1.概述
“暗象”组织(DarkElephant Group)是一个疑似来自印度的APT攻击组织,其主要针对印度境内的社会活动人士、社会团体和在野政党等,同时也会窃取印度周边国家如中国和巴基斯坦等的军事政治目标的重要情报。“暗象”组织的主要攻击手段是使用谷歌/雅虎邮箱或者利用盗取的邮箱,向对方发送极具迷惑性的鱼叉邮件,诱骗对方运行具备多种免杀技巧、包含成熟商用远控木马载荷。至少自2012年以来,该组织针对印度境内的目标,以及包括中国在内的印度周边的目标,发动了长达十年的网络攻击活动。因为该黑客组织在构陷其境内目标时手段十分暗黑(Bhima Koregaon案件中诬陷社会活动人士的执行者),以及结合其组织层面的面貌暗藏十年有逾而鲜有曝光的情况,安天CERT将该组织命名为“暗象”。本文参考了国际其他安全团队的研究成果[1][2],并补充“暗象”组织针对我国重要单位的网络攻击活动,最后通过溯源分析指出该组织背后的运营人员可能位于东5.5时区(印度国家标准时间)。
2.攻击组织分析
“暗象”组织的整体特点可总结如下:
表2-1 “暗象”组织特点总结
组织名称 | “暗象”组织 / DarkElephant Group |
组织性质 | 高级持续性威胁 |
疑似来源 | 印度 |
活动时间 | 最早可追溯到2012年,迄今存在活跃 |
攻击意图 | 获取个体和组织信息、窃取情报 |
针对目标 | 印度境内的社会活动人士、社会团体和在野政党等等; 印度周边国家如中国和巴基斯坦的军事政治等目标。 |
攻击手法 | 鱼叉邮件为主 |
涉及平台 | Windows、Android |
攻击技术 | 内存解密、内存注入、数字证书、时间戳篡改、文件体积填充 |
诱饵类型 | Office文档、可执行程序、自解压文件等 |
使用漏洞 | CVE-2012-0158、CVE-2013-3906、CVE-2014-1761、CVE-2015-1641 |
开发语言 | C++、Visual Basic |
武器装备 | 商业远控木马为主,如NetWire、DarkComet、ParallaxRAT、GM Bot等 |
在观察到的大多攻击案例中,攻击者都喜好使用谷歌和雅虎邮箱伪装成收信人的好友或社会知名人士、知名机构,诱导内容紧随时事热点或与对方的工作方向密切相关,攻击者特别对于印度本土活动的社会活动家、社会团体以及印共等党派的活跃人士表现出强烈而长久的渗透入侵、信息获取兴趣,对于特别重要的个人目标能实施长达多年跨越多种系统平台的监控活动,而对于印度境外的别国军事政治目标,攻击者主要是以窃密和潜伏为主要目的。
图 2‑1样本文件谈及印度境内相关组织制作定时**
经过关联并结合已公开的数据,我们统计出“暗象”组织典型的攻击样本如下:
表2-2 “暗象”组织典型样本
时间戳 | 诱饵主题 | 诱饵类型 |
2012.4.26 | 无(击键记录器) | EXE程序 |
… … | … … | EXE程序 |
2014.11.16 | 印度达利特家庭大屠杀事件调查报告 | DOC漏洞文档 |
2014.11.28 | 印度Maoist主义道路最终版文案 | DOC漏洞文档 |
2015.1.17 | 印度泰卢固语杂志:革命作家协会文学和文化月刊 | DOC漏洞文档 |
2015.2.11 | 印度泰卢固语杂志:革命作家协会文学和文化月刊 | DOC漏洞文档 |
2015.2.20 | 印度泰卢固语杂志:革命作家协会文学和文化月刊 | DOC漏洞文档 |
2015.4.15 | 印度Telangana警方拘留杀害穆斯林事件司法调查报告 | DOC漏洞文档 |
2015.4.24 | 印度泰卢固语杂志:革命作家协会文学和文化月刊 | DOC漏洞文档 |
2015.6.13 | 尼泊尔Maoist主义官方安卓应用和烈士节党的文件 | DOC漏洞文档、安卓APP |
2015.6.14 | 印度Mukti marg安卓应用和会议纪要文件 | DOC漏洞文档、安卓APP |
2015.7.18 | 印度共产党Maoist主义报告 | DOC漏洞文档 |
2015.12.20 | 印度PUDR年度会议数据 | DOC漏洞文档 |
2015.12.26 | 孟买高等法院令状 | RAR自解压程序 |
2016.6.13 | 印度Maoist主义的又一场胜利,来自Kobad Ghandy | DOC漏洞文档 |
2016.6.13 | 印度Maoist主义的又一场胜利,来自Kobad Ghandy | DOC漏洞文档(压缩包) |
2016.6.13 | 印度Maoist主义的又一场胜利,来自Kobad Ghandy | RAR自解压程序 |
2016.12.3 | 印度纳撒尔Maoist主义叛乱 | RAR自解压程序 |
2017.2.28 | 印度Rubina Dilaik演员照片 | RAR自解压程序 |
2017.3.19 | 巴基斯坦朝觐者失踪名单 | RAR自解压程序 |
2017.3.19 | 巴基斯坦朝觐航班名单 | RAR自解压程序 |
2019.3.18 | 印度最高法院对极端组织发出禁令 | RAR自解压程序 |
2019.3.23 | 联合国人类发展计划2015 | RAR自解压程序 |
2019.3.26 | 联合国人类发展计划2015 | RAR自解压程序 |
2019.3.30 | 印度北果阿邦达分部的通知 | RAR自解压程序 |
2019.4.28 | 印度境内暴徒制作定时** | RAR自解压程序 |
2019.5.19 | 印度民众政治声音调查方法 | RAR自解压程序 |
2020.1.6 | 中国新疆 | RAR自解压程序 |
2020.5.5 | 巴基斯坦海军采购计划 | RAR自解压程序 |
2020.10.13 | 中国海军外交邮包损坏 | RAR自解压程序 |
… … | … … | … … |
