“白象”团伙借中印边境问题再次发起攻击

“白象”,又名Patchwork、Dropping
Elephant,自2015年12月开始活跃,长期针对中国军队、政府等部门开展渗透攻击,2016年7月被Cymmetria、安天、Forcepoint、卡巴斯基、赛门铁克等多家安全公司曝光。该团伙主要通过钓鱼邮件和仿冒网站传播木马,木马载体通常为军事、政治相关主题的Doc或PPS文档,常用漏洞包括CVE-2012-0158、CVE-2014-4114、CVE-2014-6352等。

2017年5月,微步在线通过一份包含漏洞的Word文档发现了“白象”团伙针对中国政府、军事相关部门的攻击活动,挖掘出其注册的大量可疑域名和木马样本。有趣的是,就在印度军队于8月28日自洞朗撤军,中印双方结束了两个多月的对峙后,该团伙的钓鱼网站于8月29日再次上线,并以“中印边境”为题诱导访问者下载恶意程序植入后门,继续对中国目标发起攻击。具体内容包括:

·  钓鱼网站于2017年8月29日上线,以“中印边境”为话题构造了仿冒优酷的钓鱼页面,诱导访问者下载后门程序。

·  木马使用C++编写,执行后会再调用一段加密后的.Net代码,并伪装成360安全防护软件,具备较强的隐蔽性和对抗性。

·  木马启动后能够接受远程控制服务器任意指令,完全控制受害主机,远控服务器目前仍可正常通信,说明攻击活动尚在进行中。

·  微步通过对相关样本进行分析供提取相关的 IOC 13条,部署微步在线威胁情报平台的用户,可通过系统告警定位到失陷主机(详见下图),并使用微步在线提供的应急响应予以分析和处理。

详情

本次捕获的钓鱼页面(www.qzonecn.com)于2017年8月29日上线,系仿冒优酷网的一条新闻视频,标题为“中国和阿三的边界问题在洞朗”(未发现优酷网上有类似名称的视频),视频位置显示“您还没有安装flash播放器,请点击这里安装”。点击该链接后,会打开adobe公司官网,却从另一恶意站点(www.bdarmy.news)下载名为“Adobeflashplayer26_install_ver9.6.0.exe”的可执行程序,制造该程序来自Adobe官网的假象,具备较强迷惑性。如下图所示:

查看网站源码发现,钓鱼链接会先打开Flash Player 官方下载页面,再从www.bdarmy.news下载仿冒的“安装包”程序,以混淆视听。

查看该程序的属性发现,其详细信息包含“qiho”、“360”、“Defence”等干扰字符,而原始文件名为“RAT.exe”。

“RAT.exe”在微步在线分析平台的检测结果如下:


页面链接:https://x.threatbook.cn/report/dfc469d0cca07e83e58c6266dcd6ac67c5d5dacd6c6ef2543b3ebbbf6d35a280

样本分析

对“安装包”程序分析发现,该样本的主要执行流程如下图所示:

样本的具体行为如下:

1. 样本执行后会释放另外两个文件,分别为Microsoft.Win32.TaskScheduler.dll和360-services.exe。

2. Microsoft.Win32.TaskScheduler.dll会在Windows系统中添加一个名为Smart_scan的计划任务,取“智能扫描”之义,意在混淆视听。该任务用来每隔15分钟执行一次恶意样本360-services.exe。

3. 360-services.exe仿冒了360安全卫士的相关进程,是真正执行恶意行为的样本。该样本在分析平台的检测结果为:

页面链接:

https://x.threatbook.cn/report/684523927a468ed5abea8f6c0d3dc01210ec38aa4e0a533abc75dc891d3b0400

4. 在释放这两个文件后,样本将使用Windows自带的命令行工具CMD运行如下命令,使用ping命令尝试连接1.1.1.1,并删除掉释放样本自身和Microsoft.Win32.TaskScheduler.dll文件。


接下来,真正的恶意样本360-services.exe开始运行。

5. 经过分析发现,360-services.exe实际上是一个基于.NET平台的PE文件的外壳,该外壳的名称为.NET Reactor,版本号为4.5-4.7,此保护壳具有较强的反调试和混淆代码等功能。

