概述

Mustang Panda 是CrowStrike最早披露的一个APT攻击组织,这个组织主要使用的后门是PlugX,CobaltStrike。因为PlugX被人溯源到是一个中国人开发的。所以很多安全公司发现有使用了PlugX了的攻击,就宣称这些攻击来自于中国。

Palo Alt one network的Unit42 Team在Virus Bulletin 2019年会上发表了一篇名为”Pulling the PKPLUG: the Adversary Playbook for the long-standing espionage activity of a Chinese nation state adversary”的报告,报告中没有任何直接证据的指控一些攻击行为来自于中国国家资助的APT组织。它们的唯一的判断依据是攻击者使用了PlugX。Anomali公司在自己的安全年会上也发布一篇名为”China-Based APT Mustang Panda Targets Minority Groups, Public and Private Sector Organizations”的报告。这篇报告声称来自中国的APT组织,攻击了德国,越南,蒙古,缅甸,巴基斯坦等国家。unit42 Team和Anomali公司分析的样本基本上是一样的。

近期我们又发现了类似的样本,在溯源的过程中找到了一个越南的安全公司的博客。在这个博客里,作者提到了他分析的一个样本,样本是针对越南的一个省政府。这个博客的作者后来发现,这个省政府最近做了一次信息安全的培训并且把演练的内容公布了出来。博客作者提到的样本,我们也发现了。经过关联,我们发现不少类似的邮件,这些邮件都是用于信息安全培训的。我们还在样本的PDB路径中发现了一个越南人的名字,这些信息证明了所谓的Mustang Panda的攻击是一场乌龙,国外安全厂商只不过是见猎心喜而已。

样本分析

邮件的内容:

这个封邮件的主题是说由于疫情的原因,9月份和10月份的工资和社保现在补发。邮件的附件是一个名字为”824_BHXHV0002.pdf.zip”的压缩包。打开之后里面实际上是一个lnk文件(MD5: d8fa9b6e4ffd02fd3006e505f7368ea7)。这个lnk包含一个HTA文件:

点击lnk文件后就会触发恶意代码的执行,HTA会释放一个名称为”TEMP\3.ps1”的powershell 文件:

释放出来的PDF文件的内容如下:

释放的zBcga.exe是使用C#编写,在dnspy看到如下内容:

这个样本是某个版本的njRat,接着我们找到了它的C&C服务器:

103.68.251.102 是一个越南的IP,位置是越南岘港。

溯源分析

我们在上面的Lnk文件中发现了一个MachineId字段,字段的值是win-egbvi09sep9。这个字段代表了生成lnk文件的PC的名字。根据这个名字我们进行了搜索,然后发现有人怀疑类似的样本可能使用的是模板或者是越南CERT的测试用例。

然后我们分析了推特上提到的样本,发现攻击流程和我们分析的完全一致。只是这个样本弹出一个计算器。显然这是一个测试用例。并且这个文件是在VirusTotal上显示上传者的国家是越南。

我们发现2020年初的时候,越南的安全厂商viettel cyber security发布了一篇博客,报告的名字是”Mustang Panda – một case dở khóc dở cười”,翻译过来就是”Mustang Panda---一个非常有意思的案例”[4]。在博客中作者提到,CrowStrike的印度员工联系了他,声称来自中国的Mustang Panda APT组织攻击了越南政府。作者感到奇怪的是邮件是针对越南的一个中南部的省份。作者分析完后,回到家突然想起来那个省份最近做了一次信息安全的培训并且公布了细节。他确信分析的样本就是那次培训中用到的。作者也提及了他们在工作中也多次发现了安全培训中用到的样本。

我们找到了越南那个省的公告[6],其中演练的背景如下:

这段话翻译过来就是:广义省XYZ机构发生一起网络信息安全事件,现在该部门向广义省信息通讯部提出协助故障排除和追踪溯源的请求。基本信息是:名称为ABC的官员使用的电子邮件是vanphong@quangngai.gov.vn,收到了一个名为Nguyen Thanh Tra的人,地址是nttra@actvn.edu.vn的邮件。邮件的主题是”求职者简历”。这个官员查看了这封邮件。目前XYZ网络里发现了一些可疑的连接。

包含nttra@actvn.edu.vn 这个邮件地址的邮件,我们共发现了三个。这三封邮件的内容完全一样,只是收信人不一样。其中一封邮件中就包含广义省的公告中提到的收件人:

我们判断这封邮件就是广义省信息安全培训中用到的邮件。我们发现这个邮件中的样本和我们前面分析邮件中的样本的攻击流程完全一样。并且和前面的越南的那家安全公司分析的样本是一样的。这个邮件的附件的payload也是njRat, C&C服务器是103.68.251.31,是一个越南的IP。另外两封邮件如下:

点击收藏 | 0 关注 | 1
  • 动动手指,沙发就是你的了!
登录 后跟帖