白象组织使用BADNEWS和Remcos商业木马的最新攻击活动

时间 :  2023年05月23日  来源:  安天CERT

1.概述


白象/WhiteElephant是具有印度背景的APT组织,其攻击活动最早可追溯到2009年11月,安天将该组织中文命名为白象。2016年安天发布了《白象的舞步——来自南亚次大陆的网络攻击》[1],在国内首次披露了白象组织的攻击活动,2017年发布《潜伏的象群——来自南亚次大陆的系列网络攻击活动》[2],再次披露两起该组织针对我国的网络攻击活动,并在此之后持续跟踪该组织的攻击动向,对捕获到的攻击进行分析、关联、溯源工作。白象的攻击目标涉及非常广泛的国家和地区分布,但主要目标是中国和巴基斯坦。该组织具备Windows、Android、macOS多平台攻击能力,擅长使用政治热点话题作为诱饵进行鱼叉攻击,并不断升级其攻击技术,以达到更好的免杀效果。

近期,安天CERT捕获到一起白象组织针对我国相关单位的攻击活动。在本次攻击活动中,攻击者向目标投递钓鱼邮件,邮件附件为一个包含恶意LNK文件的压缩包,LNK文件用于下载BADNEWS远控木马,最终实现对目标的信息窃取、远程控制等功能。

进一步关联分析发现,LNK系列攻击与近期针对南亚地区的军事政治等目标的网络攻击相关,关联到的攻击使用技术成熟的商业远控工具如Remcos,也是通过LNK类型诱饵,或文件名以军政题材命名的EXE程序、钓鱼网站等作为攻击前导,为此攻陷、注册了相当数量的网络基础设施来支撑载荷分发和控制通联。分析研判后发现关联到的攻击具有明显的印度方向背景,攻击目标暂不涉及我国,目前仅发现与白象组织存在数字证书上的关联重叠。

2.针对我国相关单位的攻击活动


2.1 LNK文件

表2-1 恶意LNK文件

原始文件名

先进结构与复合材料”等4个重点专项2023年度项目申报指南的通知 .pdf.lnk

MD5

a8b9dcd916a005114da6a90c9724c4d9

文件大小

3.75 KB (3,848 bytes)

文件格式

LNK

攻击者将包含恶意LNK文件的压缩包作为邮件附件发送给目标,恶意LNK文件伪装成pdf文档诱导攻击者打开执行。

图2‑1 压缩包内双后缀的诱饵文件

LNK文件执行后会从https://msit5214.b-cdn.net/abc.pdf处下载诱饵文件并打开,而后从https://msit5214.b-cdn.net/c处下载后续载荷到C:\ProgramData\Microsoft\DeviceSync并将其命名为OneDrive.exe,最后将其添加到计划任务中执行。

图2‑2 LNK文件中提取出的代码

2.2 BADNEWS木马

表2-2 BADNEWS木马

病毒名

Trojan[RAT]/Win32.Whiteelephant

原始文件名

OneDrive.exe

MD5

5bb083f686c1d9aba9cd6334a997c20e

处理器架构

Intel 386 or later processors

文件大小

337.45 KB (345544 bytes)

文件格式

Win32 EXE

时间戳

2023-04-06 09:01:18 UTC

数字签名

Gromit Electronics Limited

加壳类型

编译语言

Microsoft Visual C/C++(2017 v.15.5-6)

OneDrive.exe文件为白象组织的BADNEWS远程控制木马,用于实现文件下载、命令执行、屏幕截图等功能。OneDrive.exe的数字签名信息如下。

图2‑3 数字签名信息

BADNEWS木马执行后,首先判断机器的时区。若检测结果为中国标准时区,则会进行后续恶意操作。

图2‑4 判断是否为中国标准时区

接着创建互斥量qzex,确保当前环境下该进程唯一,而后使用SetWindowsHookExW函数注册键盘钩子。

图2‑5 创建互斥量,注册键盘钩子

窃取的键盘记录将会存放到%temp%\kednfbdnfby.dat文件。

图2‑6 键盘记录存放到kednfbdnfby.dat

使用正常的Web服务myexternalip.com、api.ipify.org、ifconfig.me获取主机IP外网地址。

图2‑7 获取主机外网IP

将前面获取到的外网IP在api.iplocation.net、ipapi.co 的Web服务中查询,获取外网IP所属国家的名称。

图2‑8 获取外网IP所属国家

将获取到的加密信息拼接成一个字符串,用于后续作为心跳包的内容回传到C2服务器。

图2‑9 回传的信息内容

在目标机中收集的数据类型如下所示:

