前世今生系列——BITTER,疯狂的大象

      BITTER组织,被定义为“可能”来源于印度方向的攻击,BITTER组织主要目标为巴基斯坦和中国,受害者涵盖军工武器、科研教育、电力能源、外交政府等单位。BITTER组织的命名是源于其C2通讯网络头命名的。国内厂商也将其命名为蔓灵花(360)、T-APT-17(腾讯)、苦酒(安天)。有些单位或者公司根据他们的分析或多或少地分析出了几个攻击者和IP,以下为该组织主要活动轨迹,根据这些活动轨迹仔细研磨报告,相信也能分析出一些蛛丝马迹。

事件一:

2016年10月21日,美国安全公司forcepoint发布报告称,BITTER组织使用巴基斯坦政府部门邮箱发送恶意文档(漏洞CVE-2012-0158)给其他巴基斯坦政府部门人员。以下为BITTER组织使用的恶意域名注册信息和样本PDB信息。

PDB信息

事件二:

360公司曾在2016年11月发布了《中国再次发现来自海外的黑客攻击:蔓灵花攻击行动》,攻击者使用的也是CVE-2012-0158漏洞。受害者是我国能源行业单位及政府部门。

事件三

2017年11月2日,Unit 42发布报告,称Unit 42发现了三个利用InPage程序的文档。InPage是一个文字处理程序,支持乌尔都语,波斯语,普什图语和阿拉伯语等语言。这三个InPage漏洞利用文件通过使用非常相似的shellcode进行链接,这表明这些攻击背后是同一个组织。在分析报告中指出样本Intelligence Report-561 (1).inp使用的C2实际上为BITTER组织使用(zmwardrobe.com),与事件四中C2一致。另外,另一个样本家族为CONFUCIUS_B与白象组织存在样本同源性角度存在关联信息,而CONFUCIUS_A 和CONFUCIUS_B及白象组织的活动都被认为是来源于印度的活动

CONFUCIUS与白象组织关系

事件四

2018年1月10日,RSA发布报告称发现BITTER组织新活动。C2与恶意样本wp-sig.exe 和事件三Unit 42分析的一致。使用的漏洞为CVE-2017-11882。同月,国内安全厂商360发布报告《疑似蔓灵花APT团伙钓鱼邮件攻击分析》。攻击目标为国内某敏感工业企业(猜测为武器军工单位)。不过360捕获的攻击活动未使用漏洞触发,而是构造exe图片和exe后缀DOC文档诱惑受害者点击。

事件五

2018年2月、5月,趋势科技发布报告称Confucius在南亚的网络活动和Confucius样本与白象组织样本技术上进一步的关联

事件六

2018年11月,微软发布报告称发现针对巴基斯坦的攻击,攻击者使用CVE-2017-11882漏洞利用文档,攻击被怀疑为BITTER。2018年11月29日,360威胁情报中心发布报告《蔓灵花(BITTER)APT组织使用InPage软件漏洞针对巴基斯坦的攻击及团伙关联分析》,报告指出攻击活动中的多个样本还与“摩诃草”、Bahamut和Confucius等APT组织有很强的关联性。

事件七

2018年12月,腾讯御见威胁中心发布报告,将这半年来捕获到BITTER组织活动抢在了其他厂商之前发布了出来《蔓灵花(BITTER)APT组织针对中国境内军工、核能、政府等敏感机构的最新攻击活动报告》。受害者为我国和巴基斯坦等国的政府、军工业、电力、核等单位。御见威胁中心对发现的样本与趋势科技、UNIT42等厂商发布的报告做了对比分析,发现样本之间存在同源关系。

PDB信息

最后说几句

BITTER组织这两年比较活跃,截止本稿完成,还发现其C2在创建,样本在分发。在样本角度和受害者等角度定义为印度发起的攻击未尝不可,相信各家安全厂商都有一些相对证据证明攻击来源的确为印度。这两年大家比较关注威胁情报和APT攻击,但是国内发布的APT攻击报告实际上是个样本分析报告, 缺少溯源分析及取证部分。18年下半年报告中多了些同源分析已经实属可贵。希望圈内能够燃气溯源分析的气氛。

参考报告

  1. https://www.forcepoint.com/blog/security-labs/bitter-targeted-attack-against-pakistan
  2. https://www.anquanke.com/post/id/84910
  3. https://www.freebuf.com/articles/paper/120002.html
  4. https://unit42.paloaltonetworks.com/unit42-recent-inpage-exploits-lead-multiple-malware-families/
  5. https://unit42.paloaltonetworks.com/unit42-confucius-says-malware-families-get-further-by-abusing-legitimate-websites/
  6. https://community.rsa.com/community/products/netwitness/blog/2018/01/10/malspam-delivers-bitter-rat-07-01-2018
  7. https://ti.360.net/blog/articles/analysis-of-apt-campaign-bitter/
  8. https://blog.trendmicro.com/trendlabs-security-intelligence/deciphering-confucius-cyberespionage-operations/
  9. https://blog.trendmicro.com/trendlabs-security-intelligence/confucius-update-new-tools-and-techniques-further-connections-with-patchwork/
  10. https://documents.trendmicro.com/assets/appendix-confucius-update-new-tools-techniques-connections-patchwork-updated.pdf
  11. https://www.freebuf.com/column/190783.html
  12. https://mp.weixin.qq.com/s/xzkRQPomoxWEsxddacWFvQ
  13. https://www.freebuf.com/articles/database/192726.html

发表评论

电子邮件地址不会被公开。 必填项已用*标注