“白象”APT组织近期动态分析汇报

颁布功夫 2018-03-31

“白象”别名“Patchwork”，“摩诃草”，疑似来自南亚某国，自2012年以来持续针对中国、巴基斯坦等国进行网络攻击，持久窃取指标国度的科延注军事资料。与其他组织分歧的是，该组织极度善于凭据分歧的攻击指标伪造分歧版本的有关军事、政治信息，以进行下一步的攻击渗入。

2017年下半年以来，我们发现了多起与白象组织有关的最新攻击事务。该组织通过鱼叉式垂钓邮件，并共同社会工程学伎俩在邮件中发送带有体式缝隙文档的链接，诱导受害人点击下载并点击，缝隙触发成功后，会下载Quasar，BADNEWS等变种远控木马。

攻击事务分析

攻击事务A

第一次集中攻击事务产生在2017年11月份左右，我们监控到该组织提议了屡次鱼叉邮件攻击。有关案例如下：

1.使用邮件投放名为China_Strategic_Chain的docx文档，并在邮件中文档内容进行论述，引诱用户点击打开。

2.当用户打开该文档后，显示提醒在输入栏输入密码KEY，再点击左上方的图标即可实现解锁。现实上该输入栏为文本框，且图标为内嵌的OLE对象，该对象在点击后便会触发。

GA黄金甲·(中国区)官方网站

3. 通过提取内嵌的OLE对象内容，发显熹是一个名为Start_chain_1的ppsx体式的ppt文档，点击即可自动播放ppt。

GA黄金甲·(中国区)官方网站

4.该ppsx文德符用了CVE-2017-0199的缝隙，自动播放ppt后即可触发，并下载运行一个sct剧本。

GA黄金甲·(中国区)官方网站

5.sct剧本解密后会挪用Powershell下载并运行putty.exe和自动加载Strategic_Chain.pdf，让用户误以为已经打开有关文档成功。

GA黄金甲·(中国区)官方网站

6.除上述事务之表，该组织通过邮件还发送一封名为Entanglement的ppsx的文档，文档同样使用了CVE-2017-0199缝隙，利用手法与第一路攻击事务类似。

GA黄金甲·(中国区)官方网站

7.与其他攻击事务分歧的是，用户打开该ppsx文档并触发缝隙后，会通过Powershell下载一份名为decoy的ppt并被Powerpoint加载起来。

GA黄金甲·(中国区)官方网站

攻击事务B

第二次集中攻击事务产生在2018年3月，投放的文档重要利用CVE-2017-8570缝隙进行攻击，文档内容也大多和社会政治生涯有关。

GA黄金甲·(中国区)官方网站

201340118359

上述攻击文档所使用的攻击手法齐全一样，都蕴含2个Package类型的OLE对象和1个结构化存储类型的OLE对象。

前两个Package类型的OLE对象利用Packager.dll的机造，掌管把内部嵌入的文件开释到%TMP%目录下。

GA黄金甲·(中国区)官方网站

最后一个OLE对象利用CVE-2017-8570缝隙，通过Scriptlet Moniker从而加载sct文件中的内容。

GA黄金甲·(中国区)官方网站

缝隙触发成功后，最终城市开释并启动一个名为qrat的法式。

GA黄金甲·(中国区)官方网站

攻击事务C

在险些同期，白象组织还提议了另表几起攻击事务，这些攻击事务重要利用了CVE-2015-2545和CVE-2017-0261缝隙文档进行垂钓邮件攻击。投放的缝隙文件种涉及若干主题，其中蕴含巴基斯坦陆军最近的军事推进活动，与巴基斯坦原子能委员会有关的信息等。有关缝隙文档触发后会开释新版本的BADNEWS系列木马。

GA黄金甲·(中国区)官方网站

木马分析

在上述几起攻击事务中，下载（开释）的木马重要有QuasarRAT和BADNEWS两种。

QuasarRAT木马

在攻击事务A和攻击事务B中，下载（开释）的木马为QuasarRAT。

1.开释的木马版本信息伪造成微软或Qiho 360等。

201345014623

201344448133

2.QuasarRAT木马选取C#编写，但最新发现的木马表层增长了一段Loader代码。Loader代码的重要职能是反检测反沙箱职能，并在最后加载原始QuasarRAT木马。QuasarRAT木马选取高强度混合处置。

