0
4 月 1 日,雷锋网从微步在线了解到,境外黑客组织“白象”在蛰伏了一段时间后,于今年 3 月上旬对国内发起攻击。
2017年12月下旬,国外网络安全公司趋势科技对其攻击活动曝光后,该团伙迅速停用了所有域名、IP等基础设施,进入“蛰伏期”。然而在今年 3 月上旬至 3 月中旬,“白象”团伙再次发起针对我国的网络攻击,使用的诱饵文档均为某特定期间的新闻话题,涉及军事、社会、法律等多个方面。
此次,白象利用诱饵文档,通过 Office 漏洞向受害主机植入木马后门,相关程序与该团伙此前使用的木马结构功能基本一致,可根据远程控制服务器发送的指令完全控制受害主机。此次攻击活动系通过钓鱼邮件对特定单位和个人发起,且攻击活动仍在继续。
据微步在线捕获的样本文档显示,“白象”使用的多个诱饵文档,分别存放在 fprii.net、ifenngnews.com和chinapolicyanalysis.org 等该团伙注册的仿冒网站上,文档内容涉及“2018最新部队工资调整政策” (3月6日出现)、 “民政部公布一批非法社会组织” (3月14日生成)、“中华人民共和国监察法(草案)”(3月15日生成)、以及日本防卫研究所发布的2018年版《中国安全战略报告》(3月13日出现)等某特定期间的热点话题,具备较强的迷惑性和针对性。
雷锋网了解到,这批诱饵文档均利用了微软Office较新漏洞CVE-2017-8570,未及时安装补丁的用户一旦打开文档就会触发恶意代码,并被植入后门程序。
以下为微步在线出具的样本分析:
我们以名为“Chinas_Arctic_Dream.doc”的样本(21f5514d6256a20dcf9af315ee742d6d2a5b07009b200b447c45b2e8f057361d)为例对此次攻击涉及的木马程序分析如下:
1.样本流程概要
与2017年12月捕获的样本不同的是,此次样本较早期样本解密流程更加简洁,木马后门不在内存解密执行,而是落地后直接运行。流程对比图如下:
2017年12月份样本
2018年3月份样本
微步云沙箱检测结果
2. Droper分析(qrat.exe)
a. Word文档被打开后,会通过触发漏洞释放并运行qrat.exe,样本为C#开发,并做了混淆以防止被分析。
b. 该Droper样本和以往捕获的“白象”样本功能相似,主要是进行木马后门的安装。样本运行后会通过资源先后释放Microsoft.Win32.TaskScheduler.dll和microsoft_network.exe。这两个文件都被存放在qrat.exe的资源中,该段资源包含两个PE文件,最开始的MZ头是后门程序,而第二个MZ头是添加计划任务的dll。通过PE工具可以查看明显的PE文件特征。
为了验证猜想,可通过PE工具和16进制编辑器对这段资源进行提取和分离然后分别得到后门microsoft_network.exe和动态链接库文件Microsoft.Win32.TaskScheduler.dll。
c. 释放后门到路径%APPDATA%\Microsoft Network\microsoft_network\1.0.0.0目录,并注册开机启动,通过调用Microsoft.Win32.TaskScheduler.dll添加计划任务,每5分钟执行一次。
qrat.exe的编译时间为2018年2月2日
3. 后门分析(microsoft_network.exe)
a. 样本从编译时间来看是2018年1月23日,同样采用C#编写,也同样做了混淆,去掉混淆后发现该样本为远控木马。木马采用开源远控xRAT的源码编译,一直被“白象”团伙所使用。此次木马在功能能上相比去年12月份的样本,并没有什么功能性的变化,但是对配置文件选项进行了AES加密,并进行了Base64编码。如下图所示:
该款木马的内部版本号为2.0.0.0 RELEASE3,上线域名tautiaos.com(当前解析43.249.37.199,已无法连接),上线端口号23558,连接密码g00gle@209.58.185.36,互斥体为eohSEArfS1nJ0SBOsCLroQlBlnYZnEjM,配置信息解密密钥为Kkbnev10lq5zOdKl51Aq。与之前捕获的样本相比,此次样本的配置信息均进行了修改,但端口号仍然使用23588。
b. 样本运行后获取操作系统基本信息,通过“ freegeoip.net”获取受害者的地理位置,然后创建互斥体等。远控基本功能包括:
a) 基础功能:远程 Shell,进程管理,屏幕管理,文件操作,获取主机信息,查看开机启动项,远程关机、重启等;
b) 杀软对抗,防火墙检测;
c) 自动更新功能,dll 注入;
d) 获取同一个域下的其它设备的信息。
对此次涉及的恶意域名ifenngnews.com、chinapolicyanalysis.org关联发现,除datapeople-cn.com、sinamilnews.com、ustc-cn.org等大批我们此前已经掌握该团伙资产外,我们还发现了包括wipikedia.xyz、armynews.today等多个于2018年1月19日最新注册的可疑域名,从域名注册商、服务器信息等特点研判认为,这些域名仍为“白象”团伙所有,如下图所示:
此外,有情报显示,“白象”团伙此次攻击主要利用钓鱼邮件向特定单位和个人传播恶意文档的下载链接,截至 2018 年 3 月 21 日,大多数恶意链接仍可访问下载(如hxxp://fprii[.]net/The_Four_Traps_for_China.doc),证明攻击活动仍在继续。雷锋网了解到,用户还可以下载放入监控或者在自己的日志中查看,近期这个团伙是否关注了相关单位。
雷峰网版权文章,未经授权禁止转载。详情见转载须知。