“白象”APT组织近期动态分析陈诉

宣布时间 2018-03-31

“白象”又名“Patchwork”，“摩诃草”，疑似来自南亚某国，自2012年以来连续针对中国、巴基斯坦等国进行网络攻击，恒久窃取目标国家的科研、军事资料。与其他组织差异的是，该组织非常擅长凭据差异的攻击目标伪造差异版本的相关军事、政治信息，以进行下一步的攻击渗透。

2017年下半年以来，我们发现了多起与白象组织相关的最新攻击事件。该组织通过鱼叉式钓鱼邮件，并配合社会工程学手段在邮件中发送带有格式漏洞文档的链接，诱导受害人点击下载并点击，漏洞触发乐成后，会下载Quasar，BADNEWS等变种远控木马。

攻击事件分析

攻击事件A

第一次集中攻击事件发生在2017年11月份左右，我们监控到该组织提倡了多次鱼叉邮件攻击。相关案例如下：

1.使用邮件投放名为China_Strategic_Chain的docx文档，并在邮件中文档内容进行论述，引诱用户点击打开。

2.当用户打开该文档后，显示提示在输入栏输入密码KEY，再点击左上方的图标即可完成解锁。实际上该输入栏为文本框，且图标为内嵌的OLE工具，该工具在点击后便会触发。

尊龙抖圈 - 为du而生

3. 通过提取内嵌的OLE工具内容，发现其是一个名为Start_chain_1的ppsx格式的ppt文档，点击即可自动播放ppt。

尊龙抖圈 - 为du而生

4.该ppsx文档利用了CVE-2017-0199的漏洞，自动播放ppt后即可触发，并下载运行一个sct脚本。

尊龙抖圈 - 为du而生

5.sct脚本解密后会调用Powershell下载并运行putty.exe和自动加载Strategic_Chain.pdf，让用户误以为已经打开相关文档乐成。

尊龙抖圈 - 为du而生

6.除上述事件之外，该组织通过邮件还发送一封名为Entanglement的ppsx的文档，文档同样使用了CVE-2017-0199漏洞，利用手法与第一起攻击事件类似。

尊龙抖圈 - 为du而生

7.与其他攻击事件差异的是，用户打开该ppsx文档并触发漏洞后，会通过Powershell下载一份名为decoy的ppt并被Powerpoint加载起来。

尊龙抖圈 - 为du而生

攻击事件B

第二次集中攻击事件发生在2018年3月，投放的文档主要利用CVE-2017-8570漏洞进行攻击，文档内容也大多和社会政治生活相关。

尊龙抖圈 - 为du而生

上述攻击文档所使用的攻击手法完全相同，都包罗2个Package类型的OLE工具和1个结构化存储类型的OLE工具。

前两个Package类型的OLE工具利用Packager.dll的机制，卖力把内部嵌入的文件释放到%TMP%目录下。

尊龙抖圈 - 为du而生

最后一个OLE工具利用CVE-2017-8570漏洞，通过Scriptlet Moniker从而加载sct文件中的内容。

尊龙抖圈 - 为du而生

漏洞触发乐成后，最终都市释放并启动一个名为qrat的法式。

尊龙抖圈 - 为du而生

攻击事件C

在几乎同期，白象组织还提倡了另外几起攻击事件，这些攻击事件主要利用了CVE-2015-2545和CVE-2017-0261漏洞文档进行钓鱼邮件攻击。投放的漏洞文件种涉及若干主题，其中包罗巴基斯坦陆军最近的军事促进活动，与巴基斯坦原子能委员会有关的信息等。相关漏洞文档触发后会释放新版本的BADNEWS系列木马。

尊龙抖圈 - 为du而生

木马分析

在上述几起攻击事件中，下载（释放）的木马主要有QuasarRAT和BADNEWS两种。

QuasarRAT木马

在攻击事件A和攻击事件B中，下载（释放）的木马为QuasarRAT。

1.释放的木马版本信息伪造成微软或Qiho 360等。

2.QuasarRAT木马接纳C#编写，但最新发现的木马外层添加了一段Loader代码。Loader代码的主要功效是反检测反沙箱功效，并在最后加载原始QuasarRAT木马。QuasarRAT木马接纳高强度混淆处置。

