APT组织在AndroidWindowsLinux系统部署新型组件披露

　　大家好，我是老李。今天老李给大家分享一个APT组织，其编号为APT-C-56，中文名透明部落。据了解，此组织是 一个具有政府背景的高级持续性威胁组织，其长期针对周边国家和地区的军队和政府机构实施定向攻击，目的是收集各类情报。
　　近期，360烽火实验室与360高级威胁研究院在追踪一起针对印度的移动端攻击活动中发现了分别针对Android系统和Windows系统、Linux系统的新型攻击工具，通过分析本次攻击活动的攻击手法和攻击对象，以及对Windows系统攻击工具进行溯源关联，我们将本次攻击活动归因于透明部落组织。
　　在本次攻击活动中，透明部落组织使用伪装成印度国家奖学金门户、印度陆军福利教育学会等的钓鱼页面窃取特定用户信息。同时借助Android和Windows、Linux三个系统的新型攻击工具进行信息窃取活动，其中Windows系统包括两个版本。  一、攻击活动分析1.攻击流程分析
　　我们将攻击活动按照平台类型分为两类，一类是针对移动端的攻击活动，另一类是针对PC端的攻击活动。
　　在移动端上，攻击者使用钓鱼网站进行载荷投递，投递的载荷属于新型的Android RAT样本，样本除了具备RAT的功能外，在运行时会通过加载钓鱼页面窃取用户ID信息。
　　图1 移动端流程
　　在PC端上，攻击者首先使用和移动端类似的钓鱼页面诱导用户输入ID信息，然后向用户投递Windows系统、Linux系统的新型数据泄露工具，进而进行数据窃取活动。
　　图2 PC端流程  2.载荷投递分析
　　本次攻击活动中，两个平台均使用了钓鱼网站进行样本的投递。Android样本的投递使用了伪装成印度国家奖学金门户的钓鱼网站。钓鱼网站打开后会弹出＂重要提示＂提示框，诱导用户下载ScholarshipPortal.apk安装包文件，该文件即为Android系统新型RAT工具。
　　图3 虚假印度国家奖学金门户网站
　　PC端样本的投递使用了伪装成印度陆军福利教育学会的钓鱼网站。该钓鱼网站打开后和伪装成印度国家奖学金门户的钓鱼网站类似，同样会弹出一个＂重要提示＂提示框，不同的是用户点击后会进入一个提交Studient ID的钓鱼页面，提交ID后会出现三个文件下载的按钮，下载的文件对应该组织新开发的Windows系统LimePad组件以及Linux系统的波塞冬组件。
　　图4 虚假印度陆军福利教育学会网站
　　图5 投递PC端样本  3.攻击样本分析Android系统
　　针对Android系统的攻击样本属于新型的RAT家族，我们将其命名为RlmRat，之前虽有厂商进行过披露，但是并没有提到家族的归属。本次发现的该家族样本通过伪装成奖学金门户应用进行传播，基本信息如下：
　　样本MD5
　　B155C5B5E34FE9A74952ED84D6986B48
　　包名
　　com.example.batman
　　应用名
　　Scholarship Portal
　　下载地址
　　https://www.govscholarships[.]in/ScholarshipPortal.apk
　　样本运行后会使用WebView加载hxxps://govscholarships[.]in/cfm.php页面，该页面会收集用户Student ID信息，输入Student ID并点击提交，页面会向该钓鱼地址发送GET请求＂https://govscholarships.in/cfm.php?search=【Student ID】&submit=＂从而泄露用户信息。
　　图6 样本运行截图
　　图7 加载钓鱼页面的代码
　　该家族样本常使用Pastebin服务来获取真实的C&C地址，如果无法从Pastebin获取C&C，它会选择硬编码的地址。但是，本次分析的样本没有使用Pastebin服务，而是直接使用的硬编码的IP地址。
　　图8 使用硬编码的IP地址
　　样本具备远控功能，可以从受害者的设备中窃取敏感数据，例如联系人、通话记录、短信、位置、外部存储中的文件、录制音频等。恶意包结构和相关功能如下：
　　图9 恶意包结构
　　指令对照表：
　　指令
　　功能
　　y#0T5$, f%R7!2, Nw39Jf, 8$R%j1
　　获取文件目录
　　j*7e@4, i1$r@5, v^3w%2, u6%y@1
　　拍照
　　bx$@81, u4Q&0#
　　搜索文件
　　5w$I!7, 9$g1E@
　　获取文件
　　D%r6t*
　　获取短信
　　s%7n@2
　　获取联系人
　　i*g4#3
　　获取通话记录
　　O@y7J&
　　录音
　　1^R$4t
　　获取WhatsApp文件
　　*%12gT
　　获取位置信息
　　Windows系统
　　从钓鱼网站我们分别下载到了Windows、Linux两个系统的样本，可以看出透明部落针对多平台的攻击能力。下面我们逐一分析各个平台的相关功能。