表2-3 收集的数据类型

uu34

SMBIOS UUID

puip89

外网IP地址

iggp

内网IP地址

usfghnam

当前用户名

osgh

Windows系统版本

locghg

外网IP地址对应国家

收集到的信息首先进行Base64编码,而后通过AES-CBC-128加密,然后再进行一次Base64编码。加密使用的AES密钥为“qgdrbn8kloiuytr3”,IV为“feitrt74673ngbfj”。

图2‑10 数据加密

创建3个线程同C2服务器通信,C2地址为charliezard.shop,通信端口为443端口,URI为/tagpdjjarzajgt/cooewlzafloumm.php。每个线程分别承担不同的工作,通信内容采用AES-CBC-128加密数据。

图2‑11 创建线程通信

sub_409900线程函数用于发送收集的基本信息,验证目标机器是否处于开机状态。

图2‑12 发送心跳包

sub_4092A0线程函数用于实现远程控制功能。攻击者下发执行的格式为:指令$参数1$参数2,参数2并未使用。

图2‑13 获取指令并执行相应功能

对比以往的BADNEWS各个控制命令的实现,发现该组织并未同先前攻击活动[3]中一样将执行结果保存到文件,而是直接将数据加密后回传到C2服务器,BADNEWS中存在的指令代码及对应功能如下所示:

表2-4 指令代码及对应功能

指令代码

功能

3hdfghd1

读取指定文件并将结果回传。

3fgbfnjb3

读取键盘记录文件%temp%\kednfbdnfby.dat中的内容并将结果回传。

3gjdfghj6

执行cmd指令并将结果回传。

3fgjfhg4

遍历指定目录并回传文件列表。

3gnfjhk7

文件下载并执行。文件内容经解密后,写入到%temp%\dp+[4位随机字符].exe文件执行,并将结果回传。

3ngjfng5

文件下载。下载的内容经解密后,写入到%temp%路径下以指定名称命名,而后将结果回传。

3fghnbj2

屏幕截图并回传。

sub_409440线程函数用于执行cmd命令收集信息(包括当前用户名、网络配置、DNS缓存、系统信息、进程列表),然后将信息加密后添加到endfh参数回传至C2服务器。

图2‑14 收集系统信息

2.3 归因分析

此次释放的木马OneDrive.exe在代码结构、加密算法、通信模式等方面和白象组织以往攻击活动中使用的BADNEWS木马相似,并且BADNEWS木马的存放路径C:\ProgramData\Microsoft\DeviceSync也是该组织常用文件路径。

以往攻击活动中利用CVE-2017-11882漏洞释放的BADNEWS木马存放路径。

图2‑15 以往攻击活动中CVE-2017-11882漏洞释放的BADNEWS木马存放路径

本次攻击活动中BADNEWS木马存放路径。

图2‑16 本次攻击活动中BADNEWS木马存放路径

以往攻击活动BADNEWS木马中存在的系统时区检测代码。

图2‑17 以往攻击活动BADNEWS木马中存在的系统时区检测代码

本次攻击活动BADNEWS木马中存在的系统时区检测代码。

图2‑18 本次攻击活动BADNEWS木马中存在的系统时区检测代码

针对南亚军政目标的攻击活动


对上述攻击活动使用到的BADNEWS木马进行关联分析,发现与近期针对南亚地区的军事政治等目标的网络攻击存在相关性。关联到的攻击通过LNK类型诱饵,或文件名以军政题材命名的EXE程序、钓鱼网站等作为攻击前导,大量使用商业木马Remcos实现远程控制,获取目标敏感信息。

