APT & 針對式目標攻擊
APT36 (Earth Karkaddan) 駭客集團的攻擊手法與惡意程式分析
趨勢科技分析了政治動機強烈的進階持續性滲透攻擊駭客集團 APT36 (亦稱 Earth Karkaddan) 最近的活動,並探討其所用的 CapraRAT (Android 遠端存取木馬程式) 與該集團最愛的 Windows 惡意程式 Crimson RAT 在設計上的明顯相似之處。
APT36 (亦稱 Earth Karkaddan) 是一個政治動機強烈的「進階持續性滲透攻擊」(Advanced Persistent Threat,簡稱APT攻擊) 集團,向來專門攻擊印度的軍事與外交目標。此 APT 集團有時也被稱為「Operation C-Major」、「PROJECTM」、 「Mythic Leopard」及「Transparent Tribe」,他們擅長利用社交工程與網路釣魚誘餌來入侵目標機構,成功之後然後再利用 Crimson RAT 惡意程式來竊取受害機構的資訊。
在 2021 年尾,我們看到該集團開始使用一個 Android 遠端存取木馬程式 (RAT) 叫作「CapraRAT」,其設計與該集團愛用的 Windows 惡意程式 Crimson RAT 明顯相似。兩者在函式名稱、指令與功能上都相當雷同,詳細內容請參閱我們的技術摘要報告「Earth Karkaddan APT」。
這份研究是根據趨勢科技 Smart Protection Network (SPN) 全球威脅情報網從 2020 年 1 月至 2021 年 9 月所蒐集到的資料。
深入分析 Earth Karkaddan 的最新攻擊行動
傳統上,Earth Karkaddan 入侵企業機構的方式是先利用魚叉式網路釣魚郵件以及 USB 蠕蟲,接著再將遠端存取木馬 (RAT) 程式植入系統來執行。
這些惡意郵件會使用各種不同的誘餌來誘騙受害者下載惡意程式,這些誘餌包括:偽造的政府公文、身材姣好的美女圖片,以及近期的新冠肺炎相關資訊。
受害者一旦下載了惡意文件,裡面的巨集就會解開暗藏在文字方塊中的惡意程式植入器,並儲存到預先寫死的一個路徑上將它執行。
該執行檔一旦啟動,就會解開一個名為「mdkhm.zip」的壓縮檔,然後再執行裡面一個名為「dlrarhsiva.exe」的 Crimson RAT 執行檔。
Earth Karkaddan 的攻擊行動使用 Crimson RAT 惡意程式來與其幕後操縱 (C&C) 伺服器溝通並下載其他惡意程式或將資料外傳。
根據我們的分析,Crimson RAT 惡意程式會編譯成一個 .NET 二進位檔案,僅經過輕微的加密編碼,這可能意味著該集團其實經費並不是非常充裕。
Crimson RAT 可竊取瀏覽器儲存的登入憑證、蒐集防毒軟體資訊、擷取螢幕抓圖、列出受害電腦的硬碟、處理程序與檔案目錄。我們已經看過受感染的主機如何與 Crimson RAT 的 C&C 伺服器溝通來將受害系統的資訊傳送出去,這些資訊包括:電腦名稱、作業系統版本、Crimson RAT 惡意程式在系統上的路徑。
ObliqueRat 惡意程式分析
除了 Crimson RAT 惡意程式之外,Earth Karkaddan APT 集團的攻擊行動還會用到 ObliqueRat 惡意程式。
此惡意程式通常也是經由魚叉式網路釣魚郵件和社交工程技巧來誘騙受害者下載另一個惡意文件。在最新的一起攻擊行動中,該集團假冒位於印度新德里 (New Delhi) 的地面作戰研究中心 Centre for Land Warfare Studies (CLAWS)。
收件人一旦點選連結,就會下載一個內含惡意巨集的文件,接著它會誘騙使用者啟用巨集,巨集一旦啟用,它就會下載一個暗藏 ObliqueRat 惡意程式的影像檔。
惡意文件的巨集下載了暗藏 ObliqueRAT 惡意程式的影像檔 (BMP) 之後,會先解開這個 BMP 檔,然後建立一個開機自動啟動 (Startup) 捷徑以便在開機時自動執行 ObliqueRAT 惡意程式,好讓它常駐在電腦內。
以下列出這個 ObliqueRAT 惡意程式變種可執行的後門指令:
| 指令 (5.2 版) | 資訊 |
| 0 | 系統資訊。 |
| 1 | 列出硬碟與硬碟類型。 |
| 3 | 尋找某些檔案及檔案大小。 |
| 4 | 將壓縮檔案 (zip) 回傳 (指定檔名)。 |
| 4A/4E | 將壓縮檔案 (zip) 回傳。 |
| 5 | 尋找某些檔案及檔案大小。 |
| 6 | 將某個資料夾壓縮 (zip) 並回傳給 C&C 伺服器之後將它刪除。 |
| 7 | 執行指令。 |
| 8 | 從 C&C 接收檔案。 |
| BACKED | 備份 lgb 檔案。 |
| RNM | 將檔案重新命名。 |
| TSK | 列出目前正在執行的處理程序。 |
| EXIT | 終止執行。 |
| RESTART | 重新連線至 C&C。 |
| KILL | 終止某個處理程序。 |
| AUTO | 尋找某些檔案。 |
| RHT | 刪除檔案。 |
值得注意的是,Crimson RAT 惡意程式下載文件與 ObliqueRat 惡意程式下載器連上的下載網域同一個:sharingmymedia[.]com,這表示 Earth Karkaddan APT 集團的攻擊行動會同時用到這兩種惡意程式。
CapraRAT:Earth Karkaddan 客製的 Android 遠端存取木馬程式
