“白象”APT组织近期动态

一 事件背景

“白象”又名“Patchwork”,“摩诃草”,疑似来自南亚某国,自2012年以来持续针对中国、巴基斯坦等国进行网络攻击,长期窃取目标国家的科研、军事资料。与其他组织不同的是,该组织非常擅长根据不同的攻击目标伪造不同版本的相关军事、政治信息,以进行下一步的攻击渗透。

2017年下半年以来,我们发现了多起与白象组织相关的最新攻击事件。该组织通过鱼叉式钓鱼邮件,并配合社会工程学手段在邮件中发送带有格式漏洞文档的链接,诱导受害人点击下载并点击,漏洞触发成功后,会下载Quasar,BADNEWS等变种远控木马。

二 攻击事件分析

2.1 攻击事件A

第一次集中攻击事件发生在2017年11月份左右,我们监控到该组织发起了多次鱼叉邮件攻击。相关案例如下:

1. 使用邮件投放名为China_Strategic_Chain的docx文档,并在邮件中文档内容进行阐述,引诱用户点击打开。 2. 当用户打开该文档后,显示提示在输入栏输入密码KEY,再点击左上方的图标即可完成解锁。实际上该输入栏为文本框,且图标为内嵌的OLE对象,该对象在点击后便会触发。

3. 通过提取内嵌的OLE对象内容,发现其是一个名为Start_chain_1的ppsx格式的ppt文档,点击即可自动播放ppt。

4. 该ppsx文档利用了CVE-2017-0199的漏洞,自动播放ppt后即可触发,并下载运行一个sct脚本。

5. sct脚本解密后会调用Powershell下载并运行putty.exe和自动加载Strategic_Chain.pdf,让用户误以为已经打开相关文档成功。

6. 除上述事件之外,该组织通过邮件还发送一封名为Entanglement的ppsx的文档,文档同样使用了CVE-2017-0199漏洞,利用手法与第一起攻击事件类似。

7. 与其他攻击事件不同的是,用户打开该ppsx文档并触发漏洞后,会通过Powershell下载一份名为decoy的ppt并被Powerpoint加载起来,下载的ppt同样具有敏感性。

2.2 攻击事件B

第二次集中攻击事件发生在2018年3月,投放的文档主要利用CVE-2017-8570漏洞进行攻击,文档内容也大多和社会政治生活相关。

上述攻击文档所使用的攻击手法完全相同,都包含2个Package类型的OLE对象和1个结构化存储类型的OLE对象。

前两个Package类型的OLE对象利用Packager.dll的机制,负责把内部嵌入的文件释放到%TMP%目录下。

最后一个OLE对象利用CVE-2017-8570漏洞,通过Scriptlet Moniker从而加载sct文件中的内容。

漏洞触发成功后,最终都会释放并启动一个名为qrat的程序。

2.3 攻击事件C

在几乎同期,白象组织还发起了另外几起攻击事件,这些攻击事件主要利用了CVE-2015-2545和CVE-2017-0261漏洞文档进行钓鱼邮件攻击。投放的漏洞文件种涉及若干主题,其中包括巴基斯坦陆军最近的军事促进活动,与巴基斯坦原子能委员会有关的信息等。相关漏洞文档触发后会释放新版本的BADNEWS系列木马。

三 木马分析

在上述几起攻击事件中,下载(释放)的木马主要有QuasarRAT和BADNEWS两种。

3.1 QuasarRAT木马

在攻击事件A和攻击事件B中,下载(释放)的木马为QuasarRAT。

1. 释放的木马版本信息伪造成微软或Qiho 360等。

2. QuasarRAT木马采用C#编写,但最新发现的木马外层添加了一段Loader代码。Loader代码的主要功能是反检测反沙箱功能,并在最后加载原始QuasarRAT木马。QuasarRAT木马采用高强度混淆处理。

3. 其主要功能有以下几个部分:

4. 收集系统信息。

5. 样本在收集完信息后, 会尝试连接C&C服务器。

6. 最后将收集到的虚拟环境,反病毒软件,主机,用户名等信息发送到C&C服务器。

3.2 BADNEWS木马

在攻击事件C中,释放的木马为BADNEWS木马。

1. 相关文档触发漏洞后会释放三个文件:

%PROGRAMDATA%\Microsoft\DeviceSync\VMwareCplLauncher.exe%PROGRAMDATA%\Microsoft\DeviceSync\vmtools.dll%PROGRAMDATA%\Microsoft\DeviceSync\MSBuild.exe

其中VMwareCplLauncher.exe为具有合法数字签名的文件,vmtools.dll为经过篡改的dll,用于最终加载BADNEWS的最新变种MSBuild.exe。

