1.概述
“暗象”組織(DarkElephant Group)是一個疑似來自印度的APT攻擊組織�,其主要針對印度境內的社會活動人士、社會團體和在野政黨等����,同時也會竊取印度周邊國家如中國和巴基斯坦等的軍事政治目標的重要情報�����!鞍迪蟆苯M織的主要攻擊手段是使用谷歌/雅虎郵箱或者利用盜取的郵箱���,向對方發(fā)送極具迷惑性的魚叉郵件��,誘騙對方運行具備多種免殺技巧���、包含成熟商用遠控木馬載荷。至少自2012年以來,該組織針對印度境內的目標���,以及包括中國在內的印度周邊的目標�,發(fā)動了長達十年的網(wǎng)絡攻擊活動����。因為該黑客組織在構陷其境內目標時手段十分暗黑(Bhima Koregaon案件中誣陷社會活動人士的執(zhí)行者),以及結合其組織層面的面貌暗藏十年有逾而鮮有曝光的情況�,安天CERT將該組織命名為“暗象”。本文參考了國際其他安全團隊的研究成果[1][2]�,并補充“暗象”組織針對我國重要單位的網(wǎng)絡攻擊活動,最后通過溯源分析指出該組織背后的運營人員可能位于東5.5時區(qū)(印度國家標準時間)��。
2.攻擊組織分析
“暗象”組織的整體特點可總結如下:
表2-1 “暗象”組織特點總結
組織名稱 | “暗象”組織 / DarkElephant Group |
組織性質 | 高級持續(xù)性威脅 |
疑似來源 | 印度 |
活動時間 | 最早可追溯到2012年����,迄今存在活躍 |
攻擊意圖 | 獲取個體和組織信息、竊取情報 |
針對目標 | 印度境內的社會活動人士�、社會團體和在野政黨等等�����; 印度周邊國家如中國和巴基斯坦的軍事政治等目標�。 |
攻擊手法 | 魚叉郵件為主 |
涉及平臺 | Windows、Android |
攻擊技術 | 內存解密、內存注入����、數(shù)字證書、時間戳篡改�、文件體積填充 |
誘餌類型 | Office文檔、可執(zhí)行程序��、自解壓文件等 |
使用漏洞 | CVE-2012-0158�、CVE-2013-3906、CVE-2014-1761���、CVE-2015-1641 |
開發(fā)語言 | C++�、Visual Basic |
武器裝備 | 商業(yè)遠控木馬為主����,如NetWire、DarkComet���、ParallaxRAT���、GM Bot等 |
在觀察到的大多攻擊案例中,攻擊者都喜好使用谷歌和雅虎郵箱偽裝成收信人的好友或社會知名人士�、知名機構,誘導內容緊隨時事熱點或與對方的工作方向密切相關,攻擊者特別對于印度本土活動的社會活動家�、社會團體以及印共等黨派的活躍人士表現(xiàn)出強烈而長久的滲透入侵、信息獲取興趣���,對于特別重要的個人目標能實施長達多年跨越多種系統(tǒng)平臺的監(jiān)控活動��,而對于印度境外的別國軍事政治目標�����,攻擊者主要是以竊密和潛伏為主要目的�����。
圖 2‑1樣本文件談及印度境內相關組織制作定時**
經(jīng)過關聯(lián)并結合已公開的數(shù)據(jù)�,我們統(tǒng)計出“暗象”組織典型的攻擊樣本如下:
表2-2 “暗象”組織典型樣本
時間戳 | 誘餌主題 | 誘餌類型 |
2012.4.26 | 無(擊鍵記錄器) | EXE程序 |
… … | … … | EXE程序 |
2014.11.16 | 印度達利特家庭大屠殺事件調查報告 | DOC漏洞文檔 |
2014.11.28 | 印度Maoist主義道路最終版文案 | DOC漏洞文檔 |
2015.1.17 | 印度泰盧固語雜志:革命作家協(xié)會文學和文化月刊 | DOC漏洞文檔 |
2015.2.11 | 印度泰盧固語雜志:革命作家協(xié)會文學和文化月刊 | DOC漏洞文檔 |
2015.2.20 | 印度泰盧固語雜志:革命作家協(xié)會文學和文化月刊 | DOC漏洞文檔 |
2015.4.15 | 印度Telangana警方拘留殺害穆斯林事件司法調查報告 | DOC漏洞文檔 |
2015.4.24 | 印度泰盧固語雜志:革命作家協(xié)會文學和文化月刊 | DOC漏洞文檔 |
2015.6.13 | 尼泊爾Maoist主義官方安卓應用和烈士節(jié)黨的文件 | DOC漏洞文檔��、安卓APP |
2015.6.14 | 印度Mukti marg安卓應用和會議紀要文件 | DOC漏洞文檔�����、安卓APP |