　　Windows系统样本由Python脚本编写，用PyInstaller编译并打包的恶意二进制文件保存在VHDX格式中的，我们发现的VHDX文件大于60MB。
　　Windows系统的RAT包含两个版本，一个版本文件保存在VHDX格式中，一个版本的样本由压缩包保护，破解压缩包密码后我们发现两个版本的代码基本相同，主要区别是对于RAT的命名不同，以及使用C&C不同，我们的分析以VHDX版本进行。
　　图10 VHDX版本的RAT
　　图11 RAR版本的RAT
　　打包的Python脚本被命名为LimePad，后门主要的功能是窃取中招用户机器上的指定后缀名文件，它通过Sqlite数据库记录、同步窃取文件的列表，数据库中的字段保存了上传、修改文件的最新时间记录，确保所有重要文件都被及时、有效的上传。
　　LimePad进行初始化：
　　通过controls文件中保存的配置信息初始化：
　　字段
　　含义
　　VERSION
　　0.1-18
　　版本号
　　STARTDATA
　　StartupLimepads
　　通过启动项持久化
　　ROOTDATA
　　APPDATALimepads
　　USERFILE
　　Limepads.db
　　本地 SQLite 数据库的名称
　　LOGFILE
　　Limepads.log
　　TEMP_UPLOAD_FOLDER
　　APPDATALimepadstup
　　LOCKDOORS  ＂URL=file:///＂ + sys.executable
　　互联网快捷方式
　　DOORS
　　＂.dll＂, ＂.url＂
　　Windows URL 快捷方式
　　SERVERS
　　142.93.212.219
　　DUSSEN
　　696E646961
　　包含india字符串的十六进制编码，用于判断时区
　　SERVER_PUBKEY
　　-
　　-
　　随后与C&C通信判断C&C是否依然可用：
　　向服务器上的bind.php页面发送GET请求。判断服务器是否运行：
　　将用户名和密码向服务器上的页面information.php发送POST请求：
　　将文件发送到C&C的指定页面adjustfile.php：
　　上传文件之前，文件匹配规则还会先筛除一些无用的后缀名文件以及隐藏文件：
　　针对HOME、FIXED和REMOVABLE驱动器配置了一组不同的文件扩展名规则，用来上传文件。上传的文件包括文档格式、电子邮件本地数据库（DBX）和各种AutoCAD绘图文件和计算机辅助设计矢量图（DWG、DXF）。
　　SYNC_RULES_CONFIG
　　*.pdf
　　*.txt
　　*.doc*
　　*.xls*
　　*.ppt*
　　*.mdb*
　　*.dwg
　　*.dxf
　　*.dbx
　　操作Sqlite数据库对文件记录进行保存同步：
　　数据库的字段同样保存在controls中配置：
　　数据库字段
　　含义
　　PATH
　　路径
　　FILENAME
　　名称
　　SIZE
　　大小
　　STATE
　　状态
　　MODIFIED
　　修改时间
　　CREATED
　　创建时间
　　QUEUEPRIORITY
　　队列
　　DEFERTILL
　　-
　　RPATH
　　-
　　Linux系统
　　此次我们新发现Linux系统的样本，同样是由python脚本编写，用PyInstaller编译并打包的恶意二进制文件。这疑似是透明部落首次开始针对Linux系统开发新型武器库组件。
　　针对Linux系统，首先打开钓鱼网站的confirmationID.pdf文件，伪装成印度陆军福利教育学会的id生成页面，欺骗用户。
　　图12 伪装文档
　　随后创建share目录，创建mycron文件夹作为log日志，周期性的记录登录名。
　　从恶意网站下载bosshelp文件并运行。下载后的bosshelp文件是开源渗透框架神话的二进制组件。
　　其在神话框架的波塞冬组件上增加了xgb库来与Linux协议进行通信。
　　组件的主要功能如下：
　　功能列表
　　屏幕捕获
　　键盘记录
　　上传和下载文件
　　持久保存
　　记录击键
　　注入
　　截屏
　　远程管理
　　二、基础设施分析
　　在我们分析钓鱼网站过程中，发现了一些或许能够证明透明部落组织真实归属的线索，现进行披露，仅供安全研究人员参考。
　　域名
　　注册厂商
　　注册日期
　　解析IP
　　GOVSCHOLARSHIPS.IN
　　NameSilo, LLC
　　2022-09-28
　　153.92.220.48
　　AWESAPS.IN
　　NameSilo, LLC
　　2022-09-19
　　153.92.220.48