3.1 Remcos商业远控木马

表3-1 Remcos远控木马

病毒名

Trojan[RAT]/Win32.Remcos

原始文件名

Minutes-of-Meeting-Joint-Ops.exe

MD5

b8f649208c5f404eff00c1a4f8c61995

处理器架构

Intel 386 or later processors

文件大小

2.35 MB (2465088 bytes)

文件格式

Win32 EXE

时间戳

2023:02:21 13:52:24 UTC

数字签名

Gromit Electronics Limited

加壳类型

编译语言

Microsoft Visual C/C++(2017 v.15.5-6)

Remcos是一款商业远控木马,包括实现远程桌面控制、屏幕窃取、剪切板窃取、摄像头及音频窥视、命令执行、浏览器窃密、密码窃取、创建代理等丰富功能,能对文件、进程、服务、窗口、注册表、网络等信息进行收集和管理。

图3‑1 官方Remcos Professional产品界面介绍

3.2 与白象组织的关联分析
3.2.1 数字证书关联

根据上述针对我国相关单位的攻击活动中BADNEWS木马的数字签名信息,可以关联到具备该签名的恶意文件。

图3‑2 本次攻击活动BADNEWS木马中存在的数字证书

使用该签名的文件数量并不多,其中包含名为Minutes-of-Meeting-Joint-Ops.exe的木马样本,样本在今年2月22日从孟加拉国上传,为Remcos远控家族,C2地址为45.137.116.253:443 (TCP)。

同样访问45.137.116.253:443 (TCP)地址的木马还包括其他文件名为军政题材的Remcos远控,其中fatima.exe的母体为此前未见的下载器:

表3-2 IP 45.137.116.253关联到的恶意文件

MD5

文件名

简介说明

e8ba6aeac4ae8bd22e2da73a2e142104

Minutes-of-Meeting-Joint-Ops-with-Bangladesh-Navy.exe

(与孟加拉国海军的联合行动会议纪要)

Remcos RAT

挂载于傀儡网站:

merafm.com

6f50d7408281f80d5b563236215e5308

fatima.exe

Remcos RAT

挂载于傀儡网站:

merafm.com

40ae57d3e6163e80d3887aaacd001980

Defence-Attache-Minutes-of-Meeting.exe

(国防武官会议纪要)

下载器,用于下载并执行fatima.exe

托管这些Remcos远控程序的傀儡网站merafm.com是巴基斯坦最受欢迎的无线电广播公司MERA FM的网站,进一步分析基本确定该网站是被入侵,用于挂载攻击者大量的恶意文件,文件梳理列表如下:

表3-3 merafm.com网站关联到的恶意文件

MD5

文件名

简介说明

d51e8ebb04a5849f46514dcaef7f4c32

Talking-Points-with-China-PLAAF.exe

(与中国空军的谈话要点)

Remcos RAT

eb9068161baa5842b40d5565130526b9

LIST OF SIGNAL ADDRESSES, CALL  SIGN 10 Apr 2023.exe

(信号地址列表,呼叫信号2023410)

下载器(下载的文件链接已失效)

e8ba6aeac4ae8bd22e2da73a2e142104

Minutes-of-Meeting-Joint-Ops-with-Bangladesh-Navy.exe

(与孟加拉国海军的联合行动会议纪要)

Remcos RAT

6f50d7408281f80d5b563236215e5308

fatima.exe

Remcos RAT

挂载于傀儡网站:

merafm.com

aebe447662363c9e40275aa8aed5f905

hplaserprinter.exe

Remcos RAT

恶意文件的工具能力和IoC梳理如下:

