“白象”APT组织近期动态剖析报告

宣布时间 2018-03-31

“白象”又名“Patchwork”，“摩诃草”，疑似来自南亚某国，自2012年以来一连针对中国、巴基斯坦等国举行网络攻击，恒久窃取目的国家的科研、军事资料。与其他组织差别的是，该组织很是善于凭证差别的攻击目的伪造差别版本的相关军事、政治信息，以举行下一步的攻击渗透。

2017年下半年以来，我们发明了多起与白象组织相关的最新攻击事务。该组织通过鱼叉式垂纶邮件，并配合社会工程学手段在邮件中发送带著名堂误差文档的链接，诱导受害人点击下载并点击，误差触发乐成后，会下载Quasar，BADNEWS等变种远控木马。

攻击事务剖析

攻击事务A

第一次集中攻击事务爆发在2017年11月份左右，我们监控到该组织提倡了多次鱼叉邮件攻击。相关案例如下：

1.使用邮件投放名为China_Strategic_Chain的docx文档，并在邮件中文档内容举行叙述，引诱用户点击翻开。

2.当用户翻开该文档后，显示提醒在输入栏输入密码KEY，再点击左上方的图标即可完成解锁。现实上该输入栏为文本框，且图标为内嵌的OLE工具，该工具在点击后便会触发。

优发国际·随优而动一触即发

3. 通过提取内嵌的OLE工具内容，发明其是一个名为Start_chain_1的ppsx名堂的ppt文档，点击即可自动播放ppt。

优发国际·随优而动一触即发

4.该ppsx文档使用了CVE-2017-0199的误差，自动播放ppt后即可触发，并下载运行一个sct剧本。

优发国际·随优而动一触即发

5.sct剧本解密后会挪用Powershell下载并运行putty.exe和自动加载Strategic_Chain.pdf，让用户误以为已经翻开相关文档乐成。

优发国际·随优而动一触即发

6.除上述事务之外，该组织通过邮件还发送一封名为Entanglement的ppsx的文档，文档同样使用了CVE-2017-0199误差，使用手法与第一起攻击事务类似。

优发国际·随优而动一触即发

7.与其他攻击事务差别的是，用户翻开该ppsx文档并触发误差后，会通过Powershell下载一份名为decoy的ppt并被Powerpoint加载起来。

优发国际·随优而动一触即发

攻击事务B

第二次集中攻击事务爆发在2018年3月，投放的文档主要使用CVE-2017-8570误差举行攻击，文档内容也大多和社会政治生涯相关。

优发国际·随优而动一触即发

上述攻击文档所使用的攻击手法完全相同，都包括2个Package类型的OLE工具和1个结构化存储类型的OLE工具。

前两个Package类型的OLE工具使用Packager.dll的机制，认真把内部嵌入的文件释放到%TMP%目录下。

优发国际·随优而动一触即发

最后一个OLE工具使用CVE-2017-8570误差，通过Scriptlet Moniker从而加载sct文件中的内容。

优发国际·随优而动一触即发

误差触发乐成后，最终都会释放并启动一个名为qrat的程序。

优发国际·随优而动一触即发

攻击事务C

在险些同期，白象组织还提倡了另外几起攻击事务，这些攻击事务主要使用了CVE-2015-2545和CVE-2017-0261误差文档举行垂纶邮件攻击。投放的误差文件种涉及若干主题，其中包括巴基斯坦陆军最近的军事增进运动，与巴基斯坦原子能委员会有关的信息等。相关误差文档触发后会释放新版本的BADNEWS系列木马。

优发国际·随优而动一触即发

木马剖析

在上述几起攻击事务中，下载（释放）的木马主要有QuasarRAT和BADNEWS两种。

QuasarRAT木马

在攻击事务A和攻击事务B中，下载（释放）的木马为QuasarRAT。

1.释放的木马版本信息伪造成微软或Qiho 360等。

2.QuasarRAT木马接纳C#编写，但最新发明的木马外层添加了一段Loader代码。Loader代码的主要功效是反检测反沙箱功效，并在最后加载原始QuasarRAT木马。QuasarRAT木马接纳高强度混淆处置惩罚。