2015.7.18 | 印度共產(chǎn)黨Maoist主義報告 | DOC漏洞文檔 |
2015.12.20 | 印度PUDR年度會議數(shù)據(jù) | DOC漏洞文檔 |
2015.12.26 | 孟買高等法院令狀 | RAR自解壓程序 |
2016.6.13 | 印度Maoist主義的又一場勝利����,來自Kobad Ghandy | DOC漏洞文檔 |
2016.6.13 | 印度Maoist主義的又一場勝利,來自Kobad Ghandy | DOC漏洞文檔(壓縮包) |
2016.6.13 | 印度Maoist主義的又一場勝利��,來自Kobad Ghandy | RAR自解壓程序 |
2016.12.3 | 印度納撒爾Maoist主義叛亂 | RAR自解壓程序 |
2017.2.28 | 印度Rubina Dilaik演員照片 | RAR自解壓程序 |
2017.3.19 | 巴基斯坦朝覲者失蹤名單 | RAR自解壓程序 |
2017.3.19 | 巴基斯坦朝覲航班名單 | RAR自解壓程序 |
2019.3.18 | 印度最高法院對極端組織發(fā)出禁令 | RAR自解壓程序 |
2019.3.23 | 聯(lián)合國人類發(fā)展計劃2015 | RAR自解壓程序 |
2019.3.26 | 聯(lián)合國人類發(fā)展計劃2015 | RAR自解壓程序 |
2019.3.30 | 印度北果阿邦達分部的通知 | RAR自解壓程序 |
2019.4.28 | 印度境內暴徒制作定時** | RAR自解壓程序 |
2019.5.19 | 印度民眾政治聲音調查方法 | RAR自解壓程序 |
2020.1.6 | 中國新疆 | RAR自解壓程序 |
2020.5.5 | 巴基斯坦海軍采購計劃 | RAR自解壓程序 |
2020.10.13 | 中國海軍外交郵包損壞 | RAR自解壓程序 |
… … | … … | … … |
在以上樣本中���,攻擊者采用過不同的C2運營技巧����。最早在2012年時��,“暗象”組織的擊鍵記錄器會將竊密數(shù)據(jù)發(fā)往硬編碼的郵箱賬號����。在之后采用各種商業(yè)木馬竊密時,先是注冊免費的動態(tài)域名如:*.ddns.net和*.zapto.org等�����,到2020年以后開始自行注冊命名上具有迷惑性的C2域名��。
除了在網(wǎng)絡基礎設施的搭建運營上表現(xiàn)出一定的低廉性����,在所有觀察到的攻擊樣例里,也沒有發(fā)現(xiàn)任何攻擊者自身設計研發(fā)的竊密程序�,大多是直接使用成熟的商用遠控工具如NetWire�����、DarkComet���、ParallaxRAT等,猜測此能力狀況主要是適應其主要業(yè)務:應對集中在印度境內的處境窘迫����、缺乏網(wǎng)絡安全防范意識和手段的社會活動人士,事實上�����,當攻擊者嘗試以此手段攻擊我國境內目標時可能就很容易被察覺和阻斷���。
3.針對我國的竊密事件
3.1攻擊流程分析
2020年10月13日���,國內某重要單位信箱收到一份可疑的電子郵件,發(fā)件人使用Gmail郵箱且不在該單位的通訊錄內���,郵件主題為“關于丟失帶有敏感文件的外交包的信”���,并在正文中提供了一條可供下載可疑文件的網(wǎng)盤鏈接�。
該鏈接為國外某網(wǎng)盤的分享鏈接���,點擊可下載得到一份ZIP壓縮包,名為“Letter regarding loss of Diplomatic Bag with Sensitive Documents.zip”����,包內存有一份包含惡意代碼的自解壓誘餌“Letter regarding loss of Diplomatic Bag with Sensitive Documents.exe”:
圖 3‑1 ZIP壓縮包的內容
表 3‑1自解壓誘餌
病毒名稱 | Trojan[Downloader]/Win32.Upatre |
原始文件名 | Letter regarding loss of Diplomatic Bag with Sensitive Documents.exe |
MD5 | 9F4649FF692011615D5CF3C5D410B95E |
處理器架構 | Intel 386 or later, and compatibles |
