景。
最近,在上班摸鱼闲逛某不存在网站的时候,发现红雨滴大佬披露的bitter盗用巴基斯坦某警察部门数字签名的攻击事件

遂在免费沙箱anyrun上找到该样本进行分析学习
样本分析
先从诱饵文档开始分析
MD5
226d33f02acb6b8d0a1b9ecf4f7a1752
样本来源
https://app.any.run/tasks/8173c927-2c4d-4415-a5a0-6a9c8bc34430/
该样本采取模板注入的方式获取执行后续payload,此类方式可以起到极好的免杀效果。

VT 目前57家杀软也仅仅只有11家报毒

执行后,从模板外链地址http://w32infinitisupports.net/win/ ctfd 获取文件执行。此类方式缺点也比较明显,执行时会有明显的从服务器获取文件的界面,如下所示

模板注入的文件
文件名
Ctfd
MD5
fa6d27a7df1a47fe9fc2f6595f7ab700  
文件来源
http://w32infinitisupports.net/win/ ctfd
模板注入加载的文件是公式编辑器漏洞利用文档,oletools查看如下

通过执行命令rtfobj.exe cftd –s all将文档中的ole对象dump出来,用16进制查看器进行分析。在末尾可看到执行的shellcode。

从w32infinitisupports.net\win\ctf获取文件保存到C:\Inf\dwm.exe路径,并执行

Downloader
文件名
Dwm.exe
Md5
596ec0f90c25fdbe3d8ade3f4ea4cd38        
文件来源
w32infinitisupports.net\win\ctf
C2
blth32serv.net
Pdb
C:\Users\Asterix\Documents\Visual Studio 2008\Projects\25July2019DN\Release\25July2019DN.pdb
该文件的主要功能为与c2进行通信获取其他插件执行,入口处一股bitter味

运行后创建目录c:\\Driver\\,并将自身拷贝到该目录下重命名为nsdtcv.exe

之后将nsdtcv.exe设为启动项实现持久化

之后获取计算机信息加密处理和与c2:http://blth32serv.net/ourtyaz/qwf.php?进行通信

从c2获取数据,判断数据前几位是否为”WIT: #,若”WIT: #后跟了字符串内容,则下载执行该插件

在分析的过程中未获取到其他插件
同源样本
根据红雨滴大佬的线索,另一个具有相同c2的样本信息如下
Md5
d8b2cd8ebb8272fcc8ddac8da7e48e01
C2
blth32serv.net
pdb
c:\Users\Asterix\Documents\VisualStudio2008\Projects\25July2019DN\Release\25July2019DN.pdb
该样本与Downloader功能c2全部一致,而该样本甚至具有数字签名,如下所示:

通过数字签名邮箱@sindhpolice.gov.pk可以得知该签名属于巴基斯坦信德警察局

信德地区处于巴基斯坦与印度交界处,emmm,你懂得

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载