使用升级版数字武器针对周边地区的攻击活动
最后更新于
最后更新于
Donot“肚脑虫”(APT-C-35)是疑似具有南亚背景的APT组织,其主要以周边国家的政府机构为目标进行网络攻击活动,通常以窃取敏感信息为目的。该组织具备针对Windows与Android双平台的攻击能力。
文件名 | Md5 |
31PN.xls | 94a48c8430c69baca1ee704a1306d75d |
攻击样本是个xls文件,可以看到用的是office宏攻击,当office没有打开宏的时候会提示用户启用宏。
启用宏之后文件里面看上去什么内容都没有。
分析发现c4单元格和c10单元格里面存在两个字符串,字体颜色被改成了白色所以在单元格里面看不到。
另外一个表格中也存在两行字符串。
字符串内容如下。
恶意样本存在的宏代码被加密了。
对宏代码进行解密,其中sheet1里面没有代码,sheet2里面的宏代码如下。
ThisWorkbook关键宏代码如下,可以看出宏代码从前面单元格中特定位置获取字符组成URL。
之后根据组成的URL从服务器端下载恶意dll文件和加密的数据保存在%Temp%目录下,并加载下载的dll文件。
文件下载的URL | Md5 |
http://yourcontents.xyz/p | e0ac8629a362b8a34fa17a83070e701f |
从yourcontents.xyz/p下载的加密数据内容如下。
可以看出加密明显使用的是异或加密,并且异或的值为0x98,对数据内容进行解密之后发现也是一个dll文件。
文件下载的URL | Md5 |
http://yourcontents.xyz/f | 7e1402709b8f0688a231d37f5e54e8ca |
从yourcontents.xyz/f下载的loader dll 文件内容如下。
这个dll文件会读取%temp%下一起下载的一个被加密的文件。
对样本中的代码进行分析发现确实是异或加密,解密的时候是从最后面开始进行解密。
之后将解密的数据写入到下面的文件里面。
循环获取Ole32.dll里面的CoInitializeEx函数的地址。
在循环的时候里面存在sleep函数,减慢分析过程。
在系统启动目录下创建快捷方式启动smd.js脚本文件,达到持久化的目的。
但是这里整个Loader dll程序都跑完了,smd.js这个文件里面没有被写入什么数据。
文件名 | Md5 |
mentn.dll | 64a77ab70f8f7a395d6c7668e07a565d |
这个文件存在一些反调试,已知的包括通过安装目录判断是否安装了常见的杀毒软件,通过特殊指令ed 81 fb 68 58 4d 56 0f 94 45 e7 5b 59 5a c7 45检测是否在虚拟机当中,通过检测顶层窗口判断是否是在真实环境当中,通过硬盘的大小判断是否在虚拟机当中,检测适配器地址以检测虚拟网络接口。
在真实机中跑起来之后也没什么行为,调试的话有些反调试过不去,所以分析只能到这里了。
域名 | ip |
yourcontents.xyz | 178.62.8.202 |
filepage.icu | 198.199.125.161 |
remindme.top | 45.79.53.43 |
filecopying.xyz | 167.99.182.241 |
这次分析的攻击活动具有如下特点:
Excel文档中嵌入恶意宏代码。
在Excel文档中写入超长字符串,通过恶意宏代码从字符串中特定位置获取字符拼接为远程服务器地址。
将恶意木马分成loader模块和加密数据模块,最终恶意木马由loader模块解密释放并执行。
最终恶意样本在内存中解密执行,实现无文件加载。