在以上样本中,攻击者采用过不同的C2运营技巧。最早在2012年时,“暗象”组织的击键记录器会将窃密数据发往硬编码的邮箱账号。在之后采用各种商业木马窃密时,先是注册免费的动态域名如:*.ddns.net和*.zapto.org等,到2020年以后开始自行注册命名上具有迷惑性的C2域名。
除了在网络基础设施的搭建运营上表现出一定的低廉性,在所有观察到的攻击样例里,也没有发现任何攻击者自身设计研发的窃密程序,大多是直接使用成熟的商用远控工具如NetWire、DarkComet、ParallaxRAT等,猜测此能力状况主要是适应其主要业务:应对集中在印度境内的处境窘迫、缺乏网络安全防范意识和手段的社会活动人士,事实上,当攻击者尝试以此手段攻击我国境内目标时可能就很容易被察觉和阻断。
3.针对我国的窃密事件
3.1攻击流程分析
2020年10月13日,国内某重要单位信箱收到一份可疑的电子邮件,发件人使用Gmail邮箱且不在该单位的通讯录内,邮件主题为“关于丢失带有敏感文件的外交包的信”,并在正文中提供了一条可供下载可疑文件的网盘链接。
该链接为国外某网盘的分享链接,点击可下载得到一份ZIP压缩包,名为“Letter regarding loss of Diplomatic Bag with Sensitive Documents.zip”,包内存有一份包含恶意代码的自解压诱饵“Letter regarding loss of Diplomatic Bag with Sensitive Documents.exe”:
图 3‑1 ZIP压缩包的内容
表 3‑1自解压诱饵
病毒名称 | Trojan[Downloader]/Win32.Upatre |
原始文件名 | Letter regarding loss of Diplomatic Bag with Sensitive Documents.exe |
MD5 | 9F4649FF692011615D5CF3C5D410B95E |
处理器架构 | Intel 386 or later, and compatibles |
文件大小 | 3.15 MB (3306464 bytes) |
文件格式 | Win32 EXE |
时间戳 | 2012-06-09 13:19:49 UTC |
数字签名 | Name: Information Civilized System Oy Valid From: 12:00 AM 01/13/2020 Valid To: 11:59 PM 01/12/2021 Thumbprint: 7FB3BF5C17D2E683653FC151ECC8A700DC226245 Serial Number: 00 97 DF 46 AC B2 6B 7C 81 A1 3C ** 67 B4 76 88 C8 Name: VThink Software Consulting Inc. Valid From: 2020-09-04 00:00:00 Valid To: 2021-09-04 23:59:59 Thumbprint: A7425B343917A65DB27268B8FEA5D6D4FD482F76 Serial Number: 8D 52 FB 12 A2 51 1E 86 BB B0 BA 75 C5 17 EA B0 |
该自解压诱饵同时被多个数字证书签名,文件内容包含:4个木马程序(Pollard.exe、Sexton.exe、Beltran.exe和Wilcox.exe),加载器Nevaeh.exe及其配置文件Nevaeh.cfg,功能脚本Meredith.vbs:
以及1个运行后展示给受害者的掩饰文档:DiplomaticBag.pdf
当自解压诱饵被执行后,会先运行加载器Nevaeh.exe,加载器调用其配置文件Nevaeh.cfg后运行功能脚本Meredith.vbs,Meredith.vbs负责运行4个木马程序(Pollard.exe、Sexton.exe、Beltran.exe和Wilcox.exe),4个木马程序会解密远控木马的载荷,最后将载荷注入系统的白进程的内存中运行。梳理整体的流程如下图:
3.2 加载器分析
加载器Nevaeh.exe实际为知名的自动运行工具AdvanceRun,攻击者此处通过配置文件Nevaeh.cfg传输参数,实现在系统的临时目录中静默执行功能脚本Meredith.vbs:
3.3 功能脚本分析
Meredith.vbs脚本的代码夹杂有大量注释,梳理出的主要功能有如下:
a) 展示掩饰文档DiplomaticBag.pdf,迷惑受害者:
3.4 木马程序分析
四个木马程序(Pollard.exe、Sexton.exe、Beltran.exe和Wilcox.exe)都会随计划任务而定时启动,启动后运行各自对应的四个系统白程序,同时在内存中解密出同一shellcode, shellcode负责将自身包含的一段PE数据(ParallaxRAT远控木马)注入对应的白进程中。其中,Beltran.exe负责操作rundll32.exe进程,Pollard.exe操作svchost.exe进程,Sexton.exe操作dllhost.exe进程, Wilcox.exe操作notepad.exe进程。
梳理出的白进程调用和注入流程关系如下:
注入白进程的PE数据属于Parallax RAT远控木马,在内存中运行时会尝试连接域名asianmedics.today,解析到的IP为23.160.208.250,端口号为8647。Parallax RAT属于公开的商业远控,具备文件管理、击键记录、远程桌面、密码窃取、命令执行、进程管理、上传和执行等能力,功能运行都成熟稳定,足以支持常规的窃密操作。
3.5 对抗手段分析
上述四个木马程序皆具备以下三种对抗分析的能力:
a) 拥有数字签名:形成一定的免杀能力,迷惑取证分析时的人工判断,且基本每次行动都会更换签名。
经营性网站备案信息
可信网站信用评价
网络警察提醒您
诚信网站
中国互联网举报中心
网络举报APP下载
