团伙背景
摩诃草,又名 Patchwork、白象、Hangover、Dropping Elephant 等,奇安信内部跟踪编号 APT-Q-36。该组织被普遍认为具有南亚地区背景,其最早攻击活动可追溯到 2009 年 11 月,已持续活跃 10 余年。该组织主要针对亚洲地区的国家进行网络间谍活动,攻击目标包括政府、军事、电力、工业、科研教育、外交和经济等领域的组织机构。
事件概述
奇安信威胁情报中心近期发现一种与摩诃草组织有关的木马,该木马与远程服务器通信采用 WebSocket 和 HTTP 协议相结合的方式,建立 WebSocket 连接的服务器接口带有stream字符串,木马获取指令与回传操作结果均在该 WebSocket 通道中进行,而用 HTTP 完成一些诸如文件传输之类的操作。我们还发现这种木马与摩诃草使用的 Spyder 下载器有一些相似性,根据以上特点我们将该木马命名为 StreamSpy。
目前发现的 1.0.0.2 版本的 StreamSpy 木马相比 1.0.0.1 版本变化不大,下面将以 1.0.0.1 版本 StreamSpy 木马为例展开分析。
压缩包 OPS-VII-SIR.zip 的下载链接为hxxps://firebasescloudemail.com/reports/OPS-VII-SIR.zip,该压缩包中有两个 PDF 文件和一个用 PDF 图标伪装的 EXE 文件,后者就是 StreamSpy 木马本身,诱使受害者不加分辨地运行恶意程序。
