印度背景的APT组织代号为APT-C-09，又名摩诃草,白象,PatchWork, angOver,VICEROY TIGER,The Dropping Elephan。

摩诃草组织主要针对中国、巴基斯坦等亚洲地区国家进行网络间谍活动，其中以窃取敏感信息为主。相关攻击活动最早可以追溯到2009年11月，至今还非常活跃。在针对中国地区的攻击中，该组织主要针对政府机构、科研教育领域进行攻击，其中以科研教育领域为主。

摩诃草组织最早由Norman安全公司于2013年曝光，随后又有其他安全厂商持续追踪并披露该组织的最新活动，但该组织并未由于相关攻击行动曝光而停止对相关目标的攻击，相反从2015年开始更加活跃。

从2009年至今，该组织针对不同国家和领域至少发动了3波攻击行动和1次疑似攻击行动。整个攻击过程使用了大量系统漏洞，其中至少包括一次0day漏洞攻击;该组织所采用的恶意代码非常繁杂。载荷投递的方式相对传统，主要是以鱼叉邮件进行恶意代码的传播，另外部分行动会采用少量水坑方式进行攻击；值得关注的是，在最近一次攻击行动中，出现了基于即时通讯工具和社交网络的恶意代码投递方式，进一步还会使用钓鱼网站进行社会工程学攻击。在攻击目标的选择上，该组织主要针对Windows系统进行攻击，同时我们也发现了存在针对Mac OS X系统的攻击，从2015年开始，甚至出现了针对Android OS移动设备的攻击

Gcow安全团队追影小组于2019.11月底通过监测的手段监测到了该组织的一些针对我国医疗部门的活动.直至2020.2月初,摩诃草APT组织通过投递带有恶意宏文件的xls文件,以及使用带有诱饵文档通过点击下载托管于GitHub上的downloader样本,以及用相应的钓鱼网站,用以侦探情报等一系列活动.这对我国的相关部门具有很大的危害,追影小组对其活动进行了跟踪与分析,写成报告供给各位看官更好的了解该组织的一些手法。

l 当然肯定有人会问为什么你说的简介里摩诃草组织这么厉害,而这次活动却水平不如之前呢?

l 本团队的追影小组主观认为因为这次活动只是该组织下的CNC小组所开展的活动，文末会给出相应的关联证据.不过这只是一家之言还请各路表哥多加批评

注意：文中相关IOCs由于特殊原因不给予放出,敏感信息已经打码处理

该诱饵文档托管于该网址上

045K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4S2^5P5q4)9J5k6s2S2^5P5q4)9J5k6h3y4G2L8g2)9J5c8W2)9J5y4f1f1$3i4K6t1#2b7f1c8Q4x3U0g2m8y4W2)9J5y4f1f1$3i4K6t1#2b7U0q4Q4x3U0f1^5z5g2)9J5y4f1f1$3i4K6t1#2z5e0N6Q4x3U0f1^5y4g2)9J5y4f1f1^5i4K6t1#2b7e0q4Q4x3U0f1^5b7#2)9J5y4f1f1@1i4K6t1#2b7V1k6Q4x3U0g2m8x3g2)9J5y4f1f1$3i4K6t1#2z5o6q4Q4x3U0g2m8c8W2)9J5y4f1f1$3i4K6t1#2z5e0c8Q4x3U0g2n7y4W2)9J5y4f1f1&6i4K6t1#2z5f1u0Q4x3U0f1^5y4W2)9J5y4f1f1%4i4K6t1#2z5e0c8Q4x3U0g2n7x3#2)9J5y4f1f1^5i4K6t1#2b7f1k6Q4x3U0g2n7y4#2)9J5y4f1f1^5i4K6t1#2b7e0q4Q4x3U0g2m8z5q4)9J5k6i4S2D9M7$3@1`.

