TransparentTribe APT组织，又称ProjectM、C-Major，是一个来自巴基斯坦的APT攻击组织，主要通过鱼叉式钓鱼邮件对特定国家政府、军事目标发起攻击，该组织活动最早可以追溯到2012年，并于2016年被proofpoint首次披露，此前深信服安全团队首发布过一篇《来自TransparentTribe APT组织的窃密》的报告，近期又获取到一例TransparentTribe APT组织的最新变种样本，此样本的诱饵文档为日历型电子表格，通过执行表格中宏代码释放恶意程序，窃取受害者主机的敏感信息

样本执行整体流程图，如下：

分析诱饵文档文件

1.打开诱饵表格文档，如下所示：

2.文档里面包含恶意的宏代码，执行宏代码，表格文档如下所示：

恶意宏代码会释放恶意程序到相应的目录并执行,进程信息如下所示：

释放的恶意程序目录，如下所示：

3.表格中包含的恶意宏代码，如下所示：

动态调试宏代码，首先会解密出相应的恶意文件路径目录字符串，然后读取窗口中的数据写入生成的恶意文件中，如下所示：

窗体的数据，如下所示：

解压相应的数据压缩包文件，并调用生成的恶意文件，如下所示：

解压drivertoolkit.zip文件，如下所示：

分析drivertoolkit.tmp文件

1.判断系统是否存在如下进程，如果存在则退出，如下所示：

检测的进程列表：

python.exe、fiddler.exe、virtualBox.exe、VBoxService.exe、bitcoin-qt.exe

dotPeek.exe、dotPeek64.exe、jetbrains.exe、vmware.exe

2.设置系统自启动项快捷方式，如下所示：

快捷方式用于启动C:\ProgramData\twainResolver\twainResolver.scr程序，如下所示：

3.读取文件中的数据，生成恶意文件C:\ProgramData\twainResolver\twainResolver.scr，如下所示：

4.最后启动恶意程序C:\ProgramData\twainResolver\twainResolver.scr,如下所示：

分析twainResolver.scr文件

1.收集主机上的进程信息，上传到远程服务器，如下所示：

捕获到的流量数据包，如下所示：

传输的数据，如下：

2.由于远程服务器失效了，上传数据失败，无法返回相应的数据，如下所示：

3.由于返回的数据为空，所以无法从远程服器下载相应的恶意程序，程序直接退出，如下所示：

猜测会下载一个RAT远控类程序，但已失效，无法获取到该RAT程序，进行下一步的分析，大多数的APT攻击组织主要目标是为了窃密，在执行的最后一般会释放一个RAT类的恶意程序控制受害者机器，并从受害者机器上获取有价值的信息.

IOC

MD5:

39AE6F1FD36C08E8199A9725906A9F0A  Social_Calendar.xls

A579D7CF970B388558AA257CD84DCF52  drivertoolkit.tmp

BE399F59585A6167D0404CC76DF2FAF8  drivertoolkit.zip

D7FFFB36D22A36D9757CCC8FFA032D31  twainResolver.scr

C&C:

198.54.119.174

URL:

hxxp://isroddp.com/rEmt1t_pE7o_pe0Ry/hipto.php

PDB:

C:\Users\Carlos\source\repos\drivertoolkit\Release\drivertoolkit.pdb