一、背景和主要发现

Transparent Tribe（又称为PROJECTM和MYTHIC LEOPARD），是一个高产出的恶意组织，其活动最早可以追溯到2013年。Proofpoint在2016年发表了一篇有关该恶意组织的文章，自当时起，我们就一直关注这一恶意组织。在APT威胁情报报告中，我们向订阅该服务的用户定期报告恶意组织的活动，在过去的四年之中，这个APT组织从未休息。他们持续对目标进行攻击，通常是针对印度军方和政府人员。

多年来，该恶意组织的TTP始终保持一致，该恶意组织持续使用特定的工具，为特定的恶意活动创建了新程序。恶意组织最常用的感染媒介是带有嵌入式宏的恶意文档，这些宏似乎是由自定义的生成器生成的。

他们主要使用的恶意软件是自定义的.NET RAT（称为Crimson RAT），但是多年来，我们还观察到了其他自定义.NET恶意软件和基于Python的PAT（Peppy）的使用。

在过去的一年中，我们看到该恶意组织正在演变，其恶意活动不断加强，并开始进行大规模的感染活动。此外，他们还开发了新的工具，并且将目标扩大到阿富汗地区。

本系列文章共分为两篇，在上篇文章中，我们将分享对Transparent Tribe恶意组织的调查结果。我们的主要发现包括：

1、我们发现了Crimson服务器端组件，这是Transparent Tribe用来管理受感染主机并开展间谍活动的C2。该工具证实了我们对Crimson RAT的大部分观察结论，并帮助我们进一步了解攻击者。

2、Transparent Tribe持续传播Crimson RAT，感染了以印度和阿富汗为首多个国家的大量受害者。

3、USBWorm组件是真实存在的，并且已经在数百台主机上检测到该组件。研究人员在几年前就发现了这一恶意软件的存在迹象，但是此前没有对其进行过分析。

二、Crimson服务器端分析

Crimson是Transparent Tribe从事间谍活动的主要工具。该工具由各种组件组成，攻击者使用这些组件在受感染的计算机上执行多种活动，包括：

1、管理远程文件系统；

2、上传或下载文件；

3、截图；

4、使用麦克风进行音频监控；

5、记录摄像头设备的视频流；

6、窃取可移动媒体中的文件；

7、执行任意命令；

8、记录击键；

9、窃取保存在浏览器中的密码；

10、通过感染可移动媒体实现传播。

在分析过程中，发现了一个.NET文件，该文件被识别为Crimson RAT，但经过仔细观察后，发现该文件的不同之处，这是一个攻击者用于管理客户端组件的服务器端植入工具。

我们发现了两个不同的服务器端版本，一个是我们命名为“A”的版本，分别在2017年、2018年和2019年进行编译，其中包括用于安装USBWorm组件并在远程计算机上执行命令的功能。我们命名为“B”的版本则是在2018年和2019年底进行编译。两个版本的存在证明了恶意软件目前仍然在开发中，APT组织正在努力增强其功能。

通过分析.NET二进制文件，我们可以建立可用环境，并与此前在受害者计算机上检测到的样本进行通信。

2.1 Crimson服务器端版本A

2.1.1 主面板

第一个窗口是主面板，其中列举了受感染主机的列表，并显示有关受害者系统的基本信息。

服务器主面板：

使用远程IP地址作为输入内容，利用合法网站检索地理位置信息。服务器使用的URL是：

http://ip-api.com/xml/ < ip >

在最上方，有一个工具栏，可以用于管理服务器，或者在指定的主机上进行某些操作。在最下方，有一个输出控制台，其中包含服务器在后台执行的操作列表，例如显示已接收和已发送命令的信息。

服务器会使用在名为“settings”的类中指定的嵌入式配置信息进行配置。

嵌入式配置示例：

在“settings”类中，包含每个恶意软件组件使用的TCP端口、默认文件名和安装路径。该服务器不包含用于构建其他组件的任何功能。它们需要被手动放置在特定的预先定义好的文件夹中。例如，根据上图显示的配置，“msclient”必须放置在“.\tmps\rfaiwaus.exe”中。

