使用升级版数字武器针对周边地区的攻击活动

1.组织简介

Donot“肚脑虫”（APT-C-35）是疑似具有南亚背景的APT组织，其主要以周边国家的政府机构为目标进行网络攻击活动，通常以窃取敏感信息为目的。该组织具备针对Windows与Android双平台的攻击能力。

2.样本分析

2.1 31PN.xls

文件名

Md5

31PN.xls

94a48c8430c69baca1ee704a1306d75d

攻击样本是个xls文件，可以看到用的是office宏攻击，当office没有打开宏的时候会提示用户启用宏。

启用宏之后文件里面看上去什么内容都没有。

分析发现c4单元格和c10单元格里面存在两个字符串，字体颜色被改成了白色所以在单元格里面看不到。

另外一个表格中也存在两行字符串。

2.1.1 XLS文件包含的字符串

字符串内容如下。

2.1.2 恶意宏代码

恶意样本存在的宏代码被加密了。

对宏代码进行解密，其中sheet1里面没有代码，sheet2里面的宏代码如下。

ThisWorkbook关键宏代码如下，可以看出宏代码从前面单元格中特定位置获取字符组成URL。

之后根据组成的URL从服务器端下载恶意dll文件和加密的数据保存在%Temp%目录下，并加载下载的dll文件。

2.2加密数据

文件下载的URL

Md5

http://yourcontents.xyz/p

e0ac8629a362b8a34fa17a83070e701f

从yourcontents.xyz/p下载的加密数据内容如下。

可以看出加密明显使用的是异或加密，并且异或的值为0x98，对数据内容进行解密之后发现也是一个dll文件。

2.3 Loader dll

文件下载的URL

Md5

http://yourcontents.xyz/f

7e1402709b8f0688a231d37f5e54e8ca

从yourcontents.xyz/f下载的loader dll 文件内容如下。

2.3.1 对加密数据进行解密

这个dll文件会读取%temp%下一起下载的一个被加密的文件。

对样本中的代码进行分析发现确实是异或加密，解密的时候是从最后面开始进行解密。

之后将解密的数据写入到下面的文件里面。

循环获取Ole32.dll里面的CoInitializeEx函数的地址。

在循环的时候里面存在sleep函数，减慢分析过程。

2.3.2 持久化

在系统启动目录下创建快捷方式启动smd.js脚本文件，达到持久化的目的。

但是这里整个Loader dll程序都跑完了，smd.js这个文件里面没有被写入什么数据。

2.4 mentn.dll

文件名

Md5

mentn.dll

64a77ab70f8f7a395d6c7668e07a565d

这个文件存在一些反调试，已知的包括通过安装目录判断是否安装了常见的杀毒软件，通过特殊指令ed 81 fb 68 58 4d 56 0f 94 45 e7 5b 59 5a c7 45检测是否在虚拟机当中，通过检测顶层窗口判断是否是在真实环境当中，通过硬盘的大小判断是否在虚拟机当中，检测适配器地址以检测虚拟网络接口。

在真实机中跑起来之后也没什么行为，调试的话有些反调试过不去，所以分析只能到这里了。