表3-4 恶意文件的工具能力和IoC

MD5

工具能力及配置数据

d51e8ebb04a5849f46514dcaef7f4c32

Remcos RATC245.137.118.105:443

eb9068161baa5842b40d5565130526b9

下载器,从gclouddrives.com/spyder/smile.php获取载荷

e8ba6aeac4ae8bd22e2da73a2e142104

Remcos RATC245.137.116.253:443

6f50d7408281f80d5b563236215e5308

Remcos RATC245.137.116.253:443

aebe447662363c9e40275aa8aed5f905

Remcos RATC245.146.254.153:993

3.2.2 样本同源关联

基于以上样本,通过在文件元数据、代码、资产等同源层面进行关联拓线,关联到多个样本如下表:

表3-5 上述样本关联到的恶意文件

MD5

文件名

简介说明

5b99f5a2430eb761d6c70e624809a1bd

Official-Correspondence-by-IGP-Punjab-through-Official-E-mail-ID.exe

(旁遮普省警察总监通过官方电子邮件ID发出的官方信函)

Remcos RAT

76dc20e2e00baa85a0ca73539a0a9c7a

ISPR-Turkiye-Delegation.exe

(军种间公共关系局 土耳其代表团)

Remcos RAT

87d94635372b874f18acb3af7c340357

PN SHIP OVERSEAS DEPLOYMENT PLAN TO FAR EAST  CHINA.exe

(巴基斯坦海军 中国远东船舶海外部署计划)

下载器(下载的文件链接已失效)

1fa3f364bcd02433bc0f4d3113714f16

Rocket Launch System THE UPDT  LIST OF MLRS PROB-.exe

(火箭发射系统 多管火箭炮问题更新列表)

下载器(下载的文件链接已失效)

3ea8adf7a898de96ffd6e7d4b2594f54

List1.xll

下载器(x64),下载并执行上文中的hplaserprinter.exe

50cca2ab249aa4575854991db1c93442

List2.xll

下载器(x64),下载并执行上文中的hplaserprinter.exe

927618e626b1db68a4281b281a7b7384

dllhostSvc.exe

Remcos RAT

4be6220e6295676f9eae5659826900c5

FIA_IBMS_VPN.2022.exe

Remcos RAT

恶意文件的工具能力和IoC梳理如下:

表3-6 恶意文件的工具能力和IoC

MD5

工具能力及配置数据

5b99f5a2430eb761d6c70e624809a1bd

Remcos RAT193.203.238.116:443

76dc20e2e00baa85a0ca73539a0a9c7a

Remcos RAT45.146.254.153:993

87d94635372b874f18acb3af7c340357

下载器,从alibababackupcloud.com/spyder/smile.php获取载荷

1fa3f364bcd02433bc0f4d3113714f16

下载器,从cloudplatfromservice.one/cpidr/balloon.php获取载荷

3ea8adf7a898de96ffd6e7d4b2594f54

下载器(x86,下载并执行hplaserprinter.exe,从merafm.com/wp-content/uploads/2021/04/sijsi/hplaserprinter.exe获取载荷

50cca2ab249aa4575854991db1c93442

下载器(x64),下载并执行hplaserprinter.exe,从merafm.com/wp-content/uploads/2021/04/sijsi/hplaserprinter.exe获取载荷

927618e626b1db68a4281b281a7b7384

Remcos RAT45.146.254.153:443

4be6220e6295676f9eae5659826900c5

Remcos RAT45.146.254.153:443

其中dllhostSvc.exe的执行母体是名为Password.lnk的恶意快捷方式,LNK被打包在压缩包中,压缩包之中存在加密的word文档以及名为Password.lnk的恶意快捷方式,诱导目标打开快捷方式获取密码,手段与上文中针对中国的LNK诱饵较为类似:

图3‑3 压缩包内的文件

图3‑4 加密的word文档

Password.lnk通过调用mshta.exe执行远程端HTA文件中包含的PowerShell代码,下载https://webmail.mod.com.pk/uploads/adrean.exe,并将其重命名为%localappdata%\dllhostSvc.exe执行。

3.2.3 网络资产关联

针对南亚攻击活动的相关网络资产主要以自有域名、自有IP和傀儡网站三种类别组成。

其中自有域名包括命名上与官方相似的域名,以及Whois注册地址伪装成受害者所在地的域名。这些域名大多数用于给下载器响应载荷,其中webmail.mod.com.pk既作为载荷分发又作为钓鱼盗号网站:

