背景概述
本周NDR团队通过流量分析捕获了南亚Bitter组织对某国的最新攻击样本。
Bitter简介
Bitter APT团伙,又称HangOver、VICEROY TIGER、The Dropping Elephant、Patchwork,是一个来自于南亚地区的境外APT组织,该团伙已持续活跃了超过8年时间。“Bitter”最早由Norman安全公司于2013年曝光,该组织主要针对亚洲地区和国家进行网络间谍活动,主要攻击领域为政府军事机构、科研教育等。
样本分析
本次捕获样本为Bitter最新的窃取信息的木马
首先加载两个字符串,Upld_test(窗口类名)\UPLD_TEST(窗口名称),创建Windws窗口。
成功创建后执行后续操作
创建一个名为“errors.”的信号量对象
获取主机信息生成标识
错误日志保存路径
获取Username&ComputerName&WindowsVersion
拼接获取的信息
拼接内容为:
ComputerName _Username_WindowsVersion_errlog
程序会尝试读取%appdata%目录下Microsoft\Windows\SendTo\error文件,如果文件大于0x4C4B40则写入“ ”(空格)
窃密模块
分别向服务端发送近5日、15日、两个月、半年、一年的数据
遍历所有逻辑磁盘文件
排除路径
|:\Program Files (x86) |
|:\Program Files |
|:\ProgramData |
|Local\Temp |
|C:\$Recycle.Bin |
|:\Users\All Users |
|C:\Boot |
|Windows\Temporary Internet Files |
|AppData\Local |
|.开头 |
|..开头 |
窃取以下后缀文件
|.zip |
|.rar |
|.doc |
|.docx |
|.xls |
|.xlsx |
|.ppt |
|.txt |
|.jpg |
|.jpeg |
|.bmp |
|.pdf |
|.neat |
|.eln |
|.ppi |
|.err |
|.erq |
|.azr |
发送内容拼接如下
数据包如下
发送完后判断远程服务器数据是否包含“00 O”(用于判断服务端是否为 200 OK)
如果是则将信息写入指定文件
IOC
svc2mcxwave.net
ade9a4ee3acbb0e6b42fb57f118dbd6b
193.142.58.186