这样，我们就得出结论，服务器文件是由另一个构建器生成的，该构建器创建了可执行文件、目录以及应用程序使用的其他文件。

2.1.2 Bot面板

主要功能可以通过“Bot Panel”访问，该界面包括12个选项卡，可以用于管理远程系统和收集信息。

更新模块

第一个选项卡用于检查客户端配置、上传Crimson组件并在远程系统上执行这些组件。

更新模块标签：

Crimson框架由7个客户端组件组成：

1、简版客户端：一个用于识别受害者的简版RAT。简版客户端是最常见的客户端，通常会在分发Transparent Tribe的感染过程中投递，并且最常见于OSINT资源。其中包含数量有限的功能，通常可以用于：

（1）收集有关受感染系统的信息；

（2）收集截图；

（3）管理远程文件系统；

（4）下载和上传文件；

（5）获取进程列表；

（6）执行文件。

2、完整版客户端：功能齐全的完整版RAT。它可以处理所有简版客户端的功能，同时还可以用于：

（1）安装其他恶意软件组件；

（2）捕获网络摄像头图像；

（3）使用计算机麦克风进行窃听；

（4）向受害者发送消息；

（5）用COMSPEC执行命令并接收输出。

3、USB驱动程序：一个USB模块组件。用于从连接到受感染系统的可移动驱动器中窃取文件。

4、USB蠕虫：USB蠕虫组件用于从可移动驱动器中窃取文件，并感染可移动介质，使恶意软件在系统间传播，恶意软件将从远程Crimson服务器下载并执行简版客户端组件。

5、凭据窃取程序：窃取存储在Chrome、Firefox和Opera浏览器中的凭据。

6、键盘记录程序：用于记录键盘输入的恶意软件。

7、移除工具：该组件无法使用“更新模块选项卡”获取到，但是可以使用“删除用户”按钮将其自动上传到受感染的计算机上。遗憾的是，我们没能得到这个组件，也无法对其进行描述。

值得关注的是，Transparent Tribe试图通过特定服务器配置来阻止某些厂商的安全工具，以防止在安装卡巴斯基产品的系统上安装某些恶意软件组件，特别是其中的“USB驱动程序”和“凭据窃取程序”。此外，也会阻止在安装了ESET防护产品的系统上安装“凭据窃取程序”。

阻止在安装卡巴斯基产品的系统上安装某些组件的代码段：

文件管理器和自动下载选项卡

通过文件管理器，攻击者可以浏览远程文件系统、执行程序、下载/上传/删除文件。

文件管理器选项卡：

大多数按钮的功能都非常直观，其中需要特别说明的是“USB Drive”和“Delete USB”，是用于访问USB驱动程序和USB蠕虫组件所窃取的数据。另一个“Auto File Download”将会打开另一个窗口，也可以通过倒数第二个选项卡进行访问。该功能允许攻击者配置在感染主机上要搜索的文件，对结果进行过滤，并上传这些文件。

自动下载标签：

屏幕和网络摄像头监控选项卡

屏幕监控选项卡：

网络摄像头监控选项卡：

这些选项卡用于管理两个简单而强大的功能。第一个选项卡用于监视远程屏幕，查看用户在系统上正在做什么。第二个可以用于监视远程网络摄像头，并进行视频监控。攻击者可以检索单个屏幕截图，也可以启动一个循环，让恶意程序不断将屏幕截图发送到服务器，从而生成各种实时流。攻击者还可以将RAT组件配置为在远程系统上记录图像。

其他选项卡

其他选项卡用于管理以下功能：

1、音频监控：恶意软件使用NAudio库与麦克风进行交互并管理音频流。该库存储在服务器端，使用特殊命令推送到受害者的计算机上。

2、发送消息：攻击者可以向受害者发送消息。恶意软件将使用标准的消息框显示这条消息。

3、键盘记录器：收集键盘数据。日志包括受害者使用的进程名称和键盘输入。攻击者可以保存数据或清除远程缓存。

4、密码记录器：该恶意软件包含窃取浏览器凭据的功能，特定组件会枚举保存在各种浏览器中的凭据信息。对于每一条凭据，它将保存网站URL、用户名和密码。

5、进程管理器：攻击者可以获得特定进程的列表，并使用特定的按钮将其终止。

6、命令执行：该选项卡允许攻击者在远程计算机上执行任意命令。

2.2 Crimson服务器端版本B

另一个版本与先前的版本非常相似。最明显的区别在于，这个B版本的图形用户界面与A版本不同。

版本B的主工具栏：

在升级选项卡中，缺少“升级USB蠕虫”，这表明该版本不提供USB蠕虫的功能。

版本B的更新模块选项卡：

该版本不会阻止在安装卡巴斯基产品的系统上安装某些组件，并且不包含“命令执行”选项卡。在原来的位置，我们看到了另一个选项卡，它用于保存对受感染主机的注释。

注释信息：

三、USB蠕虫

2019年1月，我们在调查Transparent Tribe的一项恶意活动的过程中，发现他们分发了Crimson恶意软件。攻击过程源于一份恶意的Microsoft Office文档，攻击者使用鱼叉式网络钓鱼电子邮件的方式将其发送给受害者。

