首頁 > 關于我們 > 新聞動態 > 深度解讀

“白象”APT組織近期動態分析報告

發布時間 2018-03-31

“白象”又名“Patchwork”,“摩訶草”,疑似來自南亞某國,自2012年以來持續針對中國、巴基斯坦等國進行網絡攻擊,長期竊取目標國家的科研、軍事資料。與其他組織不同的是,該組織非常擅長根據不同的攻擊目標偽造不同版本的相關軍事、政治信息,以進行下一步的攻擊滲透。

 

2017年下半年以來,我們發現了多起與白象組織相關的最新攻擊事件。該組織通過魚叉式釣魚郵件,并配合社會工程學手段在郵件中發送帶有格式漏洞文檔的鏈接,誘導受害人點擊下載并點擊,漏洞觸發成功后,會下載Quasar,BADNEWS等變種遠控木馬。


 攻擊事件分析

 

 攻擊事件A

 

第一次集中攻擊事件發生在2017年11月份左右,我們監控到該組織發起了多次魚叉郵件攻擊。相關案例如下:

 

1.使用郵件投放名為China_Strategic_Chain的docx文檔,并在郵件中文檔內容進行闡述,引誘用戶點擊打開。

 

2.當用戶打開該文檔后,顯示提示在輸入欄輸入密碼KEY,再點擊左上方的圖標即可完成解鎖。實際上該輸入欄為文本框,且圖標為內嵌的OLE對象,該對象在點擊后便會觸發。

 

 

3. 通過提取內嵌的OLE對象內容,發現其是一個名為Start_chain_1的ppsx格式的ppt文檔,點擊即可自動播放ppt。

 

 

4.該ppsx文檔利用了CVE-2017-0199的漏洞,自動播放ppt后即可觸發,并下載運行一個sct腳本。

 

 

5.sct腳本解密后會調用Powershell下載并運行putty.exe和自動加載Strategic_Chain.pdf,讓用戶誤以為已經打開相關文檔成功。

 

 

6.除上述事件之外,該組織通過郵件還發送一封名為Entanglement的ppsx的文檔,文檔同樣使用了CVE-2017-0199漏洞,利用手法與第一起攻擊事件類似。

 

 

7.與其他攻擊事件不同的是,用戶打開該ppsx文檔并觸發漏洞后,會通過Powershell下載一份名為decoy的ppt并被Powerpoint加載起來。

 

 


 

攻擊事件B

 

第二次集中攻擊事件發生在2018年3月,投放的文檔主要利用CVE-2017-8570漏洞進行攻擊,文檔內容也大多和社會政治生活相關。

 

 


 

 

上述攻擊文檔所使用的攻擊手法完全相同,都包含2個Package類型的OLE對象和1個結構化存儲類型的OLE對象。

前兩個Package類型的OLE對象利用Packager.dll的機制,負責把內部嵌入的文件釋放到%TMP%目錄下。

 

 

最后一個OLE對象利用CVE-2017-8570漏洞,通過Scriptlet Moniker從而加載sct文件中的內容。

 

 

漏洞觸發成功后,最終都會釋放并啟動一個名為qrat的程序。

 


 

攻擊事件C

 

在幾乎同期,白象組織還發起了另外幾起攻擊事件,這些攻擊事件主要利用了CVE-2015-2545和CVE-2017-0261漏洞文檔進行釣魚郵件攻擊。投放的漏洞文件種涉及若干主題,其中包括巴基斯坦陸軍最近的軍事促進活動,與巴基斯坦原子能委員會有關的信息等。相關漏洞文檔觸發后會釋放新版本的BADNEWS系列木馬。

 

 
木馬分析

 

在上述幾起攻擊事件中,下載(釋放)的木馬主要有QuasarRAT和BADNEWS兩種。

 

QuasarRAT木馬

 

在攻擊事件A和攻擊事件B中,下載(釋放)的木馬為QuasarRAT。

 

1.釋放的木馬版本信息偽造成微軟或Qiho 360等。

 

 

 

2.QuasarRAT木馬采用C#編寫,但最新發現的木馬外層添加了一段Loader代碼。Loader代碼的主要功能是反檢測反沙箱功能,并在最后加載原始QuasarRAT木馬。QuasarRAT木馬采用高強度混淆處理。

