APT36 (Earth Karkaddan) 駭客集團的攻擊手法與惡意程式分析

趨勢科技分析了政治動機強烈的進階持續性滲透攻擊駭客集團 APT36 (亦稱 Earth Karkaddan) 最近的活動,並探討其所用的 CapraRAT (Android 遠端存取木馬程式) 與該集團最愛的 Windows 惡意程式 Crimson RAT 在設計上的明顯相似之處。

APT36 (亦稱 Earth Karkaddan) 是一個政治動機強烈的「進階持續性滲透攻擊」(Advanced Persistent Threat,簡稱APT攻擊) 集團,向來專門攻擊印度的軍事與外交目標。此 APT 集團有時也被稱為「Operation C-Major」、「PROJECTM」、 「Mythic Leopard」及「Transparent Tribe」,他們擅長利用社交工程與網路釣魚誘餌來入侵目標機構,成功之後然後再利用 Crimson RAT 惡意程式來竊取受害機構的資訊。

在 2021 年尾,我們看到該集團開始使用一個 Android 遠端存取木馬程式 (RAT) 叫作「CapraRAT」,其設計與該集團愛用的 Windows 惡意程式 Crimson RAT 明顯相似。兩者在函式名稱、指令與功能上都相當雷同,詳細內容請參閱我們的技術摘要報告「Earth Karkaddan APT」。

這份研究是根據趨勢科技 Smart Protection Network (SPN) 全球威脅情報網從 2020 年 1 月至 2021 年 9 月所蒐集到的資料。

深入分析 Earth Karkaddan 的最新攻擊行動


傳統上,Earth Karkaddan 入侵企業機構的方式是先利用魚叉式網路釣魚郵件以及 USB 蠕蟲,接著再將遠端存取木馬 (RAT) 程式植入系統來執行。

Figure 1. Earth Karkaddan’s attack chain

圖 1:Earth Karkaddan 的攻擊流程。

這些惡意郵件會使用各種不同的誘餌來誘騙受害者下載惡意程式,這些誘餌包括:偽造的政府公文、身材姣好的美女圖片,以及近期的新冠肺炎相關資訊。 

Figure 2. An example of a fake government-related spear-phishing email
圖 2:假冒政府名義發送的魚叉式網路釣魚郵件範例。


Figure 3. An example of a coronavirus-related spear-phishing email attachment

圖 3:新冠肺炎病毒相關的魚叉式網路釣魚郵件範例。

受害者一旦下載了惡意文件,裡面的巨集就會解開暗藏在文字方塊中的惡意程式植入器,並儲存到預先寫死的一個路徑上將它執行。

Figure 4. Malicious macro that decrypts an executable hidden inside a text box
圖 4:惡意巨集解開隱藏在文字方塊內的執行檔。


Figure 5. Examples of encrypted Crimson RAT executables hidden inside text boxes
圖 5:隱藏在文字方塊內的加密後 Crimson RAT 執行檔範例。


該執行檔一旦啟動,就會解開一個名為「mdkhm.zip」的壓縮檔,然後再執行裡面一個名為「dlrarhsiva.exe」的 Crimson RAT 執行檔。

Figure 6. The dlrarhsiva.exe Crimson RAT executable
圖 6:名為「dlrarhsiva.exe」的 Crimson RAT 執行檔。


Earth Karkaddan 的攻擊行動使用 Crimson RAT 惡意程式來與其幕後操縱 (C&C) 伺服器溝通並下載其他惡意程式或將資料外傳。

根據我們的分析,Crimson RAT 惡意程式會編譯成一個 .NET 二進位檔案,僅經過輕微的加密編碼,這可能意味著該集團其實經費並不是非常充裕。

Figure 7. A list of minimally obfuscated commands, function names, and variables from a Crimson RAT malware sample
圖 7:某 Crimson RAT 惡意程式樣本經過輕微加密編碼後的一些指令、函式與變數。


Crimson RAT 可竊取瀏覽器儲存的登入憑證、蒐集防毒軟體資訊、擷取螢幕抓圖、列出受害電腦的硬碟、處理程序與檔案目錄。我們已經看過受感染的主機如何與 Crimson RAT 的 C&C 伺服器溝通來將受害系統的資訊傳送出去,這些資訊包括:電腦名稱、作業系統版本、Crimson RAT 惡意程式在系統上的路徑。

Figure 8. Network traffic from a Crimson RAT malware sample
圖 8:Crimson RAT 惡意程式樣本的網路流量。


 

