行业动态

防御吧作为15年知名老牌域名服务商,CNNIC和CANN双认证域名注册商,已经
持续为500多万个域名提供服务,包括智能DNS/自由转移/隐私保护等服务!
潜藏十年的网络攻击
2022-06-21 13:33:27 【

1.概述

“暗象”组织(DarkElephant Group)是一个疑似来自印度的APT攻击组织,其主要针对印度境内的社会活动人士、社会团体和在野政党等,同时也会窃取印度周边国家如中国和巴基斯坦等的军事政治目标的重要情报。“暗象”组织的主要攻击手段是使用谷歌/雅虎邮箱或者利用盗取的邮箱,向对方发送极具迷惑性的鱼叉邮件,诱骗对方运行具备多种免杀技巧、包含成熟商用远控木马载荷。至少自2012年以来,该组织针对印度境内的目标,以及包括中国在内的印度周边的目标,发动了长达十年的网络攻击活动。因为该黑客组织在构陷其境内目标时手段十分暗黑(Bhima Koregaon案件中诬陷社会活动人士的执行者),以及结合其组织层面的面貌暗藏十年有逾而鲜有曝光的情况,安天CERT将该组织命名为“暗象”。本文参考了国际其他安全团队的研究成果[1][2],并补充“暗象”组织针对我国重要单位的网络攻击活动,最后通过溯源分析指出该组织背后的运营人员可能位于东5.5时区(印度国家标准时间)。

2.攻击组织分析

“暗象”组织的整体特点可总结如下:

表2-1 “暗象”组织特点总结

组织名称

“暗象”组织 / DarkElephant Group

组织性质

高级持续性威胁

疑似来源

印度

活动时间

最早可追溯到2012年,迄今存在活跃

攻击意图

获取个体和组织信息、窃取情报

针对目标

印度境内的社会活动人士、社会团体和在野政党等等;

印度周边国家如中国和巴基斯坦的军事政治等目标。

攻击手法

鱼叉邮件为主

涉及平台

Windows、Android

攻击技术

内存解密、内存注入、数字证书、时间戳篡改、文件体积填充

诱饵类型

Office文档、可执行程序、自解压文件等

使用漏洞

CVE-2012-0158、CVE-2013-3906、CVE-2014-1761、CVE-2015-1641

开发语言

C++、Visual Basic

武器装备

商业远控木马为主,如NetWire、DarkComet、ParallaxRAT、GM Bot等

      在观察到的大多攻击案例中,攻击者都喜好使用谷歌和雅虎邮箱伪装成收信人的好友或社会知名人士、知名机构,诱导内容紧随时事热点或与对方的工作方向密切相关,攻击者特别对于印度本土活动的社会活动家、社会团体以及印共等党派的活跃人士表现出强烈而长久的渗透入侵、信息获取兴趣,对于特别重要的个人目标能实施长达多年跨越多种系统平台的监控活动,而对于印度境外的别国军事政治目标,攻击者主要是以窃密和潜伏为主要目的。

图 2 1样本文件谈及印度境内相关组织制作定时**.png

图 2‑1样本文件谈及印度境内相关组织制作定时**

      经过关联并结合已公开的数据,我们统计出“暗象”组织典型的攻击样本如下:

表2-2 “暗象”组织典型样本

时间戳

诱饵主题

诱饵类型

2012.4.26

无(击键记录器)