 

 

3.其主要功能有以下幾個部分:

 

 

4.收集系統信息。

 

 

5.樣本在收集完信息后, 會嘗試連接C&C服務器。
 


6.最后將收集到的虛擬環境,反病毒軟件,主機,用戶名等信息發送到C&C服務器。

 

 


 


BADNEWS木馬

在攻擊事件C中,釋放的木馬為BADNEWS木馬。

1.相關文檔觸發漏洞后會釋放三個文件:

%PROGRAMDATA%\Microsoft\DeviceSync\VMwareCplLauncher.exe
%PROGRAMDATA%\Microsoft\DeviceSync\vmtools.dll
%PROGRAMDATA%\Microsoft\DeviceSync\MSBuild.exe

其中VMwareCplLauncher.exe為具有合法數字簽名的文件,vmtools.dll為經過篡改的dll,用于最終加載BADNEWS的最新變種MSBuild.exe。

2.VMwareCplLauncher.exe運行后,會自動加載vmtools.dll,vmtools.dll執行后會創建一個名為BaiduUpdateTask1的任務計劃,該任務計劃每隔一分鐘會執行一次MSBuild.exe。

3. MSBuild.exe執行后,會下載
hxxps://raw.githubusercontent.com/husngilgit/husnahazrt/master/xml.xml

 

取出“[[”和“]]”中間的Base64字符串,經過兩次base64解碼和數次解密后得到樣本需要連接的C&C地址。

 

4. 拼湊主機上線信息發送到C&C服務器硬編碼地址。主機上線信息格式如下:uuid=[UUID] #un=[登錄名]#cn=[計算機名]#on=[操作系統版本] #lan=[IP地址]#nop=#ver=1.0。并使用AES加密算法(密鑰:DD1876848203D9E10ABCEEC07282FF37)+base64編碼發送到//e3e7e71a0b28b5e96cc492e636722f73//4sVKAOvu3D//ABDYot0NxyG.php

 

5.在使用base64編碼后還對編碼后的數據的固定偏移位置的插入”=”和”&”字符。

 

 

6.搜集客戶端非移動磁盤的敏感文件列表
(.xls,.xlsx,.doc,.docx,.ppt,.pptx,.pdf等),并保存為臨時目錄下的edg499.dat。

 

 

7.創建線程,將鍵盤記錄信息,窗口信息等保存為臨時目錄下的TPX498.dat。

 

8.上述保存為dat文件的數據,同樣使用上述AES加密算法+base64編碼發送。但發送的硬編碼地址變為\e3e7e71a0b28b5e96cc492e636722f73\4sVKAOvu3D\UYEfgEpXAOE.php
 

總結

白象組織目前主要威脅目標為巴基斯坦和中國的大面積目標,包括教育、軍事、科研、媒體等各種目標。其先導攻擊手段多為魚叉式釣魚郵件,發送帶有格式漏洞文檔的鏈接,并且擅長偽造相關軍事、政治信息,較為精細。

目前該組織已經成長為有較高攻擊能力的小分隊,且使用的漏洞的手法也比較新穎,對社會工程學的把捏相當的精妙,這從近期多起攻擊事件中就可以看出。 對于類似白象的攻擊組織,由于歷來更多依賴類似電子郵件這樣的互聯網入口,其實本可以很好的做到防御,但通過誘導性的語言卻可以把這些防御措施無效化。因此,加強對人員的安全思想教育,可以很好的避免類似安全事件的發生。


相關IOC

rannd.org
brokings.org
crazywomen-dating.com
ifenngnews.com
209.58.185.37
mail.ifenngnews.com
chinapolicyanalysis.org
94.242.249.203
209.58.183.33

 
關于金睛安全研究團隊

 

金睛安全研究團隊是啟明星辰集團檢測產品本部從事專業安全分析的技術型團隊,主要職責是對現有產品上報的安全事件、樣本數據進行挖掘、分析,并向用戶提供專業的分析報告。

 

 


關于VenusEye威脅情報中心

 

VenusEye威脅情報中心(www.venuseye.vip)是啟明星辰傾力打造的集威脅情報收集、分析、處理、發布和應用為一體的威脅情報云服務平臺,提供威脅情報數據、系統、技術和專業能力的輸出。

 

 

 

上一篇 下一篇