01概述

?

白象/WhiteElephant是具有印度背景的APT組織，其攻擊活動(dòng)最早可追溯到2009年11月，安天將該組織中文命名為白象。2016年安天發(fā)布了《白象的舞步——來自南亞次大陸的網(wǎng)絡(luò)攻擊》[1]，在國內(nèi)首次披露了白象組織的攻擊活動(dòng)，2017年發(fā)布《潛伏的象群——來自南亞次大陸的系列網(wǎng)絡(luò)攻擊活動(dòng)》[2]，再次披露兩起該組織針對(duì)我國的網(wǎng)絡(luò)攻擊活動(dòng)，并在此之后持續(xù)跟蹤該組織的攻擊動(dòng)向，對(duì)捕獲到的攻擊進(jìn)行分析、關(guān)聯(lián)、溯源工作。白象的攻擊目標(biāo)涉及非常廣泛的國家和地區(qū)分布，但主要目標(biāo)是中國和巴基斯坦。該組織具備Windows、Android、macOS多平臺(tái)攻擊能力，擅長使用政治熱點(diǎn)話題作為誘餌進(jìn)行魚叉攻擊，并不斷升級(jí)其攻擊技術(shù)，以達(dá)到更好的免殺效果。

?

近期，安天CERT捕獲到一起白象組織針對(duì)我國相關(guān)單位的攻擊活動(dòng)。在本次攻擊活動(dòng)中，攻擊者向目標(biāo)投遞釣魚郵件，郵件附件為一個(gè)包含惡意LNK文件的壓縮包，LNK文件用于下載BADNEWS遠(yuǎn)控木馬，最終實(shí)現(xiàn)對(duì)目標(biāo)的信息竊取、遠(yuǎn)程控制等功能。

?

進(jìn)一步關(guān)聯(lián)分析發(fā)現(xiàn)，LNK系列攻擊與近期針對(duì)南亞地區(qū)的軍事政治等目標(biāo)的網(wǎng)絡(luò)攻擊相關(guān)，關(guān)聯(lián)到的攻擊使用技術(shù)成熟的商業(yè)遠(yuǎn)控工具如Remcos，也是通過LNK類型誘餌，或文件名以軍政題材命名的EXE程序、釣魚網(wǎng)站等作為攻擊前導(dǎo)，為此攻陷、注冊(cè)了相當(dāng)數(shù)量的網(wǎng)絡(luò)基礎(chǔ)設(shè)施來支撐載荷分發(fā)和控制通聯(lián)。分析研判后發(fā)現(xiàn)關(guān)聯(lián)到的攻擊具有明顯的印度方向背景，攻擊目標(biāo)暫不涉及我國，目前僅發(fā)現(xiàn)與白象組織存在數(shù)字證書上的關(guān)聯(lián)重疊。

??

02針對(duì)我國相關(guān)單位的攻擊活動(dòng)

2.1 LNK文件

攻擊者將包含惡意LNK文件的壓縮包作為郵件附件發(fā)送給目標(biāo)，惡意LNK文件偽裝成pdf文檔誘導(dǎo)攻擊者打開執(zhí)行。

?

?

LNK文件執(zhí)行后會(huì)從https://msit5214.b-cdn.net/abc.pdf處下載誘餌文件并打開，而后從https://msit5214.b-cdn.net/c處下載后續(xù)載荷到C:\ProgramData\Microsoft\DeviceSync并將其命名為OneDrive.exe，最后將其添加到計(jì)劃任務(wù)中執(zhí)行。

?

?

2.2 BADNEWS木馬

?

OneDrive.exe文件為白象組織的BADNEWS遠(yuǎn)程控制木馬，用于實(shí)現(xiàn)文件下載、命令執(zhí)行、屏幕截圖等功能。OneDrive.exe的數(shù)字簽名信息如下。

?

?

BADNEWS木馬執(zhí)行后，首先判斷機(jī)器的時(shí)區(qū)。若檢測(cè)結(jié)果為中國標(biāo)準(zhǔn)時(shí)區(qū)，則會(huì)進(jìn)行后續(xù)惡意操作。

?

接著創(chuàng)建互斥量qzex，確保當(dāng)前環(huán)境下該進(jìn)程唯一，而后使用SetWindowsHookExW函數(shù)注冊(cè)鍵盤鉤子。

?

竊取的鍵盤記錄將會(huì)存放到%temp%\kednfbdnfby.dat文件。

?

?

使用正常的Web服務(wù)myexternalip.com、api.ipify.org、ifconfig.me獲取主機(jī)IP外網(wǎng)地址。

?

將前面獲取到的外網(wǎng)IP在api.iplocation.net、ipapi.co 的Web服務(wù)中查詢，獲取外網(wǎng)IP所屬國家的名稱。

將獲取到的加密信息拼接成一個(gè)字符串，用于后續(xù)作為心跳包的內(nèi)容回傳到C2服務(wù)器。

在目標(biāo)機(jī)中收集的數(shù)據(jù)類型如下所示：

收集到的信息首先進(jìn)行Base64編碼，而后通過AES-CBC-128加密，然后再進(jìn)行一次Base64編碼。加密使用的AES密鑰為“qgdrbn8kloiuytr3”，IV為“feitrt74673ngbfj”。

?

