暗象组织(DarkElephant Group)怀疑来自印度的人APT攻击组织主要针对印度的社会活动者、社会团体和在野政党,也窃取印度周边国家的重要军事政治目标,如中国和巴基斯坦。暗象组织的主要攻击手段是利用谷歌/雅虎邮箱或盗窃邮箱向对方发送迷人的鱼叉邮件,诱使对方运行各种免杀技能,包括成熟的商业远程控制木马载荷。至少自2012年以来,该组织已经针对印度的目标和包括中国在内的印度周边地区的目标发年的网络攻击。因为黑客组织在构陷其境内目标时非常黑暗(Bhima Koregaon案件中诬陷社会活动人员的执行人),以及安天结合其组织层面的面貌,隐藏了十年多、少曝光的情况CERT将该组织命名为暗象。本文参考了其他国际安全团队的研究成果[1][2],并补充了图像组织对中国重要单位的网络攻击。最后,通过可追溯性分析,该组织背后的运营商可能位于东5.5时区(印度国家标准时间)。
2.攻击组织分析暗象组织的整体特征可总结如下:
表2-1 总结暗象组织的特点
组织名称 | 暗象组织 / DarkElephant Group |
组织性质 | 高级可持续性威胁 |
疑似来源 | 印度 |
活动时间 | 可追溯到2012年,活跃至今 |
攻击意图 | 获取个人和组织信息,窃取情报 |
针对目标 | 社会活动人士、社会团体、印度在野政党等; 中巴军事政治等印度周边国家。 |
攻击手法 | 主要是鱼叉邮件 |
涉及平台 | Windows、Android |
攻击技术 | 内存解密、内存注入、数字证书、时间戳篡改、文件体积填充 |
诱饵类型 | Office文档、可执行程序、自解压文件等 |
使用漏洞 | CVE-2012-0158、CVE-2013-3906、CVE-2014-1761、CVE-2015-1641 |
开发语言 | C 、Visual Basic |
武器装备 | 商业远控木马为主,如NetWire、DarkComet、ParallaxRAT、GM Bot等 |
在大多数观察到的攻击案例中,攻击者更喜欢使用谷歌和雅虎邮箱伪装成收件人的朋友社会知名人士和机构,诱导内容与时事热点或彼此的工作方向密切相关,攻击者特别对印度本土活动的社会活动家、社会团体和印度共产党的活动表现出强烈而长期的渗透入侵和信息获取兴趣。对于特别重要的个人目标,他们可以实施多年来跨越各种系统平台的监控活动。对于印度以外的其他国家的军事和政治目标,攻击者主要是为了窃取秘密和潜伏。
图 2?样本文件讨论了印度的相关组织制作定时炸药
结合已公开的数据,典型的暗象组织攻击样本如下:
表2-2 暗象组织典型样本
时间戳 | 诱饵主题 | 诱饵类型 |
2012.4.26 | 无(击键记录器) | EXE程序 |
… … | … … | EXE程序 |
2014.11.16 | 印度达利特家庭大屠杀调查报告 | DOC漏洞文档 |
2014.11.28 | 印度Maoist文案的最终版本的主义道路 | DOC漏洞文档 |
2015.1.17 | 印度泰卢固语杂志:革命作家协会文学文化月刊 | DOC漏洞文档 |
2015.2.11 | 印度泰卢固语杂志:革命作家协会文学文化月刊 | DOC漏洞文档 |
2015.2.20 | 印度泰卢固语杂志:革命作家协会文学文化月刊 | DOC漏洞文档 |
2015.4.15 | 印度Telangana警方拘留了穆斯林事件司法调查报告 | DOC漏洞文档 |
2015.4.24 | 印度泰卢固语杂志:革命作家协会文学文化月刊 | DOC漏洞文档 |
2015.6.13 | 尼泊尔Maoist烈士节党的官方安卓应用和文件 | DOC漏洞文档,安卓APP |
2015.6.14 | 印度Mukti marg安卓应用和会议纪要文件 | DOC漏洞文档,安卓APP |
2015.7.18 | 印度共产党Maoist主义报告 | DOC漏洞文档 |
2015.12.20 | 印度PUDR年会数据 | DOC漏洞文档 |
2015.12.26 | 孟买高等法院令状 | RAR自解压程序 |
2016.6.13 | 印度Maoist另一场主义胜利,来自Kobad Ghandy | DOC漏洞文档 |
2016.6.13 | 印度Maoist另一场主义胜利,来自Kobad Ghandy | DOC漏洞文件(压缩包) |
2016.6.13 | 印度Maoist另一场主义胜利,来自Kobad Ghandy | RAR自解压程序 |
2016.12.3 | 印度纳撒尔Maoist主义叛乱 | RAR自解压程序 |
2017.2.28 | 印度Rubina Dilaik演员照片 | RAR自解压程序 |
2017.3.19 | 巴基斯坦朝圣者失踪名单 | RAR自解压程序 |
2017.3.19 | 巴基斯坦朝圣航班名单 | RAR自解压程序 |
2019.3.18 | 印度最高法院对极端组织发出禁令 | RAR自解压程序 |
2019.3.23 | 2015年联合国人类发展计划 | RAR自解压程序 |
2019.3.26 | 2015年联合国人类发展计划 | RAR自解压程序 |
2019.3.30 | 印度北果阿邦达分公司的通知 | RAR自解压程序 |
2019.4.28 | 印度的暴徒制定时炸药 | RAR自解压程序 |
2019.5.19 | 印度人民政治声音调查方法 | RAR自解压程序 |
2020.1.6 | 中国新疆 | RAR自解压程序 |
2020.5.5 | 巴基斯坦海军采购计划 | 路由知识 RAR自解压程序 |
2020.10.13 | 中国海军外交邮包损坏 | RAR自解压程序 |
… … | … … | … … |
在上述样本中,攻击者采用了不同的方法C2运营技巧。最早在2012年,由暗象组织的键记录器将窃密数据发送到硬编码邮箱账号。最早在2012年,由暗象组织的键记录器将窃取密码的数据发送到硬编码的电子邮件账户。在使用各种商业木马窃取密码后,首先注册免费动态域名,如:*.ddns.net和*.zapto.org等等,到2020年以后,自己注册命名就迷茫了。C2域名。
除了在网络基础设施的建设和运行中表现出一定的低成本外,在所有观察到的攻击实例中,没有发现任何攻击者设计和开发的秘密盗窃程序,大多数直接使用成熟的商业远程控制工具,如NetWire、DarkComet、ParallaxRAT等,猜测这种能力主要是为了适应它的主要业务:处理社会活动的困境,缺乏网络安全意识和手段,事实上,当攻击者试图攻击中国的目标时,它可能很容易被发现和阻止。
3.针对我国盗窃事件3.1 攻击过程分析
2020年10月13日,国内某重要单位邮箱收到可疑电子邮件,发件人使用Gmail邮箱不在该单位的地址簿中。邮件的主题是关于丢失带有敏感文件的外交包的信,并在文本中提供了一个网络磁盘链接,可以下载可疑文件。
这个链接是国外某网盘的共享链接,点击下载获得一份ZIP名为压缩包Letter regarding loss of Diplomatic Bag with Sensitive Documents.zip”,包路由知识含恶意代码的自解压诱饵Letter regarding loss of Diplomatic Bag with Sensitive Documents.exe”:
图 3?1 ZIP压缩包的内容
表 3?1自解压诱饵
病毒名称 | Trojan[Downloader]/Win32.Upatre |
原始文件名 | Letter regarding loss of Diplomatic Bag with Sensitive Documents.exe |
MD5 | 9F4649FF692011615 D5 |