双尾蝎组织持续向中东地区投放恶意木马

APT-C-23（双尾蝎）

APT-C-23（双尾蝎）又被称为Arid Viper 、Micropsia、Frozen Cell、Desert Falcon，攻击范围主要为中东地区相关国家的教育机构、军事机构等重要领域，网络攻击行动以窃取敏感信息为主，具备针对Windows与Android双平台的攻击能力。2023年4月被曝使用新工具集攻击巴勒斯坦地区以来，我们陆续监测到2023年上半年APT-C-23（双尾蝎）投放Micropsia和Arid Gopher木马攻击以色列、巴勒斯坦等地区。

一、攻击活动分析  

Micropsia  

Micropsia是一个由Delphi编写的恶意程序，Micropsia通常在程序内打包有可执行文件，早期的Micropsia后门可在其资源段中发现至少3个可执行文件：

1、用于加密通行的OpenSSL组件；

2、命令执行版WinRAR用于将窃取的文件进行压缩；

3、Shortcut用于生成LNK文件进行持久化。

Micropsia发展至今依旧保持这个习惯，各版本Micropsia程序中或多或少能在其资源段中发现以上文件数据，由于APT-C-23（双尾蝎）还习惯将可执行程序伪装成文档进行投递诱使受害用户运行，所以通常也能在Micropsia木马资源数据中发现打包的诱饵文档文件。

该Micropsia木马的主要功能为：

1、键盘监控输出到本地文件后进行回传；

2、屏幕截图回传；

3、对目标机器进行指定后缀文件搜寻并进行压缩打包上传。

此次捕获到的样本中攻击者分别以伪装成文档的可执行程序和伪装成系统相关的工具进行Micropsia木马投递。

伪装成文档文件的可执行程序中释放的文档文件均使用阿拉伯语编写，主要针对使用阿拉伯语种人群。

其中以巴勒斯坦政府公文进行投递的示例。

值得注意的是另外两个伪装成DOC文档的样本由一位西班牙用户进行上传，且DOC文档中的语言识别为沙特阿拉伯语，西班牙的官方语言有西班牙语加泰罗尼亚语等，与阿拉伯语关联甚少,因此无法对该用户性质进行判断，无法确定APT-C-23（双尾蝎）是否将目光扩散至西班牙地区人群。

释放的文档中残留有创建用户信息。

木马运行后会使用WMI进行查询计算机安装的杀毒软件情况，与以往一样会通过Shortcut软件在“Startup”目录中生成Micropsia木马的快捷方式用于持久化。

SELECT * FROM AntiVirusProduct
SELECT * FROM AntiSpywareProduct

Micropsia木马可选择众多文件类型进行搜寻并窃取。

收集了对应后缀的文件后Micropsia木马会使用RAR程序进行数据打包上传。

Rar.exe a -r -ep1 -df -v2500k -hp668e9af10eba83047379ec403d6becc2_d01247a1eaf1c24ffbc851e883e67f9b "C:ProgramDataSoftware DistributionsDataSnapsysHistory_07-02-2023-00-13-13" "C:ProgramDataSoftware DistributionsDataSnap*.qfg

Arid Gopher  

Arid Gopher是一个以Golang编写的恶意木马程序， APT-C-23（双尾蝎）曾使用该恶意软件（Arid Viper）针对以色列目标，此前也曾与哈马斯组织有过联系。

根据配置文件信息来看其迭代速度很快，Arid Gopher与Micropsia相似的是习惯将压缩工具打包进程序内。Arid Gopher木马运行后会根据配置信息在受害者计算机上创建目录将打包的程序和对应文件落地。

同样使用WMI收集计算机的杀毒软件安装情况。

运行过程中获取用户机器计算机名、系统版本以及Arid Gopher版本号等信息进行上传到配置数据中指定的C&C服务器对应目录上。

测试得知C&C响应正常软件会进行http/https协议更换尝试。

并选择从不同C&C服务器目录地址中请求后续载荷。

于Arid Gopher木马中内嵌的配置数据。

DIR=WindowsPerceptionService
ENDPOINT=http://gsstar.net/IURTIER3BNV4ER
LOGS=logs.txt
DID=code.txt
VER=7.2
EN=2
ST_METHOD=r
ST_MACHINE=false
ST_FLAGS=x
COMPRESSOR=7za.exe
DDIR=ResourcesFiles
BW_TOO_ID=7463b9da-7606-11ed-a1eb-0242ac120002
SERVER_TOKEN=PDqMKZ91l2XDmDELOrKB

对比以往捕获的Arid Gopher木马配置信息。

二、归属研判  

此处捕获的样本与此前披露的样本差别不大，捕获的木马程序其字符沿用、内嵌资源、以及恶意行为都符合APT-C-23（双尾蝎）组织的Micropsia以及Arid Gopher木马的特征，多个方面共性使我们有理由怀疑此次的样本是APT-C-23活动的证据。

附录IOC

Micropsia

40054bb769af8fe618ed0b4f2836d060

4ebb0fa36819c6ad36cdd36c0b661559

37fc7db07f32b6191d6201252f60f64c

146c187d13f4c898693073beef3dae5f

d5a6fd19b136ae6ba3495d77a0b7ae81

054ac123f749886a2da45c2c60fa786c

509f78da474e20c6cdcde2ab5ee32b4c

d4bc2ee72882ec6f0701b67b41cb0868

6c2e077fbd55a3ea7f843507ac00e686

ebd1cf78fbb8531533426cb19f78d58e

b8d97f967bdb2e9f71d6af738af81626

3d0631c3f3ea42cc1b18ab370a329ce3

1b82cb79cae7801fc9a421369f4b8137

6dceed1647bd865ad94c047d51cd2d6c

63dca80229022f1cba49aea45f05e544

5ce307b736668833c312c2777e74dc45

4574174809567240729a67cc941eabcf


Arid Gopher

5d8cd50066f06f36ed4269b3112d5a11

9b959e61f2aa6fa7ff338f7cddcee23f

6eef7d94285e506ad9e38d3e4f8b8ef3

1d83896525aed2727d341e6341868871

5.182.39.44

84.246.85.127

acs-group.net

gsstar.net

cheaphomeinsurancequotes.net

pctools-limited.com

tara-stokes.com

chloe-boreman.com

criston-cole.com

doctorinforme.com

tophatauc.com

upload999.net

sadie-dunhill.com

archers-lie.net

gmesc.com

upload101.net

转载来源：https://mp.weixin.qq.com/s/-LYXJtjEhdwa8Km_Ri1cXg

图片来源网络侵权可联系删除