　　移动端和PC端的钓鱼网站域名解析的IP地址均为153.92.220[.]48，且两个域名的注册商均是NameSilo, LLC，钓鱼网站证书的有效期都只有三个月。通过这些信息的启发，我们依据153.92.220[.]48这个IP地址，在排除一些噪点后发现了一批可疑的域名。
　　可疑域名汇总：
　　域名
　　注册厂商
　　注册日期
　　KAVACH-APPS.COM
　　NameSilo, LLC
　　2022-08-06
　　KSBOARD.IN
　　NameSilo, LLC
　　2022-08-18
　　DESW.IN
　　NameSilo, LLC
　　2022-07-27
　　RODRA.IN
　　NameSilo, LLC
　　2022-08-18
　　KAVACH-APP.IN
　　NameSilo, LLC
　　2021-12-13
　　SUPREMO-PORTAL.IN
　　NameSilo, LLC
　　2021-11-08
　　CSD-INDIA.IN
　　NameSilo, LLC
　　2022-02-15
　　KAVACH-MAIL.IN
　　NameSilo, LLC
　　2022-04-18
　　RSIPUNE.IN
　　NameSilo, LLC
　　2021-12-29
　　WELLINGTONGYMKHANACLUB.IN
　　NameSilo, LLC
　　2021-11-26
　　通过对抓取的可疑域名进行相关扩线分析，我们将域名分为四组：  1.针对印度进行的信息窃取攻击
　　域名
　　注册厂商
　　注册日期
　　KAVACH-APPS.COM
　　NameSilo, LLC
　　2022-08-06
　　KSBOARD.IN
　　NameSilo, LLC
　　2022-08-18
　　DESW.IN
　　NameSilo, LLC
　　2022-07-27
　　RODRA.IN
　　NameSilo, LLC
　　2022-08-18
　　通过查询开源情报，我们得知这四个域名涉及到2022年发生的一起攻击者对印度进行的旨在窃取敏感信息的攻击活动。攻击者使用钓鱼网站收集印度国防人员的信息，这种做法和本次透明部落组织通过钓鱼页面收集Student ID信息的做法有很大的相似性。  2.透明部落组织Windows系统攻击活动
　　域名
　　注册厂商
　　注册日期
　　KAVACH-APP.IN
　　NameSilo, LLC
　　2021-12-13
　　SUPREMO-PORTAL.IN
　　NameSilo, LLC
　　2021-11-08
　　kavach-app[.]in域名属于透明部落组织的已知网络资产，曾在公开报告中被披露。
　　supremo-portal[.]in域名也曾被安全人员以推文的形式披露，需要注意的是，透明部落组织和SideCopy组织具有很强的关联性，两者可能属于同一组织或有较大关联。
　　图13 开源情报  3.透明部落组织的多平台钓鱼攻击活动
　　域名
　　注册厂商
　　注册日期
　　伪装对象
　　WELLINGTONGYMKHANACLUB.IN
　　NameSilo, LLC
　　2021-11-26
　　https://wellingtongymkhanaclub.co.in/（为驻扎在惠灵顿的驻军提供娱乐和放松的俱乐部）
　　Wellingtongymkhanaclub[.]in域名伪装成印度惠灵顿健身俱乐部官网，该俱乐部为驻扎在惠灵顿的驻军提供娱乐和放松等服务。
　　此钓鱼网站打开后的形式和本次发现的分别针对移动和PC端的钓鱼网站相似，也是弹出＂重要提示＂提示框，点击后会进入一个提交会员号的钓鱼页面。因此该域名也应该属于本次透明部落组织的多平台钓鱼攻击活动。
　　图14 虚假惠灵顿健身俱乐部网站
　　图15 钓鱼页面  4.其它疑似钓鱼域名
　　域名
　　注册厂商
　　注册日期
　　伪装对象
　　CSD-INDIA.IN
　　NameSilo, LLC
　　2022-02-15
　　https://csdindia.gov.in/（食堂商店部是印度政府下属的国防部组织）
　　KAVACH-MAIL.IN
　　NameSilo, LLC
　　2022-04-18
　　https://kavach.mail.gov.in（Kavach为用户访问其政府电子邮件服务提供双重身份验证）
　　RSIPUNE.IN
　　NameSilo, LLC
　　2021-12-29
　　https://www.rsipune.org/（浦那的Rajendra Sinhji军队会议和研究所(RSAMI)）
　　这些域名虽然没有样本与之关联，也没有开源情报记录，但是其伪装的对象极具针对性，全部都是针对的印度政府和军队相关人员。  三、归属研判
　　能够将本次同时针对多个平台的新型攻击活动归属于透明部落组织，主要有两个方面的原因。首先主要是基于对Windows系统相关攻击样本的分析溯源。其次是基于对攻击者使用的攻击手法和攻击对象以及基础设施的分析。
