概述 Promethium又被称为蓝色魔眼、StrongPity,该APT组织在年被微软披露并命名为Promethium,其最早的攻击活动可以追溯到年。该组织主要针对意大利、土耳其、比利时、叙利亚、欧洲等地区和国家进行攻击活动。 该组织曾在早期攻击活动中使用0day漏洞,后被披露针对目标用户进行水坑攻击:伪装成用户常用的合法软件或仿冒相关应用官方网站等,从伪装成WinRAR、TrueCrypt、Opera浏览器等软件,逐步扩展到伪装成TeamViewer、WhatsApp等应用软件。同时该组织还曾被发现一些ISP级别的网络劫持攻击活动迹象。 Promethium在年5月针对土耳其受害者实施攻击,其与Neodymium组织存在部分相似性,包括重叠的攻击目标和攻击活动中所使用的代码特征[1]。 近日,奇安信威胁情报中心红雨滴团队在日常的威胁狩猎中捕获了该组织伪装成常用文本编辑器Notepad++安装包进行情报刺探的攻击活样本,本次攻击活动的特点如下: 此次攻击活动的初始阶段仍为水坑攻击,此次攻击样本内嵌Notepad++签名的最新软件安装包,并使用Notepad++安装包图标伪装自身; 注册为服务实现持久化; 使用突破会话隔离的技术创建进程; 通过隐藏窗口实现键盘记录器,提高隐蔽性。 样本信息 本次捕获的样本伪装为NotePad++安装包,该伪装具有很强的迷惑性,其基本信息如下: 文件名 setup.exe MD5 a2fc01c40f64f11c76ef26ec3ff 文件格式 Win32EXE 样本图标 伪装NotePad++安装包的文件属性: 样本执行后将解密释放并执行NotePad++安装包,该安装包的签名日期为年10月15日,版本为8.1.7.0,说明Promethium组织善于利用常用软件进行水坑攻击,软件新版本一发布就被加以利用。 随后执行正常的安装程序,从而迷惑受害者。 详细分析 该样本首先获取自身资源中的数据进行解密。 使用异或来解密资源数据的算法。Dropper1 通过局部变量来控制循环次数,首次循环获取受害者的Temp目录,释放并执行解密后的NotePad++安装包。 释放的文件信息如下: 文件名 npp.8.1.7.Installer.x64.exe MD5 AA1E09AEEDECEEF4D 文件大小 bytes 文件格式 Win32EXE 文件描述 白文件,携带合法正规签名 Dropper2 获取系统system32目录,在下面释放winpickr.exe,并使用update参数进行启动。 该样本基本信息如下: 文件名 winpickr.exe MD5 CFDF5FCFEC 文件大小 bytes 文件格式 Win32EXE 样本首先判断启动参数是否为update,是则创建服务名为PickerSrv,服务描述为FilePickerUIServer的服务。这里携带参数的好处是,如果winpickr.exe在沙箱中隔离执行的话,由于沙箱不会携带参数,则不会创建服务,样本不会有任何动态行为。 然后退出进程,由母体Dropper1来启动服务,进而调用服务主函数ServiceMain_D07,服务主函数主要功能为创建两个线程。 线程1 该线程首先解密出C2: C2 |