ObliqueRat 惡意程式分析

 除了 Crimson RAT 惡意程式之外,Earth Karkaddan APT 集團的攻擊行動還會用到 ObliqueRat 惡意程式

此惡意程式通常也是經由魚叉式網路釣魚郵件和社交工程技巧來誘騙受害者下載另一個惡意文件。在最新的一起攻擊行動中,該集團假冒位於印度新德里 (New Delhi) 的地面作戰研究中心 Centre for Land Warfare Studies (CLAWS)。

Figure 9. Initial spear-phishing document with a link to another malicious document
圖 9:最初的魚叉式網路釣魚文件內含一個連結至另一個惡意文件。


收件人一旦點選連結,就會下載一個內含惡意巨集的文件,接著它會誘騙使用者啟用巨集,巨集一旦啟用,它就會下載一個暗藏 ObliqueRat 惡意程式的影像檔。

Figure 10. The downloaded "1More-details.doc" contains malicious macros that will download and execute the ObliqueRat malware in a victim’s machine

圖 10:惡意郵件下載的「1More-details.doc」內含惡意巨集會進一步下載 ObliqueRat 惡意程式到受害電腦上執行。

惡意文件的巨集下載了暗藏 ObliqueRAT 惡意程式的影像檔 (BMP) 之後,會先解開這個 BMP 檔,然後建立一個開機自動啟動 (Startup) 捷徑以便在開機時自動執行 ObliqueRAT 惡意程式,好讓它常駐在電腦內。

Figure 11. Malicious macro codes will download, decode, and execute the ObliqueRat malware
圖 11:惡意巨集會下載、解開並執行 ObliqueRat 惡意程式。


Figure 12. ObliqueRat attack chain
圖 12 摘要顯示 ObliqueRat 惡意程式的感染程序

以下列出這個 ObliqueRAT 惡意程式變種可執行的後門指令:

指令 (5.2 版)資訊
0系統資訊。
1列出硬碟與硬碟類型。
3尋找某些檔案及檔案大小。
4將壓縮檔案 (zip) 回傳 (指定檔名)。
4A/4E將壓縮檔案 (zip) 回傳。
5尋找某些檔案及檔案大小。
6將某個資料夾壓縮 (zip) 並回傳給 C&C 伺服器之後將它刪除。
7執行指令。
8從 C&C 接收檔案。
BACKED備份 lgb 檔案。
RNM將檔案重新命名。
TSK列出目前正在執行的處理程序。
EXIT終止執行。
RESTART重新連線至 C&C。
KILL終止某個處理程序。
AUTO尋找某些檔案。
RHT刪除檔案。

值得注意的是,Crimson RAT 惡意程式下載文件與 ObliqueRat 惡意程式下載器連上的下載網域同一個:sharingmymedia[.]com,這表示 Earth Karkaddan APT 集團的攻擊行動會同時用到這兩種惡意程式。

Figure 13. Crimson RAT and ObliqueRat spear-phishing email attachments that feature the same download domain
圖 13:Crimson RAT 和 ObliqueRat 魚叉式網路釣魚郵件附件都連上同一個下載網域。

 

CapraRAT:Earth Karkaddan 客製的 Android 遠端存取木馬程式


除了經由魚叉式網路釣魚郵件和 USB 蠕蟲入侵系統之外,Earth Karkaddan 也會使用 Android 遠端存取木馬程式 (RAT) 並經由網路釣魚連結散播。這樣的作法對該 APT 集團來說並不是什麼太新穎的手法,2018 年他們就曾經使用過一個名為「StealthAgent」的 Android 間諜程式 (趨勢科技命名為「AndroidOS_SMongo.HRX」),它會攔截使用者的來電和簡訊、追蹤使用者的定位資訊,並且竊取照片。2020 年,Earth Karkaddan 使用了一個新版的 AhMyth Android RAT 來攻擊印度的軍方與政府單位人員,偽裝成色情應用程式,並冒充該國政府的 Covid-19 追蹤程式。

我們發現該集團還使用了另一個 Android RAT,趨勢科技將它命名為「CapraRat」,它可能是從一個名為「AndroRAT」的開放原始碼 RAT 修改而來。在分析這個 Android RAT 的過程中,我們看到它有某些功能與該集團所用的 Windows 版 CrimsonRat 惡意程式相似。