創(chuàng)建3個(gè)線程同C2服務(wù)器通信，C2地址為charliezard.shop，通信端口為443端口，URI為/tagpdjjarzajgt/cooewlzafloumm.php。每個(gè)線程分別承擔(dān)不同的工作，通信內(nèi)容采用AES-CBC-128加密數(shù)據(jù)。

sub_409900線程函數(shù)用于發(fā)送收集的基本信息，驗(yàn)證目標(biāo)機(jī)器是否處于開機(jī)狀態(tài)。

?

sub_4092A0線程函數(shù)用于實(shí)現(xiàn)遠(yuǎn)程控制功能。攻擊者下發(fā)執(zhí)行的格式為：指令$參數(shù)1$參數(shù)2，參數(shù)2并未使用。

對(duì)比以往的BADNEWS各個(gè)控制命令的實(shí)現(xiàn)，發(fā)現(xiàn)該組織并未同先前攻擊活動(dòng)[3]中一樣將執(zhí)行結(jié)果保存到文件，而是直接將數(shù)據(jù)加密后回傳到C2服務(wù)器，BADNEWS中存在的指令代碼及對(duì)應(yīng)功能如下所示：

?

sub_409440線程函數(shù)用于執(zhí)行cmd命令收集信息（包括當(dāng)前用戶名、網(wǎng)絡(luò)配置、DNS緩存、系統(tǒng)信息、進(jìn)程列表），然后將信息加密后添加到endfh參數(shù)回傳至C2服務(wù)器。

?

?

2.3?歸因分析

此次釋放的木馬OneDrive.exe在代碼結(jié)構(gòu)、加密算法、通信模式等方面和白象組織以往攻擊活動(dòng)中使用的BADNEWS木馬相似，并且BADNEWS木馬的存放路徑C:\ProgramData\Microsoft\DeviceSync也是該組織常用文件路徑。

?

以往攻擊活動(dòng)中利用CVE-2017-11882漏洞釋放的BADNEWS木馬存放路徑。

?

本次攻擊活動(dòng)中BADNEWS木馬存放路徑。

?

以往攻擊活動(dòng)BADNEWS木馬中存在的系統(tǒng)時(shí)區(qū)檢測(cè)代碼。

?

本次攻擊活動(dòng)BADNEWS木馬中存在的系統(tǒng)時(shí)區(qū)檢測(cè)代碼。

?

03針對(duì)南亞軍政目標(biāo)的攻擊活動(dòng)

對(duì)上述攻擊活動(dòng)使用到的BADNEWS木馬進(jìn)行關(guān)聯(lián)分析，發(fā)現(xiàn)與近期針對(duì)南亞地區(qū)的軍事政治等目標(biāo)的網(wǎng)絡(luò)攻擊存在相關(guān)性。關(guān)聯(lián)到的攻擊通過LNK類型誘餌，或文件名以軍政題材命名的EXE程序、釣魚網(wǎng)站等作為攻擊前導(dǎo)，大量使用商業(yè)木馬Remcos實(shí)現(xiàn)遠(yuǎn)程控制，獲取目標(biāo)敏感信息。

3.1 Remcos商業(yè)遠(yuǎn)控木馬

Remcos是一款商業(yè)遠(yuǎn)控木馬，包括實(shí)現(xiàn)遠(yuǎn)程桌面控制、屏幕竊取、剪切板竊取、攝像頭及音頻窺視、命令執(zhí)行、瀏覽器竊密、密碼竊取、創(chuàng)建代理等豐富功能，能對(duì)文件、進(jìn)程、服務(wù)、窗口、注冊(cè)表、網(wǎng)絡(luò)等信息進(jìn)行收集和管理。

?

?

3.2?與白象組織的關(guān)聯(lián)分析

3.2.1 數(shù)字證書關(guān)聯(lián)

?

根據(jù)上述針對(duì)我國相關(guān)單位的攻擊活動(dòng)中BADNEWS木馬的數(shù)字簽名信息，可以關(guān)聯(lián)到具備該簽名的惡意文件。

?

?

使用該簽名的文件數(shù)量并不多，其中包含名為Minutes-of-Meeting-Joint-Ops.exe的木馬樣本，樣本在今年2月22日從孟加拉國上傳，為Remcos遠(yuǎn)控家族，C2地址為45.137.116.253:443 (TCP)。

?

同樣訪問45.137.116.253:443 (TCP)地址的木馬還包括其他文件名為軍政題材的Remcos遠(yuǎn)控，其中fatima.exe的母體為此前未見的下載器：

?