尊龙抖圈 - 为du而生

3.其主要功效有以下几个部门：

尊龙抖圈 - 为du而生

4.收集系统信息。

尊龙抖圈 - 为du而生

5.样本在收集完信息后，会实验连接C&C服务器。

尊龙抖圈 - 为du而生

6.最后将收集到的虚拟环境，反病毒软件，主机，用户名等信息发送到C&C服务器。

尊龙抖圈 - 为du而生

BADNEWS木马

在攻击事件C中，释放的木马为BADNEWS木马。

1.相关文档触发漏洞后会释放三个文件：

%PROGRAMDATA%\Microsoft\DeviceSync\VMwareCplLauncher.exe
%PROGRAMDATA%\Microsoft\DeviceSync\vmtools.dll
%PROGRAMDATA%\Microsoft\DeviceSync\MSBuild.exe

其中VMwareCplLauncher.exe为具有合法数字签名的文件，vmtools.dll为经过改动的dll，用于最终加载BADNEWS的最新变种MSBuild.exe。

2.VMwareCplLauncher.exe运行后，会自动加载vmtools.dll，vmtools.dll执行后会创建一个名为BaiduUpdateTask1的任务计划，该任务计划每隔一分钟会执行一次MSBuild.exe。

3. MSBuild.exe执行后，会下载
hxxps://raw.githubusercontent.com/husngilgit/husnahazrt/master/xml.xml

尊龙抖圈 - 为du而生

取出“[[”和“]]”中间的Base64字符串，经过两次base64解码和数次解密后得到样本需要连接的C&C地址。

4. 拼凑主机上线信息发送到C&C服务器硬编码地址。主机上线信息格式如下：uuid=[UUID] #un=[登录名]#cn=[计算机名]#on=[操作系统版本] #lan=[IP地址]#nop=#ver=1.0。并使用AES加密算法（密钥：DD1876848203D9E10ABCEEC07282FF37）+base64编码发送到//e3e7e71a0b28b5e96cc492e636722f73//4sVKAOvu3D//ABDYot0NxyG.php

5.在使用base64编码后还对编码后的数据的牢固偏移位置的插入”=”和”&”字符。

尊龙抖圈 - 为du而生

6.搜集客户端非移动磁盘的敏感文件列表
（.xls，.xlsx，.doc，.docx，.ppt，.pptx，.pdf等），并生存为临时目录下的edg499.dat。

尊龙抖圈 - 为du而生

7.创建线程，将键盘记录信息，窗口信息等生存为临时目录下的TPX498.dat。

8.上述生存为dat文件的数据，同样使用上述AES加密算法+base64编码发送。但发送的硬编码地址变为\e3e7e71a0b28b5e96cc492e636722f73\4sVKAOvu3D\UYEfgEpXAOE.php

总结

白象组织目前主要威胁目标为巴基斯坦和中国的大面积目标，包罗教育、军事、科研、媒体等种种目标。其先导攻击手段多为鱼叉式钓鱼邮件，发送带有格式漏洞文档的链接，而且擅长伪造相关军事、政治信息，较为精细。

目前该组织已经生长为有较高攻击能力的小分队，且使用的漏洞的手法也比力新颖，对社会工程学的把捏相当的精妙，这从近期多起攻击事件中就可以看出。对于类似白象的攻击组织，由于历来更多依赖类似电子邮件这样的互联网入口，其实本可以很好的做到防御，但通过诱导性的语言却可以把这些防御措施无效化。因此，加强对人员的宁静思想教育，可以很好的制止类似宁静事件的发生。

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

抖圈为赌而生

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系抖圈为赌而生

关于抖圈为赌而生

“白象”APT组织近期动态分析陈诉

关于抖圈为赌而生

解决方案

宁静研究

联系抖圈为赌而生

7*24小时服务热线