APT组织介绍

“蔓灵花”又名“BITTER”，一个长期针对中国及巴基斯坦的政府、军工、电力、核等部门发动网络攻击，窃取敏感资料，具有较强的政治背景。该组织最早在2016由美国安全公司Forcepoint进行了披露，他们发现攻击者使用的远程访问工具（RAT）变体使用的网络通信头包含 “BITTER”，所以该这次攻击命名为“BITTER”，同年国内安全厂商也跟进发布了分析报告，命名为“蔓灵花”。

攻击样本分析

本次攻击(2019年9月份发现)使用了多个攻击样本，如捕获到一个命名为“mypictures.chm”的样本，该样本格式是chm，文件被打开后展示一些图片：

通过查看代码发现它会在后台通过msiexec命令去远程服务器下载msi文件

观察进程树也能发现该行为：

通过安恒文件威胁分析平台检索域名gongzuosousuo[.]net,又发现多个样本，其中2个样本引起我们注意：

这两个文件都是捆绑的主样本，它们伪装成office图标的exe文件

其中“中国新的对外安全政策.docx”打开后，是关于我国外交策略的文档，

另一个文档显示乱码：

这两个文件除了显示假文档还会释放都“audiodq.exe”，且回连还是相同域名：gongzuosousuo[.]net。

另外，通过该域名还可以关联到另一个msi样本wupd.msi。

该样本会释放运行wupdte.exe，wupdte.exe包含pdb信息为：

• C:\Users\user\Desktop\360ActiveDefence 1.4 Sep2019\360ActiveDefence 1.4 V2\Release\360ActiveDefence.pdb

wupdte.exe的主要功能为获取基础信息和远程下载新样本并执行，

该样本会搜集计算机名、用户名、操作系统版本、操作系统序列号等信息，发送到mil.openendhostservice[.]org远程地址，并拷贝自身文件到

C:\Users\用户名\AppData\Roaming\Microsoft\Windows\SendTo\winupd.exe

并且还可以下载远程数据解密出样本并执行。

接下来，分析chm文件下载的ausetup.msi文件，它运行后也会释放叫“audiodq.exe”,其回连地址是：“lmhostsvc[.]net”，继续使用平台检索该域名，发现叫做engineblock-2.jpg.exe程序

其运行后会打开图片和释放并运行audiodq.exe。

audiodq.exe和之前发现的样本功能一致，只是域名有所变化，如本次攻击所使用的其中一个域名为lmhostsvc[.]net

并且通过安恒文件威胁分析平台分析关联到另一个域名zhulidailiren4winnt[.]net也是主模块回连域名。

深入追踪发现BITTER组织对其组件进行了一些更新，其中最主要的变化是加入了两款.net的远控程序。

从样本时间来看最新更新的组件时间为10月15日。

由于篇幅有限，之前的分析一笔带过。之前组件的功能汇总如下表所示：

我们将更新后的组件和之前的组件进行了对比分析，

• 其中sleep、kill、regdl和之前的regdl一致为给audiodq程序设置自启动，
• lsap*系列和之前的lsap功能大致上是一致的都是搜集信息和文件并上传，
• igfxsrvk和之前的也是一致的主要为键盘记录功能，
• winsvc和spoolvs功能一致为远控模块。这些模块功能大致相同，样本中的回连地址会做一些变化。

下面主要分析新加入的.net程序模块MSAServices、MSAServicet、onedriveManager、sessionmanagers。MSAServices模块分析

MSAServices为远程控制程序，主要功能为回连远程服务器进行命令控制和数据传输。

样本先回进行一个冒泡排序，将结果写入到

C:\Users\Public\array.txt文件中，具体内容似乎并无什么意义。

然后进行了删除，猜测这么做的目的是为了判断系统是否是win7及以上的系统，在WIN XP下无法发现C:\Users\Public路径。

接着进行网络连接操作并设置心跳状态定时回调函数。

可以观察到网络连接的C2域名为mswinhostsvc[.]net，端口为 43821，被用于数据传输加解密的NetworkKey为745930。

其加密算法如下：

然后接受和发送数据信息，发送的基本信息，包括系统版本、系统用户、系统目录、mac地址等等信息

还包括获取Win序列号信息等

然后该程序会进行Processor调用初始化。

包含了该程序可以执行的主要功能。

接收命令并进行执行并返回执行信息，功能如下所示：

MSAServicet和MSAServices功能一致。

Sessionmanagers模块分析

Sessionmanagers也为远程控制程序，主要功能为回连远程服务器进行命令控制和数据传输。

通过安恒文件威胁分析平台分析发现该样本的编译时间故意被篡改。

该程序会连接远程服务器进行命令和控制。

解密出远程服务器地址为winqrcservice[.]net，端口为28564。

接着程序进行等待命令并处理命令阶段。

命令包括获取信息包括基本的信息和杀毒软件信息等，

主要命令如下列表：

onedriveManager和sessionmanagers功能一致。

总结

通过该次分析，可以看出该组织疑似有新的C#开发成员加入或转向了C#研发，新的组件代码仍在持续开发阶段，部分功能并没有调用或只是测试使用，通过回连域名发现攻击者了解中文，回连域名中包含中文拼音(如zhulidailiren4winnt、tongbanzhichi、gongzuosousuo)。

另外，其核心木马下载功能也做了更新，安恒安全研究院猎影威胁情报分析团队将持续监控该组织动态。由于篇幅关系内容有所精简，需详细报告请联系邮箱ti@dbappsecurity.com.cn

IOC

域名：

hxxp://lmhostsvc[.]net

hxxp://zhulidailiren4winnt[.]net

hxxp://mswinhostsvc[.]net

hxxp://winqrcservice[.]net

hxxp://winlocsec.ddns[.]net

hxxp://tongbanzhichi[.]net

hxxp://mscnsservice.ddns[.]net

hxxp://gongzuosousuo[.]net

hxxp://mil.openendhostservice[.]org

文件MD5：

c87641a13843682ae16a5da18ffee654

46ef2c0db107b794516dc2b2622e44ad

4b0e5c5c4e0e22f2dfeef0531e021072

b5c66d01d0e96b04702030ed23add415

b5c66d01d0e96b04702030ed23add415

c831af87ab876bd774784eb8f3338b4b

ae02f2f8100de5f9f155f4b8ce3e494e

8831eac19d1a1c30697057fa501d063f

d8c76c736a3285378bc82ea9cd3c972d

4bfff2480fb6eaa0ef82abb0092c2586

a24d5a8f6a916fe976face1f145cf297

79a1e1d2ea5c629f60ef00a96ec4d0fe

be171b4df9b7db48c67f31c678421bfd

e421808b24c1ebd4cf0a078c6e66ded8

fc572eec5ae8b38428259c5d8fc5a05f