6. 在对360-services.exe进行脱壳后,我们得到了其中的.NET PE文件,其模块名称为“Client.exe”,且该可执行文件的代码已被高强度混淆。

7. 使用反混淆技术对该PE文件进行处理,成功还原出大部分代码。

8.
样本将通过FindResource函数检查当前文件中是否存在“__”资源,若不存在,则说明当前.NET
PE并不是由360-services.exe运行起来的,而是被人工剥离出来独立运行的,因此样本会将此情况视为自身正在被分析,则直接退出程序,不执行任何恶意行为。

9. 加载PE文件中的第3个资源文件的字节码,并使用硬编码的方式建立其他若干数组。将这些数组进行一系列的转换及计算,最终解密得到要运行的字节码,并写入内存。

10. 最终开启后门,连接C&C服务器,并等待服务器回复指令。其中C&C地址为:93.115.94.202,端口号为23558。

关联分析

通过微步在线通过追踪溯源平台(z.threatbook.cn)对钓鱼网站域名检索发现,其目前指向的IP地址(94.185.82.157)上还存在militaryreviews.net、bdarmy.news、pla-report.net、clep-cn.org等其他包含“cn”、“pla”、“army”等明显针对中国的可疑域名,且前文分析的恶意样本就存放在www.bdarmy.news域名下,因此基本可以断定相关基础设施均为“白象”团伙所有。

分析认为,此次攻击事件出现于印度自洞朗撤军后,以中印边境问题为诱饵,且涉及的样本和域名含有针对中国的元素,符合“白象”团伙的攻击特点和动机。由于此次攻击活动仍在继续,可根据我们提供的IOC及时排查网络和主机环境中的相关威胁。

附录

C&C

qzonecn.com

chinamil.info

sinodefence.info

militaryreviews.net

pla-report.net

bdarmy.news

clep-cn.org

94.185.82.157

93.115.94.202

木马Hash

dfc469d0cca07e83e58c6266dcd6ac67c5d5dacd6c6ef2543b3ebbbf6d35a280

684523927a468ed5abea8f6c0d3dc01210ec38aa4e0a533abc75dc891d3b0400

26697ae1a8ce318ae567a99d2c7fb3fe5a2d5b73fc1ef6408fd0989309eda846

f3d4aec38415555dbb889b3475fb29f2036976fa90be5835e7e1f7e304fa4b85

原文发布时间为: 2017年9月28日

时间: 2024-12-06 07:21:34

“白象”团伙借中印边境问题再次发起攻击的相关文章

“白象”仿冒优酷网站,借中印边境话题再次发起钓鱼攻击

9月29日,雷锋网从微步在线获取了一份关于"白象"团伙借中印边境问题再次发起攻击的事件分析报告.该报告称,自该团伙在 2016 年 7 月被Cymmetria.安天.Forcepoint.卡巴斯基.赛门铁克等多家安全公司曝光后,该团伙的钓鱼网站于 8 月 29 日再次上线,并以"中印边境"为题诱导访问者下载恶意程序植入后门,继续对中国目标发起攻击. "白象",又名Patchwork.Dropping Elephant,自2015年12月开始活跃,

印度正式在中印边境部署苏-30战机

资料图:印度空军列装的苏-30MKI战机 印度最近一段时间在中印边境地区可谓是动作频繁,继向边境增兵6万人后,15日又正式将4架苏-30战机部署到印度东北部靠近中国边界的地区.有印度媒体称,这是印度要将先进武器转移至紧邻中国边界地区的战略步骤. 据印度亚洲新闻社15日报道,印度防务官员表示,4架先进的苏-30MKI战斗机当天被正式部署在印度东北部阿萨姆邦的提斯普尔基地内.印度防务部门一名发言人称,他们很快将扩充至一支由18架战机组成的苏-30MKI中队.一名空军官员说:"由于气候条件不佳,当天只

