透明部落组织利用印度美女为诱饵的攻击样本分

blog

透明部落组织利用印度美女为诱饵的攻击样本分

概述

透明部落(Transparent Tribe ),别名APT36,ProjectM,C-Major,据称具有南亚背景,主要针对周边国家政治军事进行定向攻击活动,专属木马为CrimsonRAT。

免费在线沙箱anyrun(app.any.run)对于穷人来说是个发现有趣样本的好地方,其提供了一些标签搜索,且可免费下载样本,十分方便。

近期,在anyrun上搜索透明部落组织专属木马的家族名Crimson,发现了一例有有意思的攻击样本,该样本将图标设置为印度美女,诱导受害者点击查看,当受害者贪图美色点击执行之后,恶意的Crimson远控将被执行起来,并会向受害者展示一张穿衣服的印度美女图片,唉,透明部落怎么点都不透明。

样本分析

样本信息

MD5 2af7237d253756cfd794441637b5b12f
样本来源 https://app.any.run/tasks/b7291124-f573-49ce-81ad-0b5c652764a8/
样本家族 Crimson RAT
样本图标

样本是.net的,dnspy搞一搞

运行后,首先判断系统位数,根据不同的操作系统从对应的地方获取相同的数据

之后将对应的数据释放到C:\ProgramData\Healths\mdhxme.zip,再解压该文件到C:\ProgramData\Healths\idtnwiuras.exe并执行起来

之后再从资源中获取数据写入图片文件,向受害者展示印度美女图片

释放的木马执行后,首先初始化相关配置

木马硬编码端口如下:

之后获取计算机系统名,用户名以及硬编码的“S.A.0.3|idtnwiuras”作为该样本的标识,用于后续与c2通信

获取ip作为c2,尝试连接

从c2获取命令,进入命令分发,执行对应功能

该样本功能齐全,基本具有远控木马所有功能,例如获取进程信息

运行指定文件

截屏并上传

结束指定进程

获取计算机信息

指令对应功能如下

命令 功能
htintn-gtavprcs 获取进程信息
htintn-thurmb 上传指定图片
htintn-purtsrt 执行指定文件
htintn-filsz 获取指定文件信息
htintn-rupth 上传指定文件
htintn-procl 获取进程信息
htintn-dowf 下载文件
htintn-cscreen 截屏
htintn-scrsz 设置截屏参数
htintn-scren 截图
htintn-endpo 结束指定进程
htintn-dirs 获取磁盘目录信息
htintn-stops 结束当前进程
htintn-fles 查找文件
htintn-udlt 删除用户
htintn-dowr 下载文件
htintn-file 上传指定文件
htintn-fldr 获取文件夹目录
htintn-cnls        参数初始化
htintn-delt 删除指定文件
htintn-afile 上传文件以及文件名
htintn-runf 执行指定文件
htintn-listf 文件搜索
htintn-info 获取计算机信息

与透明部落的关联

释放执行的马是透明部落独有的木马Crimson RAT

通过公开的一些威胁数据平台搜索其c2: 107.175.1.103,发现已有透明部落相关标识

Ioc

2af7237d253756cfd794441637b5b12f

107.175.1.103:3268

标签:
分类: