Charming Kitten APT 技术分析报告

1. 组织背景

• 别名/归属：伊朗背景APT组织，代号"Charming Kitten"（迷人小猫），与黑客Behzad Mesri（曾攻击HBO）存在关联
• 攻击目标：
  • 伊朗国内外学者、人权活动家、媒体从业者
  • 关注伊朗事务的记者和政治顾问
  • 主要受害地区：伊朗、以色列、美国，次要目标包括瑞士、印度、丹麦等

2. 攻击组件分析

2.1 LNK文件

• 诱饵机制：伪装为快捷方式诱导点击
• 执行流程：

  # Hex解码后的典型Powershell命令
  http://uploader.sytes.net/download/slideshow/1.jpg
  http://uploader.sytes.net/download/shortcut.exe
  

  • MD5: f9255e0d492eb20df1e78ccc970b121a

2.2 EXE文件

• 持久化技术：
  1. 创建目录：SpoonBuSter
  2. 自我复制为：dwm.exe
  3. 注册表自启动
• 线程注入：
  • 使用CreateThread分发恶意进程
  • 窗口回调注册：WIN-0LRR8CGQ4H6-A1B5-685B-BD05-4273-E932

2.3 .NET组件

• 载荷释放：分阶段释放本体程序
• 持久化配置：

  <!-- 典型WMI查询结果保存格式 -->
  <QueryList><Query Id="0"><Select>* FROM Win32_Process</Select></Query></QueryList>
  

2.4 WinRAR容器

• DLL侧加载：加载恶意模块SU.DLL
• 检测方法：
  • 使用Process Hunter查看Rundll32.exe加载模块

2.5 SU.DLL功能

• 数据窃取：
  • 窃取浏览器Cookies（MU目录下）
  • 屏幕截图功能
• 键盘记录：
  • HKeylogger线程记录活动窗口
  • 数据写入随机文件名文件

2.6 APK组件

• 伪装：使用图标"Aida006"
• 包名：net.droidjack.server
• 模块功能：

  模块	功能描述
  Am/Bm	SQL数据库初始化
  CA/CE	HTTP命令控制
  Bf/Cf	客户端通信

3. 网络通信分析

3.1 C2基础设施

• 恶意域名：

  nvidia-update.com
  asus-support.net 
  microsoft-utility.com/update/post.php
  

• 通信特征：
  • 使用窗口回调检测网络可达性
  • 成功响应码：0x200
  • 白域名测试：schmas.microsoft.com, google.com

3.2 加密通信

-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDPlwHiG068RYDD1NLvCFAWNMs6
VR4I2kNuTei/+rCnUuj92hDFFXrntXIi7LLn8XsB3ls1sJ0RcAcrKVzQgzY+DOOT
A4dhOpFlO3v/bj3OwRqCdNJwJJfpYCBYQaLND9eo49BCK+pwVVB55TJYjCkVowGx
ZfJJdjYc3oDZKbKOawIDAQAB
-----END PUBLIC KEY-----

4. 攻击流程图解

graph TD
    A[LNK诱饵] --> B[Powershell下载]
    B --> C{执行环境检测}
    C -->|WMI查询| D[EXE持久化]
    D --> E[窗口回调通信]
    E --> F[C2指令执行]
    F --> G[数据回传]

5. 检测与防御建议

1. 行为检测：

   • 监控异常进程创建：dwm.exe、Rundll32.exe加载异常DLL
   • 检测非常规目录创建：SpoonBuSter

2. 网络防御：

   • 拦截域名：*.sytes.net、*-support.*
   • 监控异常Powershell网络连接

3. 终端防护：

   • 禁用不必要的WMI查询
   • 限制Rundll32.exe执行权限

4. 移动端防护：

   • 检测包名net.droidjack.server
   • 分析APK是否包含ag/bm等可疑模块

（注：报告中所有IoC需通过安全设备验证后部署）