除了經由魚叉式網路釣魚郵件和 USB 蠕蟲入侵系統之外,Earth Karkaddan 也會使用 Android 遠端存取木馬程式 (RAT) 並經由網路釣魚連結散播。這樣的作法對該 APT 集團來說並不是什麼太新穎的手法,2018 年他們就曾經使用過一個名為「StealthAgent」的 Android 間諜程式 (趨勢科技命名為「AndroidOS_SMongo.HRX」),它會攔截使用者的來電和簡訊、追蹤使用者的定位資訊,並且竊取照片。2020 年,Earth Karkaddan 使用了一個新版的 AhMyth Android RAT 來攻擊印度的軍方與政府單位人員,偽裝成色情應用程式,並冒充該國政府的 Covid-19 追蹤程式。
我們發現該集團還使用了另一個 Android RAT,趨勢科技將它命名為「CapraRat」,它可能是從一個名為「AndroRAT」的開放原始碼 RAT 修改而來。在分析這個 Android RAT 的過程中,我們看到它有某些功能與該集團所用的 Windows 版 CrimsonRat 惡意程式相似。
我們從 2017 年開始便不斷發現 CapraRAT 的樣本,其中一個我們分析到的樣本 (SHA-256:d9979a41027fe790399edebe5ef8765f61e1eb1a4ee1d11690b4c2a0aa38ae42,趨勢科技命名為「AndroidOS_Androrat.HRXD」) 值得注意的地方是它們使用「com.example.appcode.appcode」為 APK 套件名稱,並使用了一個疑似公開的憑證「74bd7b456d9e651fc84446f65041bef1207c408d」,這可能意味著該樣本原本只是用於測試,該年開始才正式用於攻擊行動當中。
從這個惡意程式所連上的 C&C 網域「android[.]viral91[.]xyz」也可以看出該 APT 集團很可能是建立了一個子網域來專門用於 Android 惡意程式的散播與連線。因為前幾年某些 CrimsonRAT 樣本也曾透過 viral91[.]xyz 網域來散播。
![圖 14:經由 viral91[.]xyz 網域散播的 CrimsonRAT 惡意程式。](/content/dam/trendmicro/global/zh_tw/research/22/c/2/Fig22_Earth%20Karkaddan%20APT.png)
除此之外,我們也蒐集到一個網路釣魚文件 (名為「csd_car_price_list_2017」) 也與這個網域有關,並且從 2017 年便開始出現在網路上。這個檔案名稱有趣的地方在於「csd」三個字很可能是巴基斯坦「Canteen Stores Department」這家機構的縮寫,這是一家由巴基斯坦國防部所經營的機構。所以這很可能是用來引誘印度使用者開啟惡意附件的誘餌,同樣的手法也曾在 2021 年的某起攻擊中出現過。
在下載惡意應用程式之後 (可能經由某個惡意連結),使用者必須在安裝時提供權限讓 RAT 存取裝置上儲存的資訊。惡意程式可以在被入侵的裝置上執行以下動作:
- 讀取電話號碼。
- 啟動其他應用程式的安裝套件。
- 開啟相機。
- 使用麥克風進行錄音。
- 讀取獨一無二的識別碼。
- 讀取定位資訊。
- 讀取通話記錄。
- 讀取通訊錄資料。
這個 Android RAT 一旦執行,就會試圖連上它的 C&C 伺服器 (209[.]127[.]19[.]241[:]10284)。我們發現它使用的遠端桌面通訊協定 (RDP) 憑證「WIN-P9NRMH5G6M8」與先前發現的 Earth Karkaddan C&C 伺服器所使用的相同。
降低風險:如何防範 APT 攻擊?
Earth Karkaddan 從 2016 年起便不斷利用各種新奇的社交工程誘餌與檔案竊取程式來盜取資訊。使用者可養成以下資安習慣來防範 Earth Karkaddan 的攻擊:
- 在開啟不請自來或非預期的電子郵件時要格外小心,尤其是口氣聽起來很緊急的郵件。
- 留意一些惡意郵件的徵兆,例如寄件人網域看起來怪怪的,以及文法與錯字問題。
- 盡量避免點選郵件隨附的連結或下載郵件中的附件檔案,尤其是來路不明的郵件。
- 使用託管式電子郵件防護或垃圾郵件防護來攔截經由電子郵件散布的威脅 (如惡意連結)。
- 僅從信賴的來源下載應用程式。
- 小心留意應用程式要求開放的權限幅度。
- 投資一套多層式行動安全防護來保護裝置、防範網路威脅及惡意程式,甚至是資料外洩。
此外,以下資安解決方案也可幫助使用者防範經由電子郵件的攻擊:
- 趨勢科技 Cloud App Security – 藉由電腦視覺與即時掃描技術來強化 Microsoft Office 365 及其他雲端服務的安全性,並協助企業防範經由電子郵件的威脅。
- 滴滴一趨勢科技 Deep Discovery™ Email Inspector – 藉由即時掃描與進階分析技巧來偵測已知和未知的攻擊。
- 趨勢科技企業版行動安全防護 – 提供了裝置、法規遵循與應用程式的管理,以及資料防護和組態配置,並可防止裝置遭到漏洞攻擊,避免存取未經授權的應用程式,還有偵測並攔截惡意程式和詐騙網站。
- 趨勢科技行動應用程式信譽評等服務 (MARS) – 利用先進的沙盒模擬分析與機器學習(Machine learning,ML)技術來防範 Android 及 iOS 的威脅,防止使用者遭到惡意程式、零時差漏洞、已知漏洞、隱私外洩、應用程式漏洞等危害。
入侵指標資料完整的入侵指標清單請參考這份文字檔。
原文出處:Investigating APT36 or Earth Karkaddan’s Attack Chain and Malware Arsenal
