原创 高级威胁研究院 2025-08-08 17:27 北京
360高级威胁研究院监测到该组织针对巴基斯坦地区的新一轮攻击活动,并捕获到一类基于Mythic C2框架的新型载荷,该载荷通过MSC文档形式投递,这种利用方式在摩诃草以往的攻击案例中相对罕见
APT-C-09
摩诃草
APT-C-09(摩诃草),又称白象、Patchwork、Dropping Elephant,是一个具有南亚国家背景的高级持续性威胁(APT)组织,长期对周边国家开展针对性网络攻击,主要目的为窃取敏感信息。
近期,360高级威胁研究院监测到该组织针对巴基斯坦地区的新一轮攻击活动,并捕获到一类基于Mythic C2框架的新型载荷,该载荷通过MSC文档形式投递,这种利用方式在摩诃草以往的攻击案例中相对罕见。为帮助各界更全面了解该组织当前的攻击能力与技术演变趋势,本文将对相关攻击组件进行详细披露和分析。
一、攻击活动分析
1.攻击流程分析
摩诃草组织通过发送携带MSC文档的邮件发起钓鱼攻击。用户打开MSC文档后会远程加载一个html文件,该文件内嵌混淆的jscript代码,jscript脚本执行时会从远程下载诱饵文档,同时释放恶意dll,并通过白利用的方式加载恶意dll,经分析该dll属于Mythic C2框架组件。同时,我们也发现一个lnk样本从相同远程服务器下载BADNEWS木马,整个攻击流程如下所示:
2.载荷投递分析
MD5 | 166261543ac5dca43254ff216b8acb92 |
文件名称 | Aviation_Telecom_Collaboration_Proposal_Template.xlsx.msc |
文件大小 | 175 KB (179,228 字节) |
Aviation_Telecom_Collaboration_Proposal_Template.xlsx.msc是一个Microsoft 管理控制台管理单元文件,其本质是一个XML文件,双击MSC文件,就会利用MMC程序执行MSC文件指定的操作。Aviation_Telecom_Collaboration_Proposal_Template.xlsx.msc通过伪装成XLSX表格,以诱使用户执行该文件。
一旦用户执行该文件,就会通过MSXML解释器间接执行指定的远程HTML文件中保存的jscript代码。
Unit-942-BoosterEngineF8-MAK8.html包含了一段经过两次URL编码之后的jscript脚本。详细信息如下:
MD5 | cef1b831b08f5cb8c33a597569d96d06 |
文件名称 | Unit-942-BoosterEngineF8-MAK8.html |
文件大小 | 3.75 MB (3,942,612 字节) |
有趣的是当用浏览器打开该html的时候,会显示如下内容,该活动的幕后黑手声称与Dark Samurai APT和OceanLotus(APT32)都有关联。他们甚至还附上了越南语信息,推测攻击者使用了假旗行动,干扰分析,因为之前OceanLotus也用过类似MSC组件进行攻击。
通过URL解码,去混淆得到最终的jscript脚本。该jscript脚本首先会从“https[:]//datamero.org/biuA873q4jIUBoaFibnoianbscoia/Aviation_Telecom_Collaboration_Proposal_Template.xlsx”处下载并打开Aviation_Telecom_Collaboration_Proposal_Template.xlsx伪装内容,以欺骗受害者。
该伪装内容利用了一个名为“电信部门合作促进航空现代化”的诱饵文件,显然是专为巴基斯坦电信行业量身定制的,诱饵文档内容如下。此外我们还捕获了以巴基斯坦机场管理局为诱饵的攻击样本,同样采用MSC文档,利用方式和分析样本流程一致,也侧面可以看出攻击者主要目标为巴基斯坦。
然后将系统自带的“Dism.exe”程序复制到“%ProgramData% \Dism.exe”,并将经过编码的内嵌在脚本中的数据,依次进行字符串反转,字符串替换,十六进制解码,Base64解码,并最终将其释放到“%ProgramData%\\ DismCore.dll”,从而实现白利用。
最后创建名为“MicrosoftEdgeUpdateTaskMachineCoreXUI”,操作为执行“C:\\ProgramData\\Dism.exe”的计划任务,从而实现持久化。
3.攻击组件分析
本次攻击所使用的攻击组件信息如下:
MD5 | 3c80b259eb50a20e0c00ea756d7247d7 |
文件名称 | DismCore.dll |
文件大小 | 315 KB (322,560 字节) |
DismCore.dll混淆严重,没有导入表,是一个使用Mythic渗透框架的恶意载荷,当DismCore.dll被加载,首先会获取AES加解密秘钥。本次攻击载荷所使用的AES256秘钥如下:
{"dec_key":"nKz+eNoDZVdYv6yfYXrfqhbCTOeykm2XwjoIZGTzOk8=","enc_key":"nKz+eNoDZVdYv6yfYXrfqhbCTOeykm2XwjoIZGTzOk8=","value": "aes256_hmac"}
然后执行一项被称为“checkin”的活动,即获取被控计算机的相关信息,诸如网络地址,操作系统,用户名,主机名,进程ID,UUID,架构等信息。并将这些数据经过AES加密,以及Base64编码,然后发送给C2服务器(d11d6t6zp1jvtm.cloudfront.net)。以实现被控端上线。
经分析,攻击组件通过“checkin”活动所获取的计算机信息和Mythic Beacon源码(https://github.com/MythicAgents/thanatos/blob/main/Payload_Type/thanatos/thanatos/agent_code/src/utils/windows.rs)所展示的信息一致,且后续加密方式也一致。
值得注意的是,攻击载荷发送给服务端是一段经过Base64编码和AES加密的报文,其由四部分组成,前0x24个字节是UUID,紧跟着UUID的是长度为0x10的IV,然后是经过AES加密之后的数据,最后0x20个字节是HASH校验和。
