组织使用云存储技术发起的最新攻击活动披露

完整攻击流程分析

蓝宝菇（APT-C-12）组织在近期的攻击中针对重点目标继续沿用了主流的鱼叉邮件攻击方式，恶意荷载主要以“VBS+PowerShell”无文件攻击和Light RAT木马两种形式出现。值得注意的是蓝宝菇（APT-C-12）组织开始首次使用云存储服务形式进行命令控制。

• 该组织的无文件攻击方式在压缩包附件中通常会包含一个vbs脚本和PowerShell后门程序，这种攻击手法该组织最早在19年底使用过。

• Light RAT是该组织未被披露的最新后门程序，使用C#语言开发

无文件攻击分析

360安全大脑在9月捕获到了该组织最新的无文件攻击样本，恶意荷载是VBS+PowerShell的形式。下图为vbs脚本的文件内容,主要功能为执行同目录下的powershell后门。

Powershell后门主要负责窃取目标计算机信息和office文件信息，加密后上传到攻击者的C2服务器。

获取的信息有计算机系统信息，进程列表，ip信息，计算机名等等。将信息数据发送到C2如下路径：https://c2//upload//date//_threeswordsmen//start.log。

该路径中的目录被命名为threeswordsmen，该命名源自经典武侠电影“刀剑笑”(The Three Swordsmen)的英文片名，后门作者习惯使用港台电影的相关词汇命名关键代码，从侧面也暴露了后门作者的母语和地域。

使用32位随机数，利用rsa加密后，使用base64编码，并发送到C2，此动作疑似是使用产生的数据对用户计算机进行标注。

随后开始窃密用户的office类的文档信息，主要关注的文档类型有 .doc， .docx， .pdf， .ppt， .pptx， .xls ，.xlsx ，.ps1， .cpp， .eml， .js， .html， .cs。

获取文档的文件名，文件修改时间等信息后使用gzip压缩后发送到C2的如下路径https://c2//upload//date//_threeswordsmen//Mid.cab。

最后，窃取 %appdata%/Microsoft/Windows/Recent目录下的文件内容，并发送至C2。

样本中的rsa public key以XML格式保存。

最新Light RAT木马分析

2020年8月，360安全大脑在蓝宝菇组织的一次攻击活动中，捕获到了该组织未被披露的最新后门程序，被攻击目标涉及国内军工产业重点单位，因木马程序中的pdb（ C:\Users\user\Desktop\Light\Light\obj\x86\Release\Light.pdb）路径，我们将其命名为Light RAT。

在我们捕获到的利用Light RAT攻击活动中，攻击者直接投递了包含Light RAT可执行文件的恶意附件，诱导目标用户点击执行。Light RAT为C#语言编写的后门程序，主要功能为窃取目标计算机信息，搜集指定特定后缀的文件传送至C2。

后门程序首先会复制office 的模板文件到指定目录，并打开相应的目录，以迷惑目标用户。

然后获取目标计算机进程信息，计算机名、计算机用户名等信息。

获取Recent目录下文件信息以及%Desktop%目录下指定文件后缀的文件信息，包括doc，docx，ppt，pptx，pdf，xls，xlsx后缀的文件。

搜集完所有文件和信息之后上传至C2

C2基础设施分析

在APT-C-12的两次攻击活动，均存在文件信息以及文件上传的操作，我们发现攻击者使用了开源云盘系统和云对象存储系统搭建C2基础设施，相关的云服务如下图所示。

这是蓝宝菇（APT-C-12）组织首次使用私有的云存储服务器进行命令控制，利用相关服务收集中招用户的信息、文件，以及分发恶意软件。

在相关样本代码中可以看到，其使用了各类云服务应用经常使用的对象存储方式传送文件，以PUT请求利用pre-signed URLs来进行上传操作，这样所有文件传输都伪装成了正常的云存储服务请求，在一定情况下可以躲避异常的网络流量识别。