译者:知道创宇404实验室翻译组

概要

国庆假期之后,安全研究人员观察到APT组织TA416重新开始了活动。这次活动以在非洲开展外交活动的组织为目标。攻击者对工具集进行更新以逃避检测,该工具集用于传递PlugX恶意软件的有效负载。研究人员发现了TA416的PlugX恶意软件新的Golang变种,并且确定了攻击者在活动中对PlugX恶意软件的持续使用。

新的网络钓鱼活动

研究人员发现,APT组织TA416(也被称为Mustang Panda、RedDelta)再次出现网络钓鱼活动的时间是有规律的。最近休眠的一段时间是2020年9月16日到2020年10月10日。这段时间包括中国的国庆节和非官方假期“黄金周”。之后,TA416恢复了钓鱼活动,并且继续使用社会主题诱饵。

PlugX恶意软件分析

AdobelmdyU.exe | 930b7a798e3279b7460e30ce2f3a2deccbc252f3ca213cb022f5b7e6a25a0867
Adobelm.exe|0459e62c5444896d5be404c559c834ba455fa5cae1689c70fc8c61bc15468681

一个合法的Adobe可执行文件,用于Hex.dll的DLL 侧加载。

Adobehelp.exe|e3e3c28f7a96906e6c30f56e8e6b013e42b5113967d6fb054c32885501dfd1b7

以前在链接到TA416的恶意RAR存档中观察到的未使用的二进制文件。

hex.dll|235752f22f1a21e18e0833fc26e1cdb4834a56ee53ec7acb8a402129329c0cdd

一个Golang二进制文件,用于解密和加载adobeupdate.dat(PlugX有效负载)。

adobeupdate.dat|afa06df5a2c33dc0bdf80bbe09dade421b3e8b5990a56246e0d7053d5668d91

加密的PlugX恶意软件有效载荷。

图1:PlugX恶意软件执行图
CEFProcessForkHandlerExMicrosoft Windows PE DLL
adobeupdate.datadobeupdate.dat45.248.87[.]162AdobelmdyU

图2:建立PlugX恶意软件注册表以实现恶意软件持久性。

TA416工具

与Golang加载程序变体不同,PlugX恶意软件有效负载与以前的版本似乎保持一致。

Avira和Recorded Future进行的历史分析表明,伪装成数据和gif文件的加密PlugX有效载荷实际上是加密的PE DLL文件。这些加密文件包含一个硬编码的XOR解密密钥,该密钥从偏移量x00开始,一直持续到读取空字节为止。在这种情况下,Golang二进制PlugX加载程序以从x00到空字节的相同方式读取加密密钥,硬编码密钥以偏移量x09结尾。这代表了反分析方法的继续使用,该方法使PlugX有效负载的执行更加复杂,并且使得对恶意软件通信的命令和控制基础设施的检测更加复杂。

图3:PlugX恶意软件解密密钥和硬编码字节序列。

图4:PlugX恶意软件字节序列和硬编码的XOR解密密钥。

解密后,生成的文件将反映PlugX恶意软件有效负载的有效PE标头。Shellcode出现在MZ标头和DOS消息之间。此shellcode的功能是将PE DLL写入RWX内存,并在文件的开头开始执行。这将为有效载荷建立入口点,防止执行恶意软件时找不到入口点。这是许多恶意软件观察到的常见技术,并不是TA416 PlugX变体独有的。此shellcode不太可能出现在合法的软件DLL中。

图5:具有有效PE标头的解密PlugX有效负载。

命令和控制基础设施

从这些PlugX恶意软件样本观察到的命令和控制通信与以前记录的版本一致。我们已成功检测到C2流量,确定了以下IP和示例命令与控制通信URL:

  • 45.248.87[.]162(ZoomEye搜索结果)

  • hxxp://45.248.87[.]162/756d1598

  • hxxp://45.248.87[.]162/9f86852b 

Anchnet Asia Limited

图6:RiskIQ数据指示TA416命令和控制服务器的活动时间。

结论

TA416的持续活动证明了攻击者正在对工具集进行更改,以便他们可以有效地开展针对全球目标的间谍活动。引入Golang PlugX加载程序以及对PlugX有效负载进行持续加密表明,该组织正在想办法躲避检测。未来,TA416将继续以外交和宗教组织为目标进行攻击活动。

IOCs

IOC IOC Type Description
930b7a798e3279b7460e30ce2f3a2deccbc252f3ca213cb022f5b7e6a25a0867 SHA256 AdobelmdyU.exe RAR Archive Containing PlugX
6a5b0cfdaf402e94f892f66a0f53e347d427be4105ab22c1a9f259238c272b60 SHA256 Adobel.exe Self Extracting RAR Archive Containing PlugX
0459e62c5444896d5be404c559c834ba455fa5cae1689c70fc8c61bc15468681 SHA256 Adobelm.exe Legitimate PE that loads Golang PlugX Loader
235752f22f1a21e18e0833fc26e1cdb4834a56ee53ec7acb8a402129329c0cdd SHA256 hex.dll Golang binary PlugX Loader
e3e3c28f7a96906e6c30f56e8e6b013e42b5113967d6fb054c32885501dfd1b7 SHA256 AdobeHelp.exe Unused PE File
afa06df5a2c33dc0bdf80bbe09dade421b3e8b5990a56246e0d7053d5668d917 SHA256 adobeupdate.dat Encrypted PlugX Payload
45.248.87[.]162(ZoomEye搜索结果) C2 IP Command and control IP
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\ Windows\CurrentVersion\Run\AdobelmdyU RegKey Registry Key that establishes PlugX malware persistence.