使用解码获取的IV值(A5 5A 98 87 A3 24 5B 15 C4 F4 20 48 98 AC B3 81)以及获取AES解密秘钥(nKz+eNoDZVdYv6yfYXrfqhbCTOeykm2XwjoIZGTzOk8=)使用AES-CBC解密数据如下:
攻击组件上线后,主控端从而对受害者机器实现远程控制,目前已无法连接该C2服务器。
Mythic(https://docs.mythic-c2.net/)是一个多人协作的,跨平台的渗透测试框架,其采用模块化设计,支持多种通信协议,通过加密通信保障C2通信的安全。它能够生成多种类型的 Payload,远程控制目标系统,执行命令、上传下载文件,并提供代理管理等多种功能。
二、关联分析
同期,我们发现了一个下发BADNEWS木马的恶意LNK样本,LNK执行时会下载恶意载荷,该下载连接与上面MSC样本下载诱饵文档连接具有相同的域名:datamero.org。样本如下所示:
MD5 | 0dcef9d1e1cd96ed5b19c0befa1e6e7f |
文件名称 | ITUARC_IHA_Sifreli_Bilgi.pdf.lnk |
文件大小 | 2.03 KB (2076字节) |
LNK携带恶意参数,从https://datamero[.]org/biuA873q4jIUBoaFibnoianbscoia/sitrie 下载白程序和从https://datamero[.]org/biuA873q4jIUBoaFibnoianbscoia/maikjcef 下载恶意dll。随后启动白程序进行侧加载libvlc.dll。
Libvlc.dll被加载起来时,先通过AES算法对自身数据进行解密出Shellcode并加载,Shellcode执行后内存加载BADNEWS木马。
BADNEWS木马执行后与https://zebydigital[.]org/1WrCVzW4kSDNbNTt/cqWf4vQlofzqFkc7.php进行通信,相关功能不再详细叙述。
三、归属研判
通过对样本整体分析,我们发现本次攻击行动与摩诃草组织之前使用的攻击手段相符合。
1.经分析,datamero.org 域名被用于投递 BADNEWS 木马,该木马归属摩诃草组织专有木马。同时,MSC 样本亦通过该域名分发诱饵文档。因此,我们认为datamero.org 很可能是该组织控制或使用的基础设施之一。
2.针对datamero.org进行测绘,我们发现,该域名的jarm指纹信息为“27d40d40d00040d00042d43d0000004ac24e77d76646867f0f6a0c6d9b9bb0”,所使用的服务器为nginx,以及证书是Let's Encrypt,域名是.org域名,这些都符合我们所掌握的摩柯草组织所使用的常见的基础设施的测绘特征。
4. Patchwork组织擅长使用开源或泄露的攻击工具,其历史活动中多次使用QuasarRAT、NetWire RAT等开源远控工具,并使用过Havoc C2等新兴框架。此次攻击中采用Mythic C2框架的行为,进一步印证了该组织具备持续集成多种开源C2工具的能力与倾向,以此增强攻击的隐蔽性与灵活性。
5. 恶意样本释放的诱饵文档都是针对巴基斯坦,符合攻击者目标。
综上将其这类攻击归属于APT-C-09(摩诃草)组织。
总结
自2013年首次被披露以来,APT-C-09(摩诃草)组织始终未停止其攻击活动,长期持续针对巴基斯坦及周边国家开展网络攻击。在最新的攻击样本中,我们发现该组织通过 MSC 文档下发Mythic C2 框架进行远程控制,其代码混淆程度较高,分析难度显著提升。上述特征表明,该组织不仅持续演进攻击手法,还在积极扩充攻击工具集,以适应不断升级的网络安全防御体系。
在此提醒广大用户增强安全防范意识,切勿随意执行来源不明的可疑文件或点击不明链接,以免造成系统在无防护状态下被远程控制,从而引发敏感信息泄露或关键数据被窃取等严重后果。
附录 IOC
MD5:
dd802736eeb826079fa8a0cd08d74c0e
8bf60787e2ac07d3b89663044812b520
166261543ac5dca43254ff216b8acb92
cef1b831b08f5cb8c33a597569d96d06
3c80b259eb50a20e0c00ea756d7247d7
0dcef9d1e1cd96ed5b19c0befa1e6e7f
3699b8277299668f9e8489a465723be7
e8637f4951132c74862952539b56edf7
URL:
https[:]//datamero.org/biuA873q4jIUBoaFibnoianbscoia/Aviation_Telecom_Collaboration_Proposal_Template.xlsx
https[:]//caapakistaan.com/ncUiihbouibCIOWoin983oi/Unit-942-BoosterEngineF8-MAK8.html
https[:]//caapakistaan.com/biuA873q4jIUBoaFibnoianbscoia/Drone_information.pdf
https[:]//caapakistaan.com/ncUiihbouibCIOWoin983oi/Unit-942-Drone-Info-MAK3.html
https[:]//d11d6t6zp1jvtm.cloudfront.net/bootstrap3.js
https[:]//datamero.org/biuA873q4jIUBoaFibnoianbscoia/maikjcef
https[:]//zebydigital.org/1WrCVzW4kSDNbNTt/cqWf4vQlofzqFkc7.php
团队介绍
TEAM INTRODUCTION
360高级威胁研究院
360高级威胁研究院是360数字安全集团的核心能力支持部门,由360资深安全专家组成,专注于高级威胁的发现、防御、处置和研究,曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击,独家披露多个国家级APT组织的高级行动,赢得业内外的广泛认可,为360保障国家网络安全提供有力支撑。