文件大小 | 3.15 MB (3306464 bytes) |
文件格式 | Win32 EXE |
時間戳 | 2012-06-09 13:19:49 UTC |
數(shù)字簽名 | Name: Information Civilized System Oy Valid From: 12:00 AM 01/13/2020 Valid To: 11:59 PM 01/12/2021 Thumbprint: 7FB3BF5C17D2E683653FC151ECC8A700DC226245 Serial Number: 00 97 DF 46 AC B2 6B 7C 81 A1 3C ** 67 B4 76 88 C8 Name: VThink Software Consulting Inc. Valid From: 2020-09-04 00:00:00 Valid To: 2021-09-04 23:59:59 Thumbprint: A7425B343917A65DB27268B8FEA5D6D4FD482F76 Serial Number: 8D 52 FB 12 A2 51 1E 86 BB B0 BA 75 C5 17 EA B0 |
該自解壓誘餌同時被多個數(shù)字證書簽名,文件內容包含:4個木馬程序(Pollard.exe����、Sexton.exe、Beltran.exe和Wilcox.exe)��,加載器Nevaeh.exe及其配置文件Nevaeh.cfg���,功能腳本Meredith.vbs:
以及1個運行后展示給受害者的掩飾文檔:DiplomaticBag.pdf
當自解壓誘餌被執(zhí)行后����,會先運行加載器Nevaeh.exe�����,加載器調用其配置文件Nevaeh.cfg后運行功能腳本Meredith.vbs���,Meredith.vbs負責運行4個木馬程序(Pollard.exe��、Sexton.exe����、Beltran.exe和Wilcox.exe),4個木馬程序會解密遠控木馬的載荷���,最后將載荷注入系統(tǒng)的白進程的內存中運行����。梳理整體的流程如下圖:
3.2 加載器分析
加載器Nevaeh.exe實際為知名的自動運行工具AdvanceRun�����,攻擊者此處通過配置文件Nevaeh.cfg傳輸參數(shù)���,實現(xiàn)在系統(tǒng)的臨時目錄中靜默執(zhí)行功能腳本Meredith.vbs:
3.3 功能腳本分析
Meredith.vbs腳本的代碼夾雜有大量注釋�����,梳理出的主要功能有如下:
a) 展示掩飾文檔DiplomaticBag.pdf����,迷惑受害者:
3.4 木馬程序分析
四個木馬程序(Pollard.exe、Sexton.exe�、Beltran.exe和Wilcox.exe)都會隨計劃任務而定時啟動,啟動后運行各自對應的四個系統(tǒng)白程序���,同時在內存中解密出同一shellcode, shellcode負責將自身包含的一段PE數(shù)據(jù)(ParallaxRAT遠控木馬)注入對應的白進程中����。其中,Beltran.exe負責操作rundll32.exe進程�,Pollard.exe操作svchost.exe進程,Sexton.exe操作dllhost.exe進程�����, Wilcox.exe操作notepad.exe進程��。
梳理出的白進程調用和注入流程關系如下:
注入白進程的PE數(shù)據(jù)屬于Parallax RAT遠控木馬��,在內存中運行時會嘗試連接域名asianmedics.today����,解析到的IP為23.160.208.250,端口號為8647����。Parallax RAT屬于公開的商業(yè)遠控����,具備文件管理�、擊鍵記錄、遠程桌面�����、密碼竊取�����、命令執(zhí)行�����、進程管理�、上傳和執(zhí)行等能力,功能運行都成熟穩(wěn)定����,足以支持常規(guī)的竊密操作。
3.5 對抗手段分析
上述四個木馬程序皆具備以下三種對抗分析的能力:
a) 擁有數(shù)字簽名:形成一定的免殺能力,迷惑取證分析時的人工判斷��,且基本每次行動都會更換簽名��。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡舉報APP下載
