南亚APT Bitter 4月攻击样本捕获及分析

背景概述

本周NDR团队通过流量分析捕获了南亚Bitter组织对某国的最新攻击样本。

Bitter简介

Bitter APT团伙,又称HangOver、VICEROY TIGER、The Dropping Elephant、Patchwork,是一个来自于南亚地区的境外APT组织,该团伙已持续活跃了超过8年时间。“Bitter”最早由Norman安全公司于2013年曝光,该组织主要针对亚洲地区和国家进行网络间谍活动,主要攻击领域为政府军事机构、科研教育等

样本分析

本次捕获样本为Bitter最新的窃取信息的木马

首先加载两个字符串,Upld_test(窗口类名)\UPLD_TEST(窗口名称),创建Windws窗口。

%title插图%num

%title插图%num

成功创建后执行后续操作

创建一个名为“errors.”的信号量对象

%title插图%num

获取主机信息生成标识

错误日志保存路径

%title插图%num

获取Username&ComputerName&WindowsVersion

%title插图%num

拼接获取的信息

拼接内容为:

ComputerName _Username_WindowsVersion_errlog

%title插图%num

%title插图%num

程序会尝试读取%appdata%目录下Microsoft\Windows\SendTo\error文件

%title插图%num

窃密模块

分别向服务端发送近5日、15日、两个月、半年、一年的数据

%title插图%num

遍历所有逻辑磁盘文件

排除路径

:\Program Files (x86)

:\Program Files

:\ProgramData

Local\Temp

C:\$Recycle.Bin

:\Users\All Users

C:\Boot

Windows\Temporary Internet Files

AppData\Local

.开头

..开头

窃取以下后缀文件

.zip

.rar

.doc

.docx

.xls

.xlsx

.ppt

.txt

.jpg

.jpeg

.bmp

.pdf

.neat

.eln

.ppi

.err

.erq

.azr

%title插图%num

发送内容拼接如下

%title插图%num

%title插图%num

数据包如下

%title插图%num

%title插图%num

%title插图%num

发送完后判断远程服务器数据是否包含“00 O”(用于判断服务端是否为 200 OK)

如果是则将信息写入指定文件

%title插图%num

IOC

svc2mcxwave.net

ade9a4ee3acbb0e6b42fb57f118dbd6b

193.142.58.186

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
大佬不来一句? 抢沙发

请登录后发表评论