TAG: 高级可持续性攻击、中印边境、APT、白象、中国、钓鱼网站、木马
TLP: 白
日期:2017-09-03
“白象”,又名Patchwork、Dropping Elephant,自2015年12月开始活跃,长期针对中国军队、政府等部门开展渗透攻击,2016年7月被Cymmetria、安天、Forcepoint、卡巴斯基、赛门铁克等多家安全公司曝光。该团伙主要通过钓鱼邮件和仿冒网站传播木马,木马载体通常为军事、政治相关主题的Doc或PPS文档,常用漏洞包括CVE-2012-0158、CVE-2014-4114、CVE-2014-6352等。
2017年5月,微步在线通过一份包含漏洞的Word文档发现了“白象”团伙针对中国政府、军事相关部门的攻击活动,挖掘出其注册的大量可疑域名和木马样本。有趣的是,就在印度军队于8月28日自洞朗撤军,中印双方结束了两个多月的对峙后,该团伙的钓鱼网站于8月29日再次上线,并以“中印边境”为题诱导访问者下载恶意程序植入后门,继续对中国目标发起攻击。具体内容包括:
· 钓鱼网站于2017年8月29日上线,以“中印边境”为话题构造了仿冒优酷的钓鱼页面,诱导访问者下载后门程序。
· 木马使用C++编写,执行后会再调用一段加密后的.Net代码,并伪装成360安全防护软件,具备较强的隐蔽性和对抗性。
· 木马启动后能够接受远程控制服务器任意指令,完全控制受害主机,远控服务器目前仍可正常通信,说明攻击活动尚在进行中。
· 微步通过对相关样本进行分析供提取相关的 IOC 13条,部署微步在线威胁情报平台(TIP)的用户,可通过系统告警定位到失陷主机(详见下图),并使用微步在线提供的应急响应予以分析和处理。
本次捕获的钓鱼页面(www.qzonecn.com)于2017年9月1日上线,系仿冒优酷网的一条新闻视频,标题为“中国和阿三的边界问题在洞朗”(未发现优酷网上有类似名称的视频),视频位置显示“您还没有安装flash播放器,请点击这里安装”。点击该链接后,会打开Adobe公司官网,却从另一恶意站点(www.bdarmy.news)下载名为“Adobeflashplayer26_install_ver9.6.0.exe”的可执行程序,制造该程序来自Adobe官网的假象,具备较强迷惑性。如下图所示:
查看该程序的属性发现,其详细信息包含“qiho”、“360”、“Defence”等干扰字符,而原始文件名为“RAT.exe”。
页面链接:https://x.threatbook.cn/report/dfc469d0cca07e83e58c6266dcd6ac67c5d5dacd6c6ef2543b3ebbbf6d35a280
Microsoft.Win32.TaskScheduler.dll会在Windows系统中添加一个名为Smart_scan的计划任务,取“智能扫描”之义,意在混淆视听。该任务用来每隔15分钟执行一次恶意样本360-services.exe。
页面链接:
https://x.threatbook.cn/report/684523927a468ed5abea8f6c0d3dc01210ec38aa4e0a533abc75dc891d3b0400
6. 在对360-services.exe进行脱壳后,我们得到了其中的.NET PE文件,其模块名称为“Client.exe”,且该可执行文件的代码已被高强度混淆。
9. 加载PE文件中的第3个资源文件的字节码,并使用硬编码的方式建立其他若干数组。将这些数组进行一系列的转换及计算,最终解密得到要运行的字节码,并写入内存。
10. 最终开启后门,连接C&C服务器,并等待服务器回复指令。其中C&C地址为:93.115.94.202,端口号为23558。
通过微步在线通过追踪溯源平台(z.threatbook.cn)对钓鱼网站域名检索发现,其目前指向的IP地址(94.185.82.157)上还存在militaryreviews.net、bdarmy.news、pla-report.net、clep-cn.org等其他包含“cn”、“pla”、“army”等明显针对中国的可疑域名,且前文分析的恶意样本就存放在www.bdarmy.news域名下,因此基本可以断定相关基础设施均为“白象”团伙所有。