自冠状病毒成为全球卫生问题以来,人们对政府和卫生部门提供更多信息和指导的渴望达到了狂热程度。这是一个威胁演员的金色机会为了利用恐惧,传播错误信息,并产生大规模歇斯底里 - 全部,同时损害骗局或恶意软件运动的受害者。

从全球健康问题中获利,自然灾害对于网络罪犯来说,其他极端天气事件并不是什么新鲜事。与SARS有关的诈骗,H1N1(猪流感)禽流感已经在网上流传了十多年。根据来自ZDNet的报告,许多国家赞助的威胁演员已经开始分发冠状病毒诱饵,包括:

  • 中国APTS:恶毒熊猫,野马熊猫
  • 朝鲜APTs: Kimsuky
  • 俄罗斯APTS:哈迪斯集团(相信与APT28的关系),TA542(Emotet
  • 其他APTs: Sweed (Lokibot)

最近,红滴团队报道APT36正在使用诱饵健康咨询文件来传播远程管理工具(RAT)。

APT36被认为是巴基斯坦国家支持的主要针对印度国防、大使馆和政府的威胁。APT36执行网络间谍行动,目的是从印度收集敏感信息,以支持巴基斯坦的军事和外交利益。这个团体自2016年开始活跃,也被称为透明的部落,Projectm,Mythic Leopard和Temp.lapis。

APT36传播假冠状病毒健康咨询

APT36主要依赖于两者鱼叉式网络钓鱼和浇水孔攻击,以获得其脚跟在受害者身上。网络钓鱼电子邮件是恶意宏文档或RTF文件利用漏洞,例如CVE-2017-0199。

在冠状病毒主题攻击中,APT36使用了一个矛网络钓鱼电子邮件,其中包含了伪装成的恶意文件(图1)作为印度政府(电子邮件.gov.in.maildrive [。]电子邮件/?ATT = 1579160420).

图1:包含恶意宏代码的钓鱼文档

我们查看了之前与此APT相关的网络钓鱼活动,可以确认这是来自该组的一种新的网络钓鱼模式。用于目录和函数的名称很可能是乌尔都语名称。

恶意文档有两个隐藏的宏,它们删除名为Crimson RAT的RAT变体。恶意宏(图2)首先创建名称为“Edlacar”和“Uahaiws”的两个目录,然后检查操作系统类型。

图2:恶意宏

根据操作系统类型,宏选择zip格式的RAT有效负载的32位或64位版本,存储在UserForm1中的两个文本框之一(图3)。

图3:ZIP格式的嵌入有效载荷

然后,它将zip有效负载放入Uahaiws目录,并使用“UnAldizip”函数解压缩其内容,将RAT有效负载放入Edlacar目录。最后,它调用Shell函数来执行有效负载。

深红色的老鼠

Crimson RAT是用。net编写的(图4),它的功能包括:

  • 从受害者的浏览器中窃取凭据
  • 列出受害者机器上正在运行的进程、驱动器和目录
  • 从其C&C服务器中检索文件
  • 使用自定义TCP协议进行C&C通信
  • 收集防病毒软件信息
  • 捕获截图
图4:Crimson RAT

在运行有效载荷时,Crimson RAT连接到其硬编码的C&C IP地址,并将有关受害者的收集的信息发送回服务器,包括运行进程及其ID,机器主机名及其用户名的列表(图5)。

图5:TCP通讯

持续使用老鼠

APT36在过去使用了许多不同的恶意软件家族,但大多部署了RAT软件,如BreachRAT、DarkComet、Luminosity RAT和njRAT。

在过去的运动中,他们能够损害印度军事和政府数据库,以窃取敏感数据,包括陆军战略和培训文件,战术文件和其他官方信件。他们还能够窃取个人数据,例如护照扫描和个人识别文件,短信和联系方式。

防止老鼠

虽然大多数普通用户不必担心民族国家的攻击,但想要防范这种威胁的组织应该考虑使用端点保护系统端点检测和响应利用拦截和实时恶意软件检测。

通过将所有软件(包括Microsoft Excel和Word)对漏洞利用攻击保持最新盾牌来处理漏洞。此外,培训员工和用户避免从未招待的来源打开Coronavirus资源可以防止这种情况和其他社会工程攻击从演员的威胁。

必威平台APPMalwarebytes用户受到保护免受此次攻击。我们通过应用程序行为保护层和实时恶意软件检测阻止恶意宏执行以及其有效载荷。

妥协指标

诱饵的url

电子邮件.gov.in.maildrive [。]电子邮件/?ATT = 1579160420
电子邮件.gov.in.maildrive [。]电子邮件/?ATT = 1581914657

诱饵文件

876939AA0AA157AA2581B74DDFC4CF03893CEDE542ADE22A2D9AC70E2FEF1656
20 da161f0174d2867d2a296d4e2a8ebd2f0c513165de6f2a6f455abcecf78f2a

深红色的老鼠

0EEE399769A6E6E6D444A819FF0CA564AE584760BABA93EFF766926B1EFFE0010 B67D764C981A298FA2BB14CA7FAFFC68C30AD34380AD8A92911B2350104E748

C2S.

107.175.64(。205年]209 64.188.25 []

主教法冠ATT&CK

https://attack.mitre.org/software/S0115/