一 、 前言:
Molerats,也称为 TA402,是一个出于政治动机的阿拉伯语高级持续威胁 (APT) 组织,自 2012 年以来一直在运作。该组织主要针对中东、欧洲和美国的实体。 Molerats 因其使用社会工程策略、鱼叉式网络钓鱼活动和部署恶意软件来渗透目标而闻名。该组织开发了一个自定义工具包,其中包括 Spark 等后门和用于间谍活动的 LastConn 等公开恶意软件工具。
最近,人们发现 Molerats 在针对中东国家、外交政策和一家国有航空公司的网络间谍活动中使用了名为“NimbleMamba”的新植入程序。该活动利用地理围栏和 URL 重定向到合法网站,并与巴勒斯坦利益相关。还观察到 Molerats 利用地区冲突来欺骗目标点击恶意链接。
除了政府和政治目标外,Molerats 还针对中东银行业的重要成员、人权活动人士和其他实体。该组织使用基于宏的 MS Office 文件、.NET 后门和云服务来传播恶意软件并窃取数据。缺少有关鼹鼠成功入侵或泄露数据总数的信息。
二、TA402使用的技术
技术使用概览:
引导或登录自动启动执行
- 领域: 企业
- ID: T1547.001
- 名称: 引导或登录自动启动执行:注册表运行键/启动文件夹
- 用途: Molerats将恶意文件保存在 AppData 和 Startup 文件夹中以保持持久性。
命令和脚本解释器
-
领域: 企业
-
ID: T1059.001
-
名称: 命令和脚本解释器:PowerShell
-
用途: Molerats在目标机器上使用 PowerShell 植入。
-
ID: T1059.005
-
名称: 命令和脚本解释器:Visual Basic
-
用途: Molerats在目标机器上使用了各种植入程序,包括用 VBScript 构建的植入程序。
-
ID: T1059.007
-
名称: 命令和脚本解释器:JavaScript
-
用途: Molerats在目标机器上使用了各种植入物,包括用 JS 构建的植入物。
凭据获取
- 领域: 企业
- ID: T1555.003
- 名称: 来自密码存储的凭据:来自 Web 浏览器的凭据
- 用途: Molerats使用公共工具 BrowserPasswordDump10 将浏览器中保存的密码转储到受害者身上。
反混淆/解码文件或信息
- 领域: 企业
- ID: T1140
- 名称: 反混淆/解码文件或信息
- 用途: Molerats在受害计算机上解压缩 ZIP 文件一次。
Ingress 工具传输
- 领域: 企业
- ID: T1105
- 名称: Ingress 工具传输
- 用途: Molerats使用可执行文件从不同来源下载恶意文件。
文件操作
- 领域: 企业
- ID: T1027.013
- 名称: 混淆文件或信息:加密/编码文件
- 用途: Molerats向受害者提供了 ZIP 文件中的压缩可执行文件。
网络钓鱼
-
领域: 企业
-
ID: T1566.001
-
名称: 网络钓鱼:鱼叉式网络钓鱼附件
-
用途: Molerats发送了带有恶意 Microsoft Word 和 PDF 附件的网络钓鱼电子邮件。
-
ID: T1566.002
-
名称: 网络钓鱼:鱼叉式网络钓鱼链接
-
用途: Molerats已发送包含恶意链接的网络钓鱼电子邮件。
系统发现
- 领域: 企业
- ID: T1057
- 名称: 系统发现
- 用途: Molerats参与者获取了受害者的活动进程列表,并将其发送到 C2 服务器。
计划任务
- 领域: 企业
- ID: T1053.005
- 名称: 计划任务/作业:计划任务
- 用途: Molerats创建了计划任务来持续运行 VBScript。
代码签名
- 领域: 企业
- ID: T1553.002
- 名称: 颠覆信任控制:代码签名
- 用途: Molerats在恶意软件上使用了伪造的 Microsoft 代码签名证书。
系统二进制代理执行
- 领域: 企业
- ID: T1218.007
- 名称: 系统二进制代理执行:Msiexec
- 用途: Molerats使用 msiexec.exe 来执行 MSI 有效负载。
用户执行
-
领域: 企业
-
ID: T1204.001
-
名称: 用户执行:恶意链接
-
用途: Molerats通过电子邮件发送恶意链接,诱骗用户打开 RAR 存档并运行可执行文件。
-
ID: T1204.002
-
名称: 用户执行:恶意文件
-
用途: Molerats通过电子邮件发送恶意文件,诱骗用户单击“启用内容”来运行嵌入式宏并下载恶意档案。
三、感染链
图1. 2021年11月至2022年1月使用的TA402感染链。
图 2. 2023 年 7 月活动中使用的 TA402 感染链。
四 、样本 SHA256
IOC |
---|
NimbleMamba Sample 1 (Dec 2021 / Jan 2022) SHA256:430c12393a1714e3f5087e1338a3e3846ab62b18d816cc4916749a935f8dab44 |
NimbleMamba Sample 2 (Nov 2021) SHA256:c61fcd8bed15414529959e8b5484b2c559ac597143c1775b1cec7d493a40369d |
Additional NimbleMamba Sample found with retro hunt (Oct 2021) SHA256:925aff03ab009c8e7935cfa389fc7a34482184cc310a8d8f88a25d9a89711e86 |
BrittleBush Sample SHA256:2e4671c517040cbd66a1be0f04fb8f2af7064fef2b5ee5e33d1f9d347e4c419f |