EXE程序

… …

… …

EXE程序

2014.11.16

印度达利特家庭大屠杀事件调查报告

DOC漏洞文档

2014.11.28

印度Maoist主义道路最终版文案

DOC漏洞文档

2015.1.17

印度泰卢固语杂志:革命作家协会文学和文化月刊

DOC漏洞文档

2015.2.11

印度泰卢固语杂志:革命作家协会文学和文化月刊

DOC漏洞文档

2015.2.20

印度泰卢固语杂志:革命作家协会文学和文化月刊

DOC漏洞文档

2015.4.15

印度Telangana警方拘留杀害穆斯林事件司法调查报告

DOC漏洞文档

2015.4.24

印度泰卢固语杂志:革命作家协会文学和文化月刊

DOC漏洞文档

2015.6.13

尼泊尔Maoist主义官方安卓应用和烈士节党的文件

DOC漏洞文档、安卓APP

2015.6.14

印度Mukti marg安卓应用和会议纪要文件

DOC漏洞文档、安卓APP

2015.7.18

印度共产党Maoist主义报告

DOC漏洞文档

2015.12.20

印度PUDR年度会议数据

DOC漏洞文档

2015.12.26

孟买高等法院令状

RAR自解压程序

2016.6.13

印度Maoist主义的又一场胜利,来自Kobad Ghandy

DOC漏洞文档

2016.6.13

印度Maoist主义的又一场胜利,来自Kobad Ghandy

DOC漏洞文档(压缩包)

2016.6.13

印度Maoist主义的又一场胜利,来自Kobad Ghandy

RAR自解压程序

2016.12.3

印度纳撒尔Maoist主义叛乱

RAR自解压程序

2017.2.28

印度Rubina   Dilaik演员照片

RAR自解压程序

2017.3.19

巴基斯坦朝觐者失踪名单

RAR自解压程序

2017.3.19

巴基斯坦朝觐航班名单

RAR自解压程序

2019.3.18

印度最高法院对极端组织发出禁令

RAR自解压程序

2019.3.23

联合国人类发展计划2015

RAR自解压程序

2019.3.26

联合国人类发展计划2015

RAR自解压程序

2019.3.30

印度北果阿邦达分部的通知

RAR自解压程序

2019.4.28

印度境内暴徒制作定时**

RAR自解压程序

2019.5.19

印度民众政治声音调查方法

RAR自解压程序

2020.1.6

中国新疆

RAR自解压程序

2020.5.5

巴基斯坦海军采购计划

RAR自解压程序

2020.10.13

中国海军外交邮包损坏

RAR自解压程序

… …

… …

… …

      在以上样本中,攻击者采用过不同的C2运营技巧。最早在2012年时,“暗象”组织的击键记录器会将窃密数据发往硬编码的邮箱账号。在之后采用各种商业木马窃密时,先是注册免费的动态域名如:*.ddns.net和*.zapto.org等,到2020年以后开始自行注册命名上具有迷惑性的C2域名。

      除了在网络基础设施的搭建运营上表现出一定的低廉性,在所有观察到的攻击样例里,也没有发现任何攻击者自身设计研发的窃密程序,大多是直接使用成熟的商用远控工具如NetWire、DarkComet、ParallaxRAT等,猜测此能力状况主要是适应其主要业务:应对集中在印度境内的处境窘迫、缺乏网络安全防范意识和手段的社会活动人士,事实上,当攻击者尝试以此手段攻击我国境内目标时可能就很容易被察觉和阻断。

3.针对我国的窃密事件

3.1攻击流程分析

2020年10月13日,国内某重要单位信箱收到一份可疑的电子邮件,发件人使用Gmail邮箱且不在该单位的通讯录内,邮件主题为“关于丢失带有敏感文件的外交包的信”,并在正文中提供了一条可供下载可疑文件的网盘链接。

      该链接为国外某网盘的分享链接,点击可下载得到一份ZIP压缩包,名为“Letter regarding loss of Diplomatic Bag with Sensitive Documents.zip”,包内存有一份包含恶意代码的自解压诱饵“Letter regarding loss of Diplomatic Bag with Sensitive Documents.exe”:


图 3 1 ZIP压缩包的内容.png

图 3‑1 ZIP压缩包的内容

表 3‑1自解压诱饵

病毒名称

Trojan[Downloader]/Win32.Upatre

原始文件名

Letter regarding loss of Diplomatic Bag with   Sensitive Documents.exe

MD5

9F4649FF692011615D5CF3C5D410B95E

处理器架构

Intel 386 or   later, and compatibles

文件大小

3.15 MB   (3306464 bytes)

文件格式

Win32 EXE

时间戳

2012-06-09 13:19:49   UTC

数字签名

Name:   Information Civilized System Oy

Valid From:   12:00 AM 01/13/2020

Valid To:   11:59 PM 01/12/2021

Thumbprint:   7FB3BF5C17D2E683653FC151ECC8A700DC226245

Serial   Number: 00 97 DF 46 AC B2 6B 7C 81 A1 3C ** 67 B4 76 88 C8

Name: VThink   Software Consulting Inc.