GA黄金甲·(中国区)官方网站

3.其重要职能有以下几个部门：

GA黄金甲·(中国区)官方网站

4.网络系统信息。

GA黄金甲·(中国区)官方网站

5.样本在网络完信息后，会尝试衔接C&C服务器。

GA黄金甲·(中国区)官方网站

6.最后将网络到的虚构环境，反病毒软件，主机，用户名等信息发送到C&C服务器。

GA黄金甲·(中国区)官方网站

201349019771

201349041142

BADNEWS木马

在攻击事务C中，开释的木马为BADNEWS木马。

1.有关文档触发缝隙后会开释三个文件：

%PROGRAMDATA%\Microsoft\DeviceSync\VMwareCplLauncher.exe
%PROGRAMDATA%\Microsoft\DeviceSync\vmtools.dll
%PROGRAMDATA%\Microsoft\DeviceSync\MSBuild.exe

其中VMwareCplLauncher.exe为拥有合法数字署名的文件，vmtools.dll为经过篡改的dll，用于最终加载BADNEWS的最新变种MSBuild.exe。

2.VMwareCplLauncher.exe运行后，会自动加载vmtools.dll，vmtools.dll执行后会创建一个名为BaiduUpdateTask1的工作打算，该工作打算每隔一分钟会执行一次MSBuild.exe。

3. MSBuild.exe执行后，会下载
hxxps://raw.githubusercontent.com/husngilgit/husnahazrt/master/xml.xml

GA黄金甲·(中国区)官方网站

取出“[[”和“]]”中央的Base64字符串，经过两次base64解码和数次解密后得到样本必要衔接的C&C地址。

4. 拼凑主机上线信息发送到C&C服务器硬编码地址。主机上线信息体式如下：uuid=[UUID] #un=[登录名]#cn=[推算机名]#on=[操作系统版本] #lan=[IP地址]#nop=#ver=1.0。并使用AES加密算法（密钥：DD1876848203D9E10ABCEEC07282FF37）+base64编码发送到//e3e7e71a0b28b5e96cc492e636722f73//4sVKAOvu3D//ABDYot0NxyG.php

5.在使用base64编码后还对编码后的数据的固定偏移地位的插入”=”和”&”字符。

GA黄金甲·(中国区)官方网站

6.网络客户端非移动磁盘的敏感文件列表
（.xls，.xlsx，.doc，.docx，.ppt，.pptx，.pdf等），并保留为一时目录下的edg499.dat。

GA黄金甲·(中国区)官方网站

7.创建线程，将键盘纪录信息，窗口信息等保留为一时目录下的TPX498.dat。

8.上述保留为dat文件的数据，同样使用上述AES加密算法+base64编码发送。但发送的硬编码地址变为\e3e7e71a0b28b5e96cc492e636722f73\4sVKAOvu3D\UYEfgEpXAOE.php

总结

白象组织目前重要威胁指标为巴基斯坦和中国的大面积指标，蕴含教育、军事、科延注媒体等各类指标。其先导攻击伎俩多为鱼叉式垂钓邮件，发送带有体式缝隙文档的链接，并且善于伪造有关军事、政治信息，较为精密。

目前该组织已经成长为有较高攻击能力的幼分队，且使用的缝隙的手法也比力新鲜，对社会工程学的把捏相当的精妙，这从近期多起攻击事务中就能够看出。对于类似白象的攻击组织，由于从来更多依缆粪似电子邮件这样的互联网入口，其实本能够很好的做到防御，但通过诱导性的说话却能够把这些防御措施无效化。因而，加强对人员的安全思想教育，能够很好的预防类似安全事务的产生。

有关IOC

rannd.org
brokings.org
crazywomen-dating.com
ifenngnews.com
209.58.185.37
mail.ifenngnews.com
chinapolicyanalysis.org
94.242.249.203
209.58.183.33

关于金睛安全钻研团队

金睛安全钻研团队是GA黄金甲集团检测产品本部从事专业安全分析的技术型团队，重要职责是对现有产品上报的安全事务、样本数据进行挖掘、分析，并向用户提供专业的分析汇报。

GA黄金甲·(中国区)官方网站

关于VenusEye威胁谍报中心

VenusEye威胁谍报中心（www.venuseye.vip）是GA黄金甲倾力打造的集威胁谍报网络、分析、处置、颁布和利用为一体的威胁谍报云服务平台，提供威胁谍报数据、系统、技术和专业能力的输出。

GA黄金甲·(中国区)官方网站

7*24幼时服务热线

400-624-3900

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

关于GA黄金甲

“白象”APT组织近期动态分析汇报

关于GA黄金甲

解决规划

安全钻研

联系GA黄金甲

7*24幼时服务热线