针对印度实体的诱饵文件：

这些文档通常都嵌入了恶意VBA代码，有时还会使用密码进行保护，该文档会投放一个编码后的ZIP文件，其中包含恶意Payload。

包含编码Payload的用户表单：

恶意宏将ZIP文件投放到%ALLUSERPROFILE%的新建目录下，并在相同位置解压缩文件。目录的名称可能会不同，具体取决于不同样本：

    %ALLUSERSPROFILE%\Media-List\tbvrarthsa.zip
    %ALLUSERSPROFILE%\Media-List\tbvrarthsa.exe

VBA代码片段：

其中的可执行文件是Crimson的简版客户端，攻击者可以使用它来获取有关受感染主机的基本信息、收集屏幕截图、操纵文件系统、下载/上传任意文件。

在分析过程中，我们注意到一个与Crimson C2服务器连接的有趣示例。该示例与多次检测有关，所有这些检测都使用不同的文件名，并且其中大多数是从可移动设备生成的。

我们观察到的一个文件路径名称组合是“C:\ProgramData\Dacr\macrse.exe”，它同时也在Crimson完整版客户端样本中进行了配置，用于在调用usbwrm命令时保存从C2接收的Payload。

USBWorm文件构建函数：

我们得出结论，这个样本就是Proofpoint在分析恶意软件时提到的USBWorm组件。

根据先前的研究，我们知道该RAT能够部署一个模块来感染USB设备，但是此前从来没有公开的研究细节。

3.1 USB蠕虫分析

分析表明，USB蠕虫不仅仅是用于感染USB的工具。实际上，攻击者还可以利用它进行以下操作：

1、下载并执行Crimson简版客户端；

2、复制USB蠕虫自身，并使用副本感染可移动设备；

3、从可移动设备窃取感兴趣的文件（类似USB窃取工具）。

默认情况下，该程序可以作为下载程序、感染程序和USB窃取程序。通常该组件是由Crimson完整版客户端安装，在启动时会检查其执行路径是否为嵌入式配置中指定的执行路径，以及系统是否已经感染了Crimson客户端组件。如果满足上述条件，则开始监视可移动媒体，并且对于每种可移动媒体，恶意软件都会尝试感染设备并窃取感兴趣的文件。

感染过程将列出所有目录。然后针对每个目录，会使用相同的目录名称在驱动器根目录下创建其自身的副本，并将目录属性更改为“隐藏”。这将导致所有实际目录都被隐藏，然后再将恶意软件的副本修改为相同目录名。

此外，USB蠕虫使用仿冒Windows目录的图标，在试图访问目录时诱导用户执行恶意软件。

USB蠕虫图标：

这个简单的技巧在默认的Windows环境中非常有效，在默认情况下，文件扩展名不会显示，隐藏的文件也是不可见的。受害者在每次尝试访问目录时都会执行蠕虫。此外，该恶意软件不会删除真实的目录，并会在启动时执行explorer.exe，并提供隐藏目录路径作为其参数。该命令将会打开用户期望的资源管理器窗口。

使用默认Windows设置查看受感染的可移动媒体：

在设置了显示隐藏文件、显示文件扩展名后，再查看受感染的可移动媒体：

在数据窃取过程中，列出了设备上存储的所有文件，并复制了特定扩展名（与预定义列表匹配）的文件。这些扩展名包括：.pdf、.doc、.docx、.xls、.xlsx、.ppt、.pptx、.pps、.ppsx、.txt。

一旦发现文件扩展名与上述列表匹配，则会检查是否已经窃取了相同名称的文件。在恶意软件的文本文件中，包含窃取文件的列表，该文件储存在恶意软件目录下，文件名预先嵌入在恶意软件的配置之中。