Valid From:   2020-09-04 00:00:00

Valid To:   2021-09-04 23:59:59

Thumbprint:   A7425B343917A65DB27268B8FEA5D6D4FD482F76

Serial   Number:  8D 52 FB 12 A2 51 1E 86 BB B0   BA 75 C5 17 EA B0

      该自解压诱饵同时被多个数字证书签名,文件内容包含:4个木马程序(Pollard.exe、Sexton.exe、Beltran.exe和Wilcox.exe),加载器Nevaeh.exe及其配置文件Nevaeh.cfg,功能脚本Meredith.vbs:


以及1个运行后展示给受害者的掩饰文档:DiplomaticBag.pdf


当自解压诱饵被执行后,会先运行加载器Nevaeh.exe,加载器调用其配置文件Nevaeh.cfg后运行功能脚本Meredith.vbs,Meredith.vbs负责运行4个木马程序(Pollard.exe、Sexton.exe、Beltran.exe和Wilcox.exe),4个木马程序会解密远控木马的载荷,最后将载荷注入系统的白进程的内存中运行。梳理整体的流程如下图:



3.2 加载器分析

加载器Nevaeh.exe实际为知名的自动运行工具AdvanceRun,攻击者此处通过配置文件Nevaeh.cfg传输参数,实现在系统的临时目录中静默执行功能脚本Meredith.vbs:


3.3 功能脚本分析

Meredith.vbs脚本的代码夹杂有大量注释,梳理出的主要功能有如下:

a) 展示掩饰文档DiplomaticBag.pdf,迷惑受害者:



3.4 木马程序分析

四个木马程序(Pollard.exe、Sexton.exe、Beltran.exe和Wilcox.exe)都会随计划任务而定时启动,启动后运行各自对应的四个系统白程序,同时在内存中解密出同一shellcode, shellcode负责将自身包含的一段PE数据(ParallaxRAT远控木马)注入对应的白进程中。其中,Beltran.exe负责操作rundll32.exe进程,Pollard.exe操作svchost.exe进程,Sexton.exe操作dllhost.exe进程, Wilcox.exe操作notepad.exe进程。


      梳理出的白进程调用和注入流程关系如下:



注入白进程的PE数据属于Parallax RAT远控木马,在内存中运行时会尝试连接域名asianmedics.today,解析到的IP为23.160.208.250,端口号为8647。Parallax RAT属于公开的商业远控,具备文件管理、击键记录、远程桌面、密码窃取、命令执行、进程管理、上传和执行等能力,功能运行都成熟稳定,足以支持常规的窃密操作。


3.5 对抗手段分析

上述四个木马程序皆具备以下三种对抗分析的能力:

a) 拥有数字签名:形成一定的免杀能力,迷惑取证分析时的人工判断,且基本每次行动都会更换签名。


】【打印关闭】 【返回顶部
分享到QQ空间
分享到: 
上一篇香港高防服务器是如何实现防御? 下一篇如何建立有弹性的网络安全团队

立足首都,辐射全球,防御吧专注云防御及云计算服务15年!

联系我们

服务热线:13051179500 18910191973
企业QQ:1245940436
技术支持:010-56159998
E-Mail:xihedata.com
Copyright ? 2003-2016 fangyuba. 防御吧(完美解决防御与加速) 版权所有 增值许可:京B2-20140042号
售前咨询
公司总机:18910191973
24小时电话:010-56159998
投诉电话:18910191973
值班售后/技术支持
售后服务/财务
备案专员
紧急电话:18610088800