这是一个含有宏的xlsm电子表格文件，利用社会工程学的办法,诱使目标”启用内容”来执行宏恶意代码

提取的宏代码如下

当目标启用内容后就会执行Workbook_Open的代码

 DllInstall False, ByVal StrPtr(Sheet1.Range("X100").Value)

通过加载scrobj.dll调用

远程加载77aK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8U0b7#2i4K6u0W2P5s2S2^5i4K6u0W2P5s2S2^5i4K6u0W2y4U0N6Q4x3V1k6%4K9h3&6V1L8%4N6Q4x3X3g2K6j5%4c8Q4x3V1y4Q4c8e0S2Q4b7V1k6Q4z5e0W2Q4c8e0N6Q4b7e0N6Q4z5p5c8Q4c8e0k6Q4z5e0S2Q4b7f1k6Q4c8e0g2Q4z5o6S2Q4b7e0W2Q4c8e0N6Q4z5e0c8Q4b7e0S2y4K9h3y4J5L8%4y4G2k6Y4c8Q4c8e0N6Q4b7U0y4Q4b7V1u0Q4c8e0N6Q4b7V1u0Q4z5f1k6Q4c8e0k6Q4z5e0k6Q4z5o6N6Q4c8e0c8Q4b7V1u0Q4b7U0k6Q4c8e0N6Q4z5f1q4Q4z5o6c8x3e0@1I4T1K9h3&6Q4c8e0c8Q4b7V1u0Q4b7e0g2Q4c8e0N6Q4b7V1u0Q4z5e0g2Q4c8e0S2Q4b7V1k6Q4z5o6N6Q4c8e0k6Q4z5f1c8Q4z5o6m8Q4c8e0S2Q4b7V1c8Q4b7f1k6Q4c8e0N6Q4z5f1q4Q4z5o6c8Q4c8e0N6Q4z5f1u0Q4z5e0q4Q4c8e0k6Q4b7U0g2Q4z5p5u0Q4c8f1k6Q4b7V1y4Q4z5p5y4Q4c8e0S2Q4b7V1g2Q4b7V1g2Q4c8e0g2Q4z5o6S2Q4b7U0m8Q4c8e0S2Q4b7V1k6Q4z5f1y4Q4c8e0N6Q4b7e0S2Q4z5p5u0Q4c8e0k6Q4z5o6W2Q4b7e0N6Q4c8e0S2Q4b7e0q4Q4z5p5y4Q4c8e0c8Q4b7V1u0Q4b7e0y4Q4c8e0N6Q4b7e0m8Q4z5o6q4Q4c8e0N6Q4z5f1u0Q4b7f1g2Q4c8e0N6Q4z5f1q4Q4z5o6c8Q4c8e0y4Q4z5o6m8Q4z5o6t1`.

其中Sheet1.Range("X100").Value 是小技巧，将payload隐藏在Sheet1中，通过VBA获取下载地址，起到一定混淆保护效果

通过windows.sct再下载到到启动目录，并重名为Temp.exe,并运行该程序

如下图

系统启动文件夹

文件信息:

主要功能:

1.自身拷贝到当前用户的AppData\Roaming和C:\Microsoft目录下并重命名msupdate.exe,并且创建并写入uuid.txt，来标识不同用户

2.通过com组件创建计划任务，实现持久化控制。

3. 与服务器进行C&C通讯，实现了shell,文件上传与下载(ftp),获取屏幕快照功能，达到完全控制目标。

获取uuid通知主机上线

通过http协议与服务器进行通讯，并获取相关指令

上线指令

反向Cmd Shell相关代码

文件上传相关代码

文件下载相关代码

屏幕快照相关代码

该文档托管于

f8bK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4S2^5P5q4)9J5k6s2S2^5P5q4)9J5k6h3y4G2L8g2)9J5c8X3S2Q4y4h3j5^5y4K6V1^5x3K6b7&6x3K6u0Q4x3V1k6Q4x3U0g2q4y4g2)9J5y4e0S2p5i4K6t1#2b7f1u0Q4x3U0g2q4y4#2)9J5y4e0V1@1i4K6t1#2z5f1k6Q4x3U0g2q4z5g2)9J5y4e0R3K6i4K6t1#2b7e0S2Q4x3U0g2q4y4W2)9J5y4e0S2o6i4K6t1#2z5o6N6Q4x3U0g2q4y4q4)9J5y4f1u0n7i4K6t1#2b7e0c8Q4x3X3g2V1L8$3y4^5

诱使目标点击提交按钮，触发Shell.Explorer.1 从internet Explorer下载并运行submit_details.exe木马程序.

文件信息:

功能分析:

1.建立计划任务

2.收集目标机器名，ip，等信息

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课