当然，这种方法有一些问题，因为如果蠕虫找到两个具有相同名称的不同文件，它实际上只会窃取第一个文件。如果新发现的文件名称不在窃取文件的列表之中，那么文件将从USB复制到通常名为“data”或“udata”的本地目录中，实际目录名称可能会有所不同。

如果蠕虫是从可移动媒体上执行的，那么其行为特征就有所不同。在这种情况下，它会检查系统上是否正在运行简版客户端或完整版客户端。如果系统未被感染，则它会连接到远程Crimson服务器端，并尝试使用特定的“USBW”命令下载简版客户端组件。

用于构建USBW请求的代码段：

恶意软件的持久性通过程序关闭时调用的方法来保证。它会检查恶意软件目录是否符合嵌入式配置中指定的形式，然后在其中复制恶意软件可执行文件。它还会在“HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下创建一个注册表项，以自动执行该蠕虫。

3.2 USB蠕虫分布

在调查过程中，我们发现了大约200个与Transparent Tribe的Crimson组件相关的样本。我们使用卡巴斯基安全网络（KSN）收集了有关受害者的一些统计信息。

综合统计了在2019年6月到2020年6月期间监测到的所有组件，我们共发现分布在27个国家的1000多名不同的受害者。

Crimson分布图：

大多数检测与USB蠕虫组件有关。在大多数国家，事件的数量比较少。

Crimson检测情况 - USB蠕虫 VS 其他组件：

如果我们检查受其他客户端组件影响的受害者，就可以找到真正的目标。

自2019年6月至2020年6月排名前五的受感染国家（不包括USB蠕虫）:

在上图中，包括了占比最大的独立受害者，从中可以看出，Transparent Tribe在2019年下半年主要针对阿富汗，然后在2020年开始继续将目标转回印度用户。

我们可以推测，在其他国家发现的恶意软件，可能与主要目标相关的实体（例如使馆人员）有关。

四、总结

Transparent Tribe持续表现出对多个目标的攻击能力。在过去的一年中，我们观察到恶意组织针对军事和外交目标发动广泛地攻击，利用大量基础设施来支撑其行动，并不断改善其武器库。该恶意组织持续改进其主要使用的RAT Crimson，开展情报活动以监视敏感目标。预计该恶意组织在未来也不会放慢节奏，我们也会持续监测他们的恶意活动。

五、威胁指标

下面的威胁指标是不完整的。如果你想了解有关APT的更多信息以及完整的威胁指标列表，可以选择成为卡巴斯基威胁情报报告的客户。

5158C5C17862225A86C8A4F36F054AE2 – Excel文档 – NHQ_Notice_File.xls

D2C407C07CB5DC103CD112804455C0DE – Zip压缩包 – tbvrarthsa.zip

76CA942050A9AA7E676A8D553AEB1F37 – Zip压缩包 – ulhtagnias.zip

08745568FE3BC42564A9FABD2A9D189F – Crimson 服务器端版本A

03DCD4A7B5FC1BAEE75F9421DC8D876F – Crimson 服务器端版本B

075A74BA1D3A5A693EE5E3DD931E1B56 – Crimson 键盘记录器

1CD5C260ED50F402646F88C1414ADB16 – Crimson 键盘记录器

CAC1FFC1A967CD428859BB8BE2E73C22 – Crimson 简版客户端

E7B32B1145EC9E2D55FDB1113F7EEE87 – Crimson 简版客户端

F5375CBC0E6E8BF10E1B8012E943FED5 – Crimson 完整版客户端

4B733E7A78EBD2F7E5306F39704A86FD – Crimson 完整版客户端

140D0169E302F5B5FB4BB3633D09B48F – Crimson USB驱动程序

9DD4A62FE9513E925EF6B6D795B85806 – Crimson USB驱动程序

1ED98F70F618097B06E6714269E2A76F – Crimson USB蠕虫

F219B1CDE498F0A02315F69587960A18 – Crimson USB蠕虫

64.188.25.206 – Crimson C2

173.212.192.229 – Crimson C2

45.77.246.69 – Crimson C2

newsbizupdates.net – Crimson C2

173.249.22.30 – Crimson C2

uronlinestores.net – Crimson C2

本文转载自：嘶吼

作者：41yf1sh

原文地址：https://www.4hou.com/posts/z9g8

本文翻译自：：https://securelist.com/transparent-tribe-part-1/98127