2. VMwareCplLauncher.exe运行后,会自动加载vmtools.dll,vmtools.dll执行后会创建一个名为BaiduUpdateTask1的任务计划,该任务计划每隔一分钟会执行一次MSBuild.exe。

3. MSBuild.exe执行后,会下载

hxxps://raw.githubusercontent.com/husngilgit/husnahazrt/master/xml.xml

取出“[[”和“]]”中间的Base64字符串,经过两次base64解码和数次解密后得到样本需要连接的C&C地址。

4. 拼凑主机上线信息发送到C&C服务器硬编码地址。主机上线信息格式如下:uuid=[UUID] #un=[登录名]#cn=[计算机名]#on=[操作系统版本] #lan=[IP地址]#nop=#ver=1.0。并使用AES加密算法(密钥:DD1876848203D9E10ABCEEC07282FF37)+base64编码发送到//e3e7e71a0b28b5e96cc492e636722f73//4sVKAOvu3D//ABDYot0NxyG.php

5. 在使用base64编码后还对编码后的数据的固定偏移位置的插入”=”和”&”字符。

6. 搜集客户端非移动磁盘的敏感文件列表

(.xls,.xlsx,.doc,.docx,.ppt,.pptx,.pdf等),并保存为临时目录下的edg499.dat。

7. 创建线程,将键盘记录信息,窗口信息等保存为临时目录下的TPX498.dat。

8. 上述保存为dat文件的数据,同样使用上述AES加密算法+base64编码发送。但发送的硬编码地址变为\e3e7e71a0b28b5e96cc492e636722f73\4sVKAOvu3D\UYEfgEpXAOE.php

四 总结

白象组织目前主要威胁目标为巴基斯坦和中国的大面积目标,包括教育、军事、科研、媒体等各种目标。其先导攻击手段多为鱼叉式钓鱼邮件,发送带有格式漏洞文档的链接,并且擅长伪造相关军事、政治信息,较为精细。

目前该组织已经成长为有较高攻击能力的小分队,且使用的漏洞的手法也比较新颖,对社会工程学的把捏相当的精妙,这从近期多起攻击事件中就可以看出。 对于类似白象的攻击组织,由于历来更多依赖类似电子邮件这样的互联网入口,其实本可以很好的做到防御,但通过诱导性的语言却可以把这些防御措施无效化。因此,加强对人员的安全思想教育,可以很好的避免类似安全事件的发生。

*本文作者:金睛,转载请注明来自 FreeBuf.COM

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2018-04-06

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏角落的白板报

【52ABP实战教程】0.1-- Devops如何用VSTS持续集成到Github仓库!

“ 工欲善其事,必先利其器。磨刀不误砍柴工!” 管理工具会VSTS。 代码管理会用GITHUB。 服务器会用Azure。 所有的东西都是利用现有服...

35880
来自专栏逸鹏说道

探索ASP.NET MVC5系列之~~~3.视图篇(下)---包含常用表单和暴力解猜防御

其实任何资料里面的任何知识点都无所谓,都是不重要的,重要的是学习方法,自行摸索的过程(不妥之处欢迎指正) 汇总:http://www.cnblogs.com/d...

43450
来自专栏云计算D1net

从各“瘫痪”事件看如何安全备份数据库到云存储

近几周互联网企业频繁暴出各类“瘫痪”事件,网易、支付宝也身负重伤,而5月28日携程网站服务及App全站瘫痪,从事故发生至恢复长达近12小时,造成的损失不言而喻。...

39890
来自专栏FreeBuf

“暗云”BootKit木马详细技术分析

“暗云”木马简介: “暗云”是一个迄今为止最复杂的木马之一,感染了数以百万的计算机,暗云木马使用了很多复杂的、新颖的技术来实现长期地潜伏在用户的计算机系统中。其...

27960
来自专栏网站漏洞修补

如何解决网站title被恶意反复篡改

国庆假日期间我们Sine安全接到众多网站站长求助网站标题被改导致在百度搜索中百度安全中心提醒被拦截,导致网站正常用户无法浏览网站被跳转到一些菠菜du博网站,而且...

93350
来自专栏数据和云

DBA生存警示:防范频发的数据误删除操作

编辑手记:对于资深的老DBA们,他们在漫长的职业生涯中养成了很多稀奇古怪的守则,以在复杂多变的环境中“幸存”,这源于无数血泪的教训,我曾经在《数据安全警示录》...

390140
来自专栏阮一峰的网络日志

如何在家庭网络中使用两台路由器?

网上查到的资料,都写得太专业,对像我这样的业余人士用处不大。我反复设置各种参数,整整花了一个晚上,才算安装成功。下面就是一些设置要点,我记录下来备忘,希望对其他...

1.2K50
来自专栏安智客

Android 新特性之文件加密对TEE的要求

昨天聊到Android新版本对于指纹开发的要求,很多朋友问我,Android新版本对于TEE有哪些具体要求,我们知道android后续版本只会更加强化安全的...

48650
来自专栏FreeBuf

文档化身商业木马,对“盗神”的分析与溯源

前言 利用文档进行木马传播的手法,最近一段时间随着敲诈类木马的流行,而被广泛利用了起来。与此同时,这个手法也开始被传统木马所借鉴。近日哈勃分析系统捕捉到一类隐私...

22550
来自专栏FreeBuf

用鱼竿、鱼钩、鱼饵和彩蛋模拟一次网络渗透

*本文原创作者:flagellantX,本文属FreeBuf原创奖励计划,未经许可禁止转载

15750

扫码关注云+社区

领取腾讯云代金券