我們從 2017 年開始便不斷發現 CapraRAT 的樣本,其中一個我們分析到的樣本 (SHA-256:d9979a41027fe790399edebe5ef8765f61e1eb1a4ee1d11690b4c2a0aa38ae42,趨勢科技命名為「AndroidOS_Androrat.HRXD」) 值得注意的地方是它們使用「com.example.appcode.appcode」為 APK 套件名稱,並使用了一個疑似公開的憑證「74bd7b456d9e651fc84446f65041bef1207c408d」,這可能意味著該樣本原本只是用於測試,該年開始才正式用於攻擊行動當中。

從這個惡意程式所連上的 C&C 網域「android[.]viral91[.]xyz」也可以看出該 APT 集團很可能是建立了一個子網域來專門用於 Android 惡意程式的散播與連線。因為前幾年某些 CrimsonRAT 樣本也曾透過 viral91[.]xyz 網域來散播。

Figure 14. CrimsonRAT malware hosted in viral91[.]xyz
圖 14:經由 viral91[.]xyz 網域散播的 CrimsonRAT 惡意程式。

除此之外,我們也蒐集到一個網路釣魚文件 (名為「csd_car_price_list_2017」) 也與這個網域有關,並且從 2017 年便開始出現在網路上。這個檔案名稱有趣的地方在於「csd」三個字很可能是巴基斯坦「Canteen Stores Department」這家機構的縮寫,這是一家由巴基斯坦國防部所經營的機構。所以這很可能是用來引誘印度使用者開啟惡意附件的誘餌,同樣的手法也曾在 2021 年的某起攻擊中出現過。

在下載惡意應用程式之後 (可能經由某個惡意連結),使用者必須在安裝時提供權限讓 RAT 存取裝置上儲存的資訊。惡意程式可以在被入侵的裝置上執行以下動作:

  • 讀取電話號碼。
  • 啟動其他應用程式的安裝套件。
  • 開啟相機。
  • 使用麥克風進行錄音。
  • 讀取獨一無二的識別碼。
  • 讀取定位資訊。
  • 讀取通話記錄。
  • 讀取通訊錄資料。

這個 Android RAT 一旦執行,就會試圖連上它的 C&C 伺服器 (209[.]127[.]19[.]241[:]10284)。我們發現它使用的遠端桌面通訊協定 (RDP) 憑證「WIN-P9NRMH5G6M8」與先前發現的 Earth Karkaddan C&C 伺服器所使用的相同。

Figure 15. Decompiled code from CapraRAT connecting to its C&C server
圖 15:CapraRAT 反組譯後的程式碼:連上 C&C 伺服器。

Figure 16. CapraRAT config showing its C&C server and port information
圖 16:CapraRAT 組態設定裡面有它的 C&C 伺服器位址與連接埠資訊。

Figure 17. Backdoor commands found in CapraRAT
圖 17:CapraRAT 的後門指令。

這個 APK 檔案還能夠在裝置上植入 mp4 或 APK 檔案 (從「asset」目錄)。

Figure 18. CapraRAT APK file drops an mp4 file
圖 18:CapraRAT APK 檔案在裝置上植入一個 mp4 檔案。

此外這個 RAT 還具備常駐能力,可讓應用程式隨時保持運作。它每分鐘會檢查一次自己的服務是否仍在執行,如果沒有,就會再次將它啟動。

Figure 19. CapraRAT’s persistence mechanism
圖 19:CapraRAT 的常駐機制。

降低風險:如何防範 APT 攻擊?

Earth Karkaddan 從 2016 年起便不斷利用各種新奇的社交工程誘餌與檔案竊取程式來盜取資訊。使用者可養成以下資安習慣來防範 Earth Karkaddan 的攻擊:

  • 在開啟不請自來或非預期的電子郵件時要格外小心,尤其是口氣聽起來很緊急的郵件。
  • 留意一些惡意郵件的徵兆,例如寄件人網域看起來怪怪的,以及文法與錯字問題。
  • 盡量避免點選郵件隨附的連結或下載郵件中的附件檔案,尤其是來路不明的郵件。
  • 使用託管式電子郵件防護或垃圾郵件防護來攔截經由電子郵件散布的威脅 (如惡意連結)。
  • 僅從信賴的來源下載應用程式。
  • 小心留意應用程式要求開放的權限幅度。
  • 投資一套多層式行動安全防護來保護裝置、防範網路威脅及惡意程式,甚至是資料外洩。

此外,以下資安解決方案也可幫助使用者防範經由電子郵件的攻擊:

入侵指標資料

完整的入侵指標清單請參考這份文字檔

原文出處:Investigating APT36 or Earth Karkaddan’s Attack Chain and Malware Arsenal