优发国际·随优而动一触即发

3.其主要功效有以下几个部分：

优发国际·随优而动一触即发

4.网络系统信息。

优发国际·随优而动一触即发

5.样本在网络完信息后，会实验毗连C&C服务器。

优发国际·随优而动一触即发

6.最后将网络到的虚拟情形，反病毒软件，主机，用户名等信息发送到C&C服务器。

优发国际·随优而动一触即发

BADNEWS木马

在攻击事务C中，释放的木马为BADNEWS木马。

1.相关文档触发误差后会释放三个文件：

%PROGRAMDATA%\Microsoft\DeviceSync\VMwareCplLauncher.exe
%PROGRAMDATA%\Microsoft\DeviceSync\vmtools.dll
%PROGRAMDATA%\Microsoft\DeviceSync\MSBuild.exe

其中VMwareCplLauncher.exe为具有正当数字署名的文件，vmtools.dll为经由改动的dll，用于最终加载BADNEWS的最新变种MSBuild.exe。

2.VMwareCplLauncher.exe运行后，会自动加载vmtools.dll，vmtools.dll执行后会建设一个名为BaiduUpdateTask1的使命妄想，该使命妄想每隔一分钟会执行一次MSBuild.exe。

3. MSBuild.exe执行后，会下载
hxxps://raw.githubusercontent.com/husngilgit/husnahazrt/master/xml.xml

优发国际·随优而动一触即发

取出“[[”和“]]”中心的Base64字符串，经由两次base64解码和数次解密后获得样本需要毗连的C&C地点。

4. 拼集主机上线信息发送到C&C服务器硬编码地点。主机上线信息名堂如下：uuid=[UUID] #un=[登录名]#cn=[盘算机名]#on=[操作系统版本] #lan=[IP地点]#nop=#ver=1.0。并使用AES加密算法（密钥：DD1876848203D9E10ABCEEC07282FF37）+base64编码发送到//e3e7e71a0b28b5e96cc492e636722f73//4sVKAOvu3D//ABDYot0NxyG.php

5.在使用base64编码后还对编码后的数据的牢靠偏移位置的插入”=”和”&”字符。

优发国际·随优而动一触即发

6.搜集客户端非移动磁盘的敏感文件列表
（.xls，.xlsx，.doc，.docx，.ppt，.pptx，.pdf等），并生涯为暂时目录下的edg499.dat。

优发国际·随优而动一触即发

7.建设线程，将键盘纪录信息，窗口信息等生涯为暂时目录下的TPX498.dat。

8.上述生涯为dat文件的数据，同样使用上述AES加密算法+base64编码发送。但发送的硬编码地点变为\e3e7e71a0b28b5e96cc492e636722f73\4sVKAOvu3D\UYEfgEpXAOE.php

总结

白象组织现在主要威胁目的为巴基斯坦和中国的大面积目的，包括教育、军事、科研、媒体等种种目的。其先导攻击手段多为鱼叉式垂纶邮件，发送带著名堂误差文档的链接，并且善于伪造相关军事、政治信息，较为细腻。

现在该组织已经生长为有较高攻击能力的小分队，且使用的误差的手法也较量新颖，对社会工程学的把捏相当的精妙，这从近期多起攻击事务中就可以看出。关于类似白象的攻击组织，由于向来更多依赖类似电子邮件这样的互联网入口，着实本可以很好的做到防御，但通过诱导性的语言却可以把这些防御步伐无效化。因此，增强对职员的清静头脑教育，可以很好的阻止类似清静事务的爆发。

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

优发国际网站官网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系优发国际网站官网

关于优发国际网站官网

“白象”APT组织近期动态剖析报告

关于优发国际网站官网

解决计划

清静研究

联系优发国际网站官网

7*24小时服务热线