文章总结： APT-C-49（OilRig）组织近期以伊朗社会热点事件为诱饵，通过携带宏的Excel文档发起多阶段钓鱼攻击。攻击链涉及VBA宏触发C#源码编译、GitHub配置获取、GoogleDrive图片LSB隐写技术提取加密配置，最终通过TelegramBot实现C2通信。该组织滥用云服务增强隐蔽性，采用内存加载和无文件技术规避检测，建议用户提高安全意识谨慎处理未知文件。 综合评分： 87 文章分类： 恶意软件,威胁情报,漏洞分析,渗透测试,红队

第三步：攻击者使用图片隐写术，将配置信息嵌入到该图片中，然后使用特定LSB算法提取配置信息。

第四步：根据XORKey，依次使用Base64+XOR解密获取配置信息，并将配置信息进行填充，xor表示异或解密使用的Key，tel表示token，chat为chatId，m1-m5分别是下一阶段模块的下载地址，其余字段未使用。

最终获取的配置信息如下：

对该配置解密得到Google Drive链接，这些链接分别指向pr（持久化模块），up（上传模块），do（下载模块）,cm（命令执行模块）和runApp（程序执行模块）。

接着通过GitHub API获取指定Gist中的配置文件（etagtest.txt），然后解析内容并抢占标记为”FREE”的配置项（将其状态更新为”USED”），最后将包含Telegram Bot Token和Chat ID的配置信息写入本地缓存（CONF.dat）以便后期使用，并同步更新Gist的配置文件etagtest.txt中。

然后使用内存加载的方式执行各个模块，从上述得到的谷歌云盘URL获取解密数据，解密方式依然采用base64+xor的方式如下所示：

首先加载的是pr模块，目的是实现持久化。传入的参数是moduleName和当前路径appPath。根据moduleName参数选择需要下载的C#的源码，然后进行编译，最后通过内存加载的方式执行pr模块。

pr模块实际上是一个实现计划任务的功能，持久化路径是传入的参数，也就是当前进程路径。

然后通过telegram API发送”is online”消息，实现心跳上线。

然后通过Telegram Bot API实现C2通讯交互从而实现远程控制，目前支持的功能有dllexec，upload，download，cmd，runapp。

dllexec的功能是dll模块内存加载，可以通过编译CS源码执行Dll，也可以通过指定的Dll路径执行文件。

up功能为文件上传，它是通过内存执行up模块实现的。up模块内容如下：

download功能是文件窃取，它是通过执行do模块实现的，do模块内容如下：

需要说明的是，do模块中存在大量波斯语的注释。

Cmd的功能是命令执行，它是通过执行cm模块实现的，cm模块的内容如下：

Runapp的功能是执行程序，它是通过加载RunApp模块实现的，RunApp的内容如下：

值得一提的是我们发现该github用户johnpeterson1304的名下，还存在多个命名规则相似、仅包含单一txt文件的独立仓库，其文件内容均为 Base64编码字符串，用于外部资源（Google Drive）下载链接的托管与分发，这些链接都是指向图片,对这些图片使用LSB算法提取配置信息并解密后得到的信息相同，后续和上述分析一致。

此外在该仓库下我们还发现本次攻击行动的测试样本，相较测试样本，现在版本在隐蔽性和功能扩展性上有了显著提升，增加了对动态编译源码的支持，还增加了直接内存加载 DLL的方式。这样的目的使得攻击载荷的下发更加多样化且难以追踪。

三、归属研判

通过对本次攻击事件的详细分析，综合初始载荷的执行入口设计、关键技战术要素及完整攻击链条特征判断，该样本在整体作战思路与工程实现层面与APT34历史活动高度一致，具体表现如下：

1. 初始载荷和APT34以往样本的技战术保持极高一致性[1]，都以Excel的工作簿事件作为主要入口点，并且都涉及sheet操作（以往样本是可见性切换来实现反沙箱/诱导启用宏，本次样本升级为针对特定字符的内容损坏/恢复机制，可能用于迷惑用户以便动态编译payload）。此外，更重要的是攻击链条高度统一：VBA宏+Base64解码（从UserForm或CustomXMLParts提取）+写入.exe+同名.config配置文件+XML定义的定时任务（schtasks或Schedule.Service）+.NET载荷执行。该链条在组件拆分方式、数据承载位置选择以及持久化实现路径上均与APT34历史样本保持一致，呈现出明显的家族化与工程化特征。

2. 该组织近年来不断通过滥用合法云平台来掩盖其恶意流量，本次使用谷歌云盘下发数据和使用Telegram作为C2通信也与该组织以往技战术符合。

3. 无论是前期测试代码还是本次实际的攻击代码均存在波斯语的注释，说明攻击者以波斯语为母语，符合攻击者身份。

综上所述，将本次攻击归属到APT-C-49（OilRig）组织。

总结

APT-C-49（OilRig）近年来持续对其攻击链进行演进与升级，整体呈现出对抗能力增强与执行方式现代化的趋势。该组织由早期依赖 Excel宏触发的Saitama loader，逐步演进为结合宏混淆重构、云服务滥用与隐写技术的多阶段攻击链，并在后续阶段明显向无文件与内存执行模式转型。通过利用 Google Drive、GitHub、Telegram 等合法平台进行配置分发与C2通信，OilRig有效降低了静态与行为检测暴露面，体现出其针对 EDR 与云环境监测的持续适应能力。

此外本文披露的样本只是该组织攻击过程中使用的部分载荷，通过对样本进行的深入分析，希望帮助用户了解此类攻击链条及防范手段。同时也提醒用户提高安全意识，在日常工作中谨慎处理未知压缩包、邮件附件和超链接，避免因轻信而在毫无防护的情况下遭受入侵，造成敏感信息和重要数据的泄露。

附录 IOC

MD5

717da2804144e9759c4e6409f18b7b4b

07aa715f8a6f56a96476aae0ebca17c7

d0d17a50422e3d4a0a50fed0878a47d6

ca002f49f3d5ee36ded21e235e8d04e7

9c0409be11a6c4433896db58e7095464

参考

APT34 targets Jordan Government using new Saitama backdoor

团队介绍

TEAM INTRODUCTION

360高级威胁研究院****

360高级威胁研究院是360数字安全集团的核心能力支持部门，由360资深安全专家组成，专注于高级威胁的发现、防御、处置和研究，曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击，独家披露多个国家级APT组织的高级行动，赢得业内外的广泛认可，为360保障国家网络安全提供有力支撑。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：360威胁情报中心 高级威胁研究院 高级威胁研究院《APT-C-49（OilRig）以伊朗最新社会热点事件为诱饵的多阶段钓鱼攻击活动分析》