疫情期间,网络威胁愈演愈烈趋势,其中印度APT组织“摩诃草”,针对我国医疗机构发起APT,通过使用假冒域名” nhc-gov.com “伪装成我国卫生主管单位的域名,诱骗用户主动下载运行的可执行文件;同时利用“新型冠状病毒”主题相关的文档作为诱饵文档,运用鱼叉式钓鱼邮件的方式,攻击我国医疗机构。
摩诃草组织(APT-C-09),又称HangOver,VICEROY TIGER,The Dropping Elephant,Patchwork,是一个来自南亚地区的境外APT组织。自2013年被曝光以来,已经持续活跃了8年之久,该组织主要针对中国、巴基斯坦等亚洲地区和国家进行网络间谍活动。对中国地区的攻击中,该组织主要针对军事、政府、科研、通讯等机构。 针对此次攻击事件, 网思科平的威胁分析中心进行了详尽的威胁分析——
相关文档
1.《武汉旅行信息收集申请表.xlsm》
2.《卫生部命令.docx》
样本分析
1.《武汉旅行信息收集申请表.xlsm》
1)样本信息
2)分析概况
诱导用户执行宏代码,通过“scrobj.dll”远程执行“http://45.153.184.67/window.sct”文件,执行后继续从服务器下载伪装成jpeg文件的后门木马“window.jpeg”。该后门木马主要行为是自拷贝、创建计划任务实现持久化攻击和与C&C服务器通信执行指令。
3)详细分析
-
下载后门木马
表格中嵌入了恶意宏代码,再通过“scrobj.dll”远程执行“http://45.153.184.67/window.sct”,进而下载伪装成图片的后门木马“window.jpeg”:
-
后门木马自拷贝
后门木马自拷贝到C:\Users\%UserName%\AppData\Roaming\msupdate.exe和C:\Microsoft\msupdate.exe:
-
创建计划任务
创建计划任务“Microsoft Update”定期执行C:\Microsoft\msupdate.exe,实现持久化攻击:
-
连接C&C服务器
使用本机UUID在C&C服务器注册,并请求连接任务接口,连接成功以后接收任务指令,把任务指令执行结果再传回C&C服务器:
-
反向Shell功能
从C&C服务器得到要连接的IP和端口,创建cmd进程通过管道的方式创建反向Shell:
-
文件上传功能
从C&C服务器得到要上传的FTP服务器的URL,用户名、密码和要上传的文件路径,然后上传文件到服务器:
-
文件下载功能
从C&C服务器获取要下载文件的URL,然后下载文件到本地:
-
屏幕快照功能
拍屏幕快照,上传C&C服务器:
2.卫生部命令
1)样本信息
2)分析概况
3)详细分析
-
访问 www.baidu.com 检查网络连接:
-
上传本机配置信息到C&C服务器:
-
获取木马下载链接
访问链接https://api.github.com/repos/*****/meeting/contents/s****p/token.txt获取木马的下载链接,但是该文件已经被攻击者删除:
溯源分析
此次攻击所使用的的后门与已披露的摩诃草组织(APT-C-09)所使用的专属后门cnc_client极为相似,其中与C&C服务器通讯所使用的URL格式完全一致,所以可以确定本次攻击就是摩诃草组织所为:
IOC附录
1.MD5:
2.Domain:
3. URL:
4. IP:
5. 已知恶意钓鱼文件名称列表:
网思科平专家提醒
- 收到关于冠状病毒、发票、票据等主题的邮件时,不要轻易打开附件文件和链接;
- 不要轻易在互联网上下载打开带有“武汉肺炎疫情”,“新型冠状病毒”等相关名称,后缀为exe,scr等类型的可执行文件;
- 不要轻易打开不明未知来源的doc、docx、docm、xls、xlsx、.xlsm、pdf、rtf等文档。
为远程办公提供专有终端防护方案
在疫情期间,各地医疗机构均派遣医学专家及医护人员支援,他们携带的终端设备因现实条件原因,无法得到有效安全防护,一旦被入侵,APT组织极易侵入各医疗机构内网系统,造成更严重破坏!
在大灾大难面前,大家众志成城!网思科平履行网安企业的社会责任,向疫情期间所有有远程办公且有安全需求的用户提供安全的SaaS服务,免费为大家终端PC部署天蝎EDR公有云探针,通过云端服务器与端点探针联动,有效保护用户终端安全。
天蝎EDR基于云平台搭建的服务平台,产品的敏捷性、易用性等方面要明显优于传统部署的安全产品。可远程部署,并提供24小时不间断的安全服务,确保移动办公和连接互联网计算机免受高级威胁的入侵,打破安全防御受限于时间和空间的限制。用户终端PC上部署天蝎EDR公有云探针后可有效阻止本次印度APT组织“摩诃草”的攻击,同时有效避免勒索、挖矿病毒、APT木马等恶意程序!