　　2022年11月3日，国外安全厂商Zscaler披露了APT-C-56（透明部落）使用新的TTPs和新工具来瞄准印度政府组织。其报告中分析的新工具和我们本次捕获的Windows系统相关攻击工具均为LimePad组件，且应该属于同一起攻击事件。
　　图16 Zscaler披露的LimePad组件
　　图17 本次发现的LimePad组件
　　在本次攻击活动中攻击者使用钓鱼网站对印度军方人员实施定向攻击，其攻击手法和攻击对象均和透明部落组织相符。并且钓鱼网站的域名解析的IP地址也曾被透明部落历史攻击活动中使用的域名解析过。综合以上信息，我们将本次攻击活动归属于透明部落组织。  四、总结
　　透明部落组织一直是南亚地区比较活跃的APT组织，其主要针对印度军事人员、政府人员进行定向攻击。本次发现的针对多个平台的攻击活动，均使用了新型的攻击工具，且擅长利用钓鱼网站，说明了他们的攻击武器库在不断更新，攻击平台在逐渐增加，网络资产也在不断增加。
　　附录 IOC
　　Android：
　　b155c5b5e34fe9a74952ed84d6986b48
　　173.249.38.99:3617
　　https://govscholarships.in/cfm.php
　　https://www.govscholarships.in
　　https://www.govscholarships.in/ScholarshipPortal.apk
　　PC：
　　61dcf97244ab770fec9688cd11f3ddff
　　3a142299eb85e60c0e52d34068d605ca
　　548a0309e5fa3fc1beb83e68a70aaa45
　　ac3f2c8563846134bb42cb050813eac8
　　dc79801505b3663cd157ffbe53b0678b
　　142.93.212.219
　　139.59.23.88
　　https://www.awesaps.in/cfm.php
　　https://www.awesaps.in/confirmationslip.zip
　　https://www.awesaps.in/Confirmation_ID.rar
　　https://www.awesaps.in/Confirmation_id.vhdx
　　参考
　　1)https://blog.cyble.com/2022/01/28/indian-army-personnel-face-remote-aC&Cess-trojan-attacks/
　　2)https://infosecwriteups.com/operational-methodologies-of-cyber-terrorist-organization-transparent-tribe-3389bdc1db3e
　　3)https://cloudsek.com/whitepapers_reports/malicious-clones-of-indian-army-apps-used-in-espionage-campaign-targeting-army-personnel/
　　4)https://www.manavmitra.co.in/?p=16188
　　5)https://www.pyabhaskar.co.in/local/gujarat/ahmedabad/news/after-the-partition-of-india-pakistan-the-family-stayed-in-pakistan-the-young-man-joined-hands-with-the-isi-to-meet-the-family-130369978.html
　　6)https://ahmedabadmirror.com/alleged-spy-got-people-pak-visas-via-diplomatic-contact/81845617.html
　　7)https://www.secrss.com/articles/39368
　　8)https://blog.talosintelligence.com/2022/03/transparent-tribe-new-campaign.html
　　9)https://mobile.twitter.com/JVPv5sIM3eFmGyi/status/1547480724806447104
　　10)https://www.zscaler.com/blogs/security-research/apt-36-uses-new-ttps-and-new-tools-target-indian-governmental-organizations