美生物医药风投连旺两季 中印新兴市场被看好

全美风险资本协会(NVCA)最近发布的二季度投资数据显示,风险投资对生命科学领域(生物技术和医疗设备行业)的投资再次处于遥遥领先的地位.今年一季度,生物医药领域投资即首度超出其他领域,成为最活跃和最受投资者青睐的行业,不仅投资金额上升59%,投资项目数也增加了34%. 今年二季度,生物医药领域的风险投资交易金额为13亿美元,有139家公司及项目得到了风险投资的支持.整体而言,生命科学的风险投资金额比第一季度又上升了52%,投资项目数增加了36%.尤其让人欣慰的是,种子期和早期阶段的风险投资交易在

商业周刊:谷歌Android拓展中印市场

导读:美国<商业周刊>网络版今天撰文称,为了与苹果和诺基亚等竞争对手抗衡,谷歌制订了一系列计划来吸引开发者,并且将Android操作系统推广到中国和印度的低价手机中. 以下为文章全文: 拓展中印市场 谷歌计划在中国和印度推广其Android手机操作系统,并且正在探索一些方法,帮助消费者通过应用获取更多收入,从而与苹果和诺基亚竞争. 谷歌工程副总裁安迪·鲁宾(Andy Rubin)在接受媒体采访时表示,为了吸引程序员为Android开发应用,谷歌有可能会提供一些工具,帮助开发者通过手机应用直接出

印度银行界建议中印贸易避开美元结算

据印度<经济时报>14日报道,印度银行界人士已经提议在中国和印度双边贸易中直接采用人民币和卢比结算,避免通过美元结转,从而简化双边贸易结算和降低交易成本. 此间银行界人士认为,不断上升的中印两国贸易额可以作为逐步开展人民币对卢比结算的市场基础,银行借此可以提供人民币对卢比汇率的即期和远期报价. 印度HDFC银行首席执行官阿迪蒂亚·普里表示,人民币与卢比直接结算可以减少交易时间,并降低交易成本. 目前,由于人民币和卢比不可自由兑换,中印两国贸易以美元计价,结算要先由本币兑换成美元,然后再兑换成对

谷歌 Android拓展中印市场

美国<商业周刊>网络版今天撰文称,为了与苹果和诺基亚等竞 争对手抗衡,谷歌制订了一系列计划来吸引开发者,并且将Android操作系统推广到中国和印度的低价手机中. 以下为文章全文: 拓展中印市场 谷歌计划在中国和印度推广其Android手机操作系统,并且正在探索一些方法,帮助消费者通过应用获取更多收入,从而与苹果和诺基亚竞争. 谷歌工程副总裁安迪·鲁宾(Andy Rubin)在接受媒体采访时表示,为了吸引程序员为Android开发应用,谷歌有可能会提供一些工具,帮助开发者通过手机应用直接出售服

android中播放停止后再次播放

问题描述 android中播放停止后再次播放 应用第一次播放正常,但是如果按了停止键,再次播放就会播放不了...不知为什么? // method for play stream after stop it.public void startradio(View v) { try{ if(mp.isPlaying()){ return; } mp.start(); } catch(IllegalStateException ex){ ex.printStackTrace(); } }// meth

探访中缅边境的大数据管理局

图为工作人员在大数据计算机前工作. 图为保山市大数据管理局大厅内介绍管理局职能的大屏幕. 6月6日,记者探访新成立不久的云南保山市大数据管理局.保山市于2015年11月28日成立大数据管理局,作为全新的政府职能机关,该局依托保山市区位优势和电力优势,将保山建设成孟中印缅经济走廊的"数聚"中心和信息经济示范区. 本文转自d1net(转载)

中印风险投资发展比较:印度投资人享有关系网优势

中国和印度的快速经济发展不仅吸引了海外归来的企业家,也吸引了风险投资资本家.新加坡CAP Vista公司投资经理陈子和在INSEAD亚洲校园最近举办的一个名为「管理质量」的研讨会上谈到,由于中印两国经济快速发展,两国留学西方的人都纷纷回国赶这个盛会. 他指出,亚洲正见证土产企业向风险资本支持的企业模式转进.在谈到创业资本的监管架构与环境时,他表示,这在美国和欧洲已经很完善:但在印度和中国,过去十年才开始出现,并仍在探索阶段. 了解当地文化重要性 陈先生在谈到中国时说,最重要的是要了解中国文化并建