Lotus Panda Apt IOCs

security IOC

NAIKON - это название APT (Advanced Persistent Threat), которая, как считается, происходит из Китая. Впервые хакерская группа Naikon была обнаружена более десяти лет назад, в 2010 году. APT Naikon попала в заголовки газет в 2015 году, когда исследователи вредоносного ПО обнаружили инфраструктуру, используемую киберпреступниками. Благодаря этому один из членов хакерской группы был пойман правоохранительными органами. После этого аналитики по кибербезопасности предположили, что Naikon APT вышла из бизнеса. Однако в последние недели Naikon всплыла вновь.

Геолокализация и сектора, на которые были направлены кибератаки Naikon, могут свидетельствовать о том, что они намереваются стратегически покуситься на членов АСЕАН, таких как Бруней, Камбоджа, Индонезия, Лаос, Малайзия, Мьянма, Филиппины, Сингапур, Таиланд и Вьетнам. Из-за их более капиталистической экономической модели и партнерских отношений с Западом, эти страны, вероятно, обладают важной и секретной внешней или военной информацией, которая может быть получена и использована китайским агентом угроз. Фактически, группа сосредоточила свои предыдущие атаки на высокопоставленных целях, таких как правительственные учреждения и военные организации в регионе Южной Азии. Большинство правительственных организаций, ставших мишенью киберпреступников из Naikon APT, обычно работают в сфере иностранных дел или науки и технологий. Некоторые государственные предприятия и компании, по сообщениям, также стали объектами атак этого агента угроз.

Наблюдая за хакерским арсеналом Naikon APT, можно сделать вывод, что эта группа склонна проводить долгосрочные разведывательные и шпионские операции, что типично для группы, целью которой являются атаки на иностранные правительства и должностных лиц. Чтобы избежать обнаружения и максимизировать результат, она со временем меняет различные ТТП и инструменты.

Lotus Panda

Атака начинается с фишингового письма, содержащего документ с оружием. Файл, написанный на китайском языке, кажется ответом на объявление о тендере. Его название на английском языке звучит так: "Tender Documents for Centralized Procurement of Web Application Firewall (WAF) Equipment of China Mobile from 2022 to 2024д".

Документ Office содержит две различные полезные нагрузки, которые скрыты как свойства документа. При открытии документа код VBA макроса извлекает встроенные данные из свойств Comments и Subject и записывает их в файловую систему.

Файлы записываются в папки "%Temp%\rad543C7.tmp.ini" и "%Temp%\rad543C7.tmp.exe". Код VBA прост и короток и не имеет следов какой-либо обфускации. Созданный INI-файл содержит полезную нагрузку, закодированную в виде шестнадцатеричной строки.

Файл rad543C7.tmp.exe - это артефакт, уже известный сообществу с прошлого года и получивший название HexINI. Это небольшой исполняемый файл, который действует как загрузчик для шеллкода. Его название происходит от его свойства быть загрузчиком для шеллкода в шестнадцатеричной кодировке, сохраненного в виде INI-файла в той же папке. Таким образом, и в данном конкретном случае конечный код содержится в том же файле загрузчика, rad543C7.tmp.ini.

На рисунке показано ядро загрузчика HexINI. Он просто открывает и считывает INI-файл с помощью функций fopen и fread, затем преобразует шестнадцатеричную строку в массив

После выполнения шеллкода происходит создание приостановленного процесса svchost.exe, который может внедрить последний маяк.

Механизм инъекции использует классический поток, состоящий из функций VirtualAllocEx, WriteProcessMemory и CreateRemoteThreadEx WinApi.

Этот удаленный поток, похоже, является своего рода HTTP-маяком, который пытается получить новые команды для выполнения каждые 7899 миллисекунд с сайта https://175.27.164.228:57784/NYMLEDfq/IOH9E0Nq2YMEVQVXZgqYUAOI5wWcN5LMe.

Маяк внедряет следующий пользовательский агент:

Маяк встраивает следующий User-Agent:

Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, как Gecko) Chrome/58.0.3029.110 Safari/537.36

Это соответствует Google Chrome v58 на Windows 7.

На первый взгляд, код этого артефакта может показаться похожим на маяк CobaltStrike, но данный маяк происходит от менее популярного фреймворка RedTeam, известного как Viper.

В ходе анализа была обнаружена часть арсенала APT-группы Naikon. Можно утверждать, что эта китайская группа использует такие инструменты с открытым исходным кодом, как Viper и ARL (Asset Reconnaissance Lighthouse). Оба инструмента, похоже, были разработаны китайским программистом, так как большая часть их документации написана на мандаринском языке.

Viper [https://github.com/FunnyWolf/Viper]

Viper - это графический инструмент проникновения, который модулирует и вооружает тактику и технологии, обычно используемые в процессе проникновения в Интранет. Как указано на его странице Github, Viper объединяет 80+ модулей, охватывающих почти все известные техники (такие как разработка ресурсов, первоначальный доступ, исполнение, сохранение и т.д.).

Как и CobaltStrike, Viper позволяет легко генерировать полезную нагрузку, такую как Meterpreter, ReverseShell и другие пользовательские маяки.

ARL [https://github.com/TophantTechnology/ARL]

ARL (Asset Reconnaissance Lighthouse) - это инструмент, помогающий команде безопасности проводить разведку и поиск активов, обнаруживая существующие слабые места и поверхности атаки.

Инструмент имеет множество функциональных возможностей, таких как сканирование портов и идентификация служб, отпечатки пальцев веб-сайтов, обнаружение активов по доменным именам и так далее.

Indicators Of Compromise

IPv4

  • 175.27.164.228

URLs

  • https://175.27.164.228:57784/NYMLEDfq/IOH9E0Nq2YMEVQVXZgqYUAOI5wWcN5LMe

SHA256

  • 05936ed2436f57237e7773d3b6095e8df46821a62da49985c98be34136594ebd
  • 8b831ee82975d43456ee861115272d3923e17f07a702eb057feeed8ce76ff4ca
  • ee50160fdd7cacb7d250f83c48efa55ae0479e47a1eece9c08fe387453b9492a
  • eeb5dc51e3828ffbefc290dc1a973c5afc89ba7ff43ab337d5a3b3dc6ca4216f
Добавить комментарий