背景

　　近期，奇安信安全能力中心捕获到针对特定单位群体展开的定向攻击活动，通过分析发现其为“蔓灵花”APT组织。该组织最早在2016由美国安全公司Forcepoint进行了披露，并且命名为“BITTER”。

　　蔓灵花（T-APT-17、BITTER）APT组织是一个长期针对亚洲地区进行攻击活动的APT组织。主要针对目标区域的政府、军工业、电力、核工业等单位进行攻击，试图窃取敏感数据。

　　攻击活动分析

　　1、攻击方式

　　该组织主要采用鱼叉钓鱼的方式，对相关目标单位的个人直接发送嵌入了攻击诱饵的钓鱼邮件。本次攻击行动中使用的诱饵为rar压缩包，而压缩包里携带恶意的chm文档。本次捕获的攻击样本为“主要指标情况说明。chm”后，整体的攻击流程如下图所示：

　　2、功能模块汇总

　　样本分析

　　msixxxx.tmp为msiexec.exe从网络下载的msi安装包产生的临时文件，该程序实际上为Advanced Installer安装程序中附带的文件，17.2.0.0版本的该程序带有数字签名，文件的数字签名信息如下：

　　带有数字签名的白程序，可以实现执行任意命令，将要执行的命令和该文件一起打包为msi格式的安装包，再通过msiexec.exe下载安装，即可实现远程命令执行，完整的攻击命令如下：

　　通过这种方式下载的模块汇总：

　　对http[:]//webmailcgwip.com/目标进行分析，其所关联的载荷能力可能为msass、msapp、dlhost和msas。

　　dlhost

　　该文件的主要功能窃取数据，根据配置信息，会将特定后缀的文件上传到72.11.134.216服务器，特定的后缀列表为：

　　neat（键盘记录模块的记录文件使用的扩展名），txt，ppt，pptx，pdf，doc，docx，xls，xlsx，zip，z7，rtf.txt，apk，jpg，jpeg，logins.json，key3.db。

　　包含了浏览器密码，办公文档，压缩包，图像，手机应用等软件敏感数据。

　　敏感文件上传，火狐浏览器相关的文件。

　　msapp模块

　　该模块由msiexec下载执行，执行了以下cmd命令后就退出，功能为通过MSI安装程序进行远程加载执行链接给定的MSI文件。

　　msass 模块

　　msass负责与c2进行通信获取其他模块执行，解密后的配置信息如下：

　　获取主机名、计算机名、操作系统名、机器GUID并发送到c2。

　　接收控制指令，从中搜索Yes file，如果找到Yes file 则继续从其后搜索[] 标志，提取其中的字符。

　　将提取到的字符拼接到url后边，同时也拼接到木马所在目录后边，拼接出的url处下载文件到木马目录，随后将其重命名为。exe结尾的文件名，最后调用ShellExecuteA执行，完成下载执行功能。

　　msas 模块

　　msas是一个开源项目 DarkAgent进行修改的远控模块，保留了该开源项目的大部分功能，如：文件管理、进程管理、命令执行。下面是样本中的远控与 DarkAgent的差异：

　　IOC

　　C2

　　MD5

　　PDB:

　　总结

　　蔓灵花组织长期针对我国重要政企部门和敏感单位进行定向攻击。虽然国内外各安全厂商都曾对其攻击活动有过披露，但却并未阻止其进行攻击的步伐。

　　提醒国内相关企业和单位务必引起重视，提高警惕，加强自身安全防御措施，减少不必要的损失。

　　目前，基于奇安信天擎终端一体化管理系统能针对此APT攻击团伙做出精准检测与拦截。