研究人員發現一個未知的攻擊組織以亞洲一家材料行業的公司為攻擊目標，被命名為 Clasiopa。該組織使用獨特的攻擊工具，開發了定制化的后門 Atharvan。

Clasiopa 的 TTP

尚不清楚 Clasiopa 的攻擊媒介是什么，研究人員猜測是通過對外開放的服務進行暴力破解獲取的訪問權限。

攻擊中還有許多特征：

• 利用 ifconfig.me/ip 獲取失陷主機的 IP 地址
• 試圖通過停止 SepMasterService 來停用 Symantec Endpoint Protection，再利用 smc -stop 徹底禁用安全防護軟件
• 使用多個后門來外傳文件名列表，列表存儲在 Thumb.db 文件或 ZIP 壓縮文件中
• 使用 wsmprovhost 清除 Sysmon 日志
• 使用 PowerShell 清除所有事件日志
• 創建計劃任務獲取文件名

在一臺失陷主機上發現了運行的 Agile DGS 和 Agile FD 服務，惡意樣本被放置在名為 dgs 的文件夾中。與此同時，一個后門被從 atharvan.exe 重命名為 agile_update.exe。另一臺失陷主機上運行著 HCL Domino 服務，但并不清楚這是否是巧合。但這些服務都在使用舊證書，還包含部分存在漏洞的庫。

攻擊工具

攻擊者使用了自研的遠控木馬 Atharvan，以及開源遠控木馬 Lilith 的定制版本。此外，攻擊者還使用了 Thumbsender 與自定義代理工具。

Atharvan

Atharvan 樣本文件在運行時會創建名為 SAPTARISHI-ATHARVAN-101的互斥量，因此得名。

C&C 服務器硬編碼在樣本中，位于 AWS 的韓國區。POST 請求中，Host 被硬編碼為 update.microsoft.com。例如：

POST /update.php HTTP/1.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.105 Safari/537.36 Edg/84.0.522.52
Host: update.microsoft.com
Content-type: application/x-www-form-urlencoded
Content-length: 46
id=Atharvan&code=101&cid=H^[REDACTED]&time=5?

請求參數如下：

• id：硬編碼為 Atharvan
• code：表示請求目的
• cid：硬編碼字符后為失陷主機的 MAC 地址
• time：通信時間間隔
• msg：根據 code 參數不同表示請求目的

在加密 msg 時，惡意軟件使用以下加密算法：

def encrypt(plaintext):
return bytes([((2 - byte) & 0xff) for byte in plaintext])?

惡意軟件使用簡單的 HTTP 解析工具在服務器響應中提取信息，解密算法如下所示：

def decrypt(ciphertext):
return bytes([((2 - byte) & 0xff) for byte in ciphertext])?

獲取命令時，惡意軟件預期解密的正文由 \x1A 分隔的字符串組成。每個字符串的第一個字節用于指定要執行的命令，其余字節為命令參數：

Atharvan 命令參數

配置計劃通信，命令參數指定時間與日期，編碼為：

• 無限制（0x16）
• 指定月中的天（0x17）
• 指定星期幾（0x18）

預制的通信模式是該惡意軟件的另一個不常見的特征。

歸因

目前沒有確切的證據表明 Clasiopa 的背景與動機。盡管 Atharvan 在后門中使用了印地語作為互斥體的名字（SAPTARISHI-ATHARVAN-101），而且 Atharvan 也是印度教的神明。后門向 C&C 服務器發送的 POST 請求為 d=%s&code=%d&cid=%s&time=%dtharvan，攻擊者用于 ZIP 壓縮文件的密碼為 iloveindea1998^_^。盡管這些細節可能表明該組織位于印度，但這些信息也可能是作為虛假 Flag 植入其中，尤其是密碼似乎過于明顯。