境外黑客组织“白象”3月上旬对国内发起攻击 – 作者:Threatbook

概要

微步在线长期跟踪全球超过100个黑客团伙组织,并发布《“白象”团伙最新动向分析》、《”白象”团伙借中印边境问题再次发起攻击》、《“白象”团伙最新钓鱼网站曝光》和《“白象”团伙开始利用DDE漏洞发起攻击》等多篇与印度背景APT团伙“白象”的相关文章。2017年12月下旬,国外网络安全公司趋势科技对其攻击活动曝光后,该团伙迅速停用了所有域名、IP等基础设施,进入“蛰伏期”。近日,正值我国“两会”召开之际,微步在线再次监测到该团伙活动动向,具体内容包括:

“白象”团伙于3月初再次发起针对我国的网络攻击,使用的诱饵文档均为“两会”期间的新闻话题,涉及军事、社会、法律等多个方面。

诱饵文档利用Office漏洞向受害主机植入木马后门,相关程序与该团伙此前使用的木马结构功能基本一致,可根据远程控制服务器发送的指令完全控制受害主机。

此次攻击活动系通过钓鱼邮件对特定单位和个人发起,且攻击活动仍在继续。

微步在线关联到该团伙最新使用的10个域名(其中5个于今年1月19日最新注册),可用于威胁情报检测。

详情

微步在线近日捕获“白象”使用的多个诱饵文档,分别存放在fprii.net、ifenngnews.com和chinapolicyanalysis.org等该团伙注册的仿冒网站上,文档内容涉及“2018最新部队工资调整政策” (3月6日出现)、 “民政部公布一批非法社会组织” (3月14日生成)、“中华人民共和国监察法(草案)”(3月15日生成)、以及日本防卫研究所发布的2018年版《中国安全战略报告》(3月13日出现)等“两会”期间热点话题,具备较强的迷惑性和针对性。如下图所示:

1.png

2.png

3.png

4.png

这批诱饵文档均利用了微软Office较新漏洞CVE-2017-8570,未及时安装补丁的用户一旦打开文档就会触发恶意代码,并被植入后门程序。

样本分析

我们以名为“Chinas_Arctic_Dream.doc”的样本(8003a48db4924d9fd241069ac5ff20c18cfdf3a81303b201a56f772f09453d67)为例对此次攻击涉及的木马程序分析如下:

1.样本流程概要

与2017年12月捕获的样本不同的是,此次样本较早期样本解密流程更加简洁,木马后门不在内存解密执行,而是落地后直接运行。流程对比图如下:

5.png

2017年12月份样本

6.png

2018年3月份样本 

7.png

微步在线云沙箱检测结果

https://s.threatbook.cn/report/win7_sp1_enx86_office2013_sp1/8003a48db4924d9fd241069ac5ff20c18cfdf3a81303b201a56f772f09453d67/?sign=history

2. Droper分析(qrat.exe)

a.Word文档被打开后,会通过触发漏洞释放并运行qrat.exe,样本为C#开发,并做了混淆以防止被分析。 

8.png

b. 该Droper样本和以往捕获的“白象”样本功能相似,主要是进行木马后门的安装。样本运行后会通过资源先后释放Microsoft.Win32.TaskScheduler.dll和microsoft_network.exe。这两个文件都被存放在qrat.exe的资源中,该段资源包含两个PE文件,最开始的MZ头是后门程序,而第二个MZ头是添加计划任务的dll。通过PE工具可以查看明显的PE文件特征。   

9.png

为了验证猜想,可通过PE工具和16进制编辑器对这段资源进行提取和分离然后分别得到后门microsoft_network.exe和动态链接库文件Microsoft.Win32.TaskScheduler.dll。    c. 释放后门到路径%APPDATA%\Microsoft Network\microsoft_network\1.0.0.0目录,并注册开机启动,通过调用Microsoft.Win32.TaskScheduler.dll添加计划任务,每5分钟执行一次。   

10.png

qrat.exe的编译时间为2018年2月2日。

3. 后门分析(microsoft_network.exe)    

a. 样本从编译时间来看是2018年1月23日,同样采用C#编写,也同样做了混淆,去掉混淆后发现该样本为远控木马。木马采用开源远控xRAT的源码编译,一直被“白象”团伙所使用。此次木马在功能能上相比去年12月份的样本,并没有什么功能性的变化,但是对配置文件选项进行了AES加密,并进行了Base64编码。如下图所示:

11.png

该款木马的内部版本号为2.0.0.0 RELEASE3,上线域名tautiaos.com(当前解析43.249.37.199,已无法连接),上线端口号23558,连接密码[email protected],互斥体为eohSEArfS1nJ0SBOsCLroQlBlnYZnEjM,配置信息解密密钥为Kkbnev10lq5zOdKl51Aq。与之前捕获的样本相比,此次样本的配置信息均进行了修改,但端口号仍然使用23588。   

b. 样本运行后获取操作系统基本信息,通过“ freegeoip.net”获取受害者的地理位置,然后创建互斥体等。远控基本功能包括:

   a) 基础功能:远程 Shell,进程管理,屏幕管理,文件操作,获取主机信息,查看开机启动项,远程关机、重启等;

   b) 杀软对抗,防火墙检测;

   c) 自动更新功能,dll 注入;

   d) 获取同一个域下的其它设备的信息。

关联分析

通过微步在线追踪溯源平台(z.threatbook.cn)对此次涉及的恶意域名ifenngnews.com、chinapolicyanalysis.org关联发现,除datapeople-cn.com、sinamilnews.com、ustc-cn.org等大批我们此前已经掌握该团伙资产外,还发现了包括wipikedia.xyz、armynews.today等多个于2018年1月19日最新注册的可疑域名,从域名注册商、服务器信息等特点研判认为,这些域名仍为“白象”团伙所有,如下图所示:

12.png

此外,有情报显示,“白象”团伙此次攻击主要利用钓鱼邮件向特定单位和个人传播恶意文档的下载链接,截至2018年3月21日,大多数恶意链接仍可访问下载(如hxxp://fprii[.]net/The_Four_Traps_for_China.doc),证明攻击活动仍在继续。

附录

C&C

fprii.net

ifenngnews.com

chinapolicyanalysis.org

ebeijingcn.live

tautiaos.com

armynews.today

wei-xin.run

todaychina.world

videoapp.world

wipikedia.xyz

木马Hash

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

*本文作者:Threatbook,转载请注明来自FreeBuf.COM

来源:freebuf.com 2018-04-02 17:00:17 by: Threatbook

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论