托管這些Remcos遠(yuǎn)控程序的傀儡網(wǎng)站merafm.com是巴基斯坦最受歡迎的無線電廣播公司MERA FM的網(wǎng)站，進(jìn)一步分析基本確定該網(wǎng)站是被入侵，用于掛載攻擊者大量的惡意文件，文件梳理列表如下：

?

惡意文件的工具能力和IoC梳理如下：

?

3.2.2?樣本同源關(guān)聯(lián)

基于以上樣本，通過在文件元數(shù)據(jù)、代碼、資產(chǎn)等同源層面進(jìn)行關(guān)聯(lián)拓線，關(guān)聯(lián)到多個(gè)樣本如下表：

?

惡意文件的工具能力和IoC梳理如下：

?

其中dllhostSvc.exe的執(zhí)行母體是名為Password.lnk的惡意快捷方式，LNK被打包在壓縮包中，壓縮包之中存在加密的word文檔以及名為Password.lnk的惡意快捷方式，誘導(dǎo)目標(biāo)打開快捷方式獲取密碼，手段與上文中針對(duì)中國的LNK誘餌較為類似：

?

Password.lnk通過調(diào)用mshta.exe執(zhí)行遠(yuǎn)程端HTA文件中包含的PowerShell代碼，下載https://webmail.mod.com.pk/uploads/adrean.exe，并將其重命名為%localappdata%\dllhostSvc.exe執(zhí)行。

?

3.2.3?網(wǎng)絡(luò)資產(chǎn)關(guān)聯(lián)

?

針對(duì)南亞攻擊活動(dòng)的相關(guān)網(wǎng)絡(luò)資產(chǎn)主要以自有域名、自有IP和傀儡網(wǎng)站三種類別組成。

?

其中自有域名包括命名上與官方相似的域名，以及Whois注冊(cè)地址偽裝成受害者所在地的域名。這些域名大多數(shù)用于給下載器響應(yīng)載荷，其中webmail.mod.com.pk既作為載荷分發(fā)又作為釣魚盜號(hào)網(wǎng)站：

?

自有IP為Remcos遠(yuǎn)控的C2地址，多為443端口且同屬德國云服務(wù)提供商combahton GmbH，控制端口存在測(cè)繪掃描特征，截至報(bào)告撰寫時(shí)可測(cè)得IP共計(jì)8個(gè)，梳理信息如下：

?

傀儡網(wǎng)站目前僅發(fā)現(xiàn)merafm.com，從惡意文件掛載路徑來看有可能是漏洞攻擊后通過惡意上傳完成。

?

04威脅框架映射

?

本次捕獲到的白象組織針對(duì)我國相關(guān)單位攻擊活動(dòng)共涉及ATT&CK框架中8個(gè)階段的19個(gè)技術(shù)點(diǎn)，具體行為描述如下表：

?

將涉及到的威脅行為技術(shù)點(diǎn)映射到ATT&CK框架如下圖所示：

?

05總結(jié)

?

綜上所述，安天CERT近期發(fā)現(xiàn)的LNK系列攻擊，由印度的白象APT組織發(fā)起，攻擊者疑似通過釣魚攻擊投遞專用遠(yuǎn)控木馬，相關(guān)的攻擊手法和代碼與以往的白象組織的攻擊特征保持一致。通過樣本數(shù)字證書關(guān)聯(lián)的Remcos商業(yè)木馬來自針對(duì)南亞地區(qū)攻擊活動(dòng)，攻擊者大量使用Remcos商業(yè)木馬針對(duì)軍事政治等目標(biāo)。除安天發(fā)現(xiàn)白象組織使用Remcos商業(yè)木馬外，斯洛伐克廠商ESET[4]也發(fā)現(xiàn)了印度肚腦蟲（Donot）組織使用了Remcos商業(yè)木馬，兩個(gè)印度組織都開始使用Remcos商業(yè)木馬，可以看出印度組織進(jìn)一步嘗試購買商業(yè)木馬納入為自己的攻擊武器，降低成本的同時(shí)依托商業(yè)木馬提高網(wǎng)絡(luò)攻擊活動(dòng)效率。

?

參考資料

[1]?白象的舞步——來自南亞次大陸的網(wǎng)絡(luò)攻擊

https://www.antiy.com/response/WhiteElephant/WhiteElephant.html

?

[2] 潛伏的象群——來自南亞次大陸的系列網(wǎng)絡(luò)攻擊活動(dòng)

https://www.antiy.com/response/The_Latest_Elephant_Group.html

?

[3]?白象組織近期網(wǎng)絡(luò)攻擊活動(dòng)分析

https://www.antiy.com/response/20221027.html

[4] ESET APT Activity Report: Attacks by China-, North Korea-, and Iran-aligned threat actors; Russia eyes Ukraine and the EU

https://www.eset.com/int/about/newsroom/press-releases/research/eset-apt-activity-report-attacks-by-china-north-korea-and-iran-aligned-threat-actors-russia-eyes-ukr/

?