图3‑5 针对孟加拉警察的Outlook登录钓鱼网站

表3-7 域名信息及用途

域名

域名信息

用途

webmail.mod.com.pk

伪装成巴基斯坦国防部官方域名

载荷分发、钓鱼盗号

alibababackupcloud.com

域名注册时间:2023-03-12  12:44:09 UTC

域名注册地址:lahore,PK

域名服务商:Vautron  Rechenzentrum AG

域名服务器:

ns1.zap-hosting.com;  ns2.zap-hosting.com

域名注册邮箱:c0tgr22ufl@domprivacy.de

分发Remcos RAT载荷

morimocanab.com

域名注册时间:2023-01-13 11:24:12 UTC

域名注册地址:lahore,PK

域名服务商:Vautron Rechenzentrum AG

域名服务器:

ns1.zap-hosting.com; ns2.zap-hosting.com

域名注册邮箱:c0tgr22ufl@domprivacy.de

载荷分发

fiagov.com

域名注册时间:2022-11-30  08:34:19 UTC

域名注册地址:lahore,PK

域名服务商:Vautron  Rechenzentrum AG

域名服务器:

ns1.zap-hosting.com;  ns2.zap-hosting.com

域名注册邮箱:c0tgr22ufl@domprivacy.de

载荷分发

clouddrivev3.com

域名注册时间:2023-02-15 07:33:09 UTC

域名注册地址:pakistan,SG

域名服务商:Vautron Rechenzentrum AG

域名服务器:

ns1.zap-hosting.com; ns2.zap-hosting.com

域名注册邮箱:cerc882kzf@domprivacy.de

载荷分发

gclouddrives.com

域名注册时间:2023-02-16  03:14:20 UTC

域名注册地址:pakistan,SG

域名服务商:Vautron  Rechenzentrum AG

域名服务器:

ns1.zap-hosting.com;  ns2.zap-hosting.com

域名注册邮箱:cerc882kzf@domprivacy.de

分发Remcos RAT载荷

tarrikhuts.com

域名注册时间:2023-01-27 10:00:11 UTC

域名注册地址:pakistan,SG

域名服务商:Vautron Rechenzentrum AG

域名服务器:

ns2.zap-hosting.com; ns1.zap-hosting.com

域名注册邮箱:cerc882kzf@domprivacy.de

载荷分发

verificationapis.com

域名注册时间:2022-12-17  12:46:10 UTC

域名注册地址:doonde,BD

域名服务商:Vautron  Rechenzentrum AG

域名服务器:ns2.zap-hosting.com;  ns1.zap-hosting.com

域名注册邮箱:c1f7peqhfh@domprivacy.de

载荷分发

cdnverificationlinks.com

域名注册时间:2022-12-29 10:19:32 UTC

域名注册地址:doonde,BD

域名服务商:Vautron Rechenzentrum AG

域名服务器:

ns1.zap-hosting.com; ns2.zap-hosting.com

域名注册邮箱:c1f7peqhfh@domprivacy.de

分发Cobalt Strike载荷

cloudplatfromservice.one

域名注册时间:2023-04-19  08:18:09 UTC

域名注册地址:隐私保护

域名服务商:Vautron  Rechenzentrum AG

域名服务器:

keyla.ns.cloudflare.com;lamar.ns.cloudflare.com

域名注册邮箱:隐私保护

分发Remcos RAT载荷

自有IP为Remcos远控的C2地址,多为443端口且同属德国云服务提供商combahton GmbH,控制端口存在测绘扫描特征,截至报告撰写时可测得IP共计8个,梳理信息如下:

表3-8 IP地址信息

IP地址

IP归属地及服务商

控制端口及协议

45.137.116.253

巴基斯坦  ( combahton GmbH ) AS 30823

Remcos RAT443端口,TCP协议

45.137.118.105

巴基斯坦 (  combahton GmbH ) AS 30823

Remcos RAT443端口,TCP协议

45.146.254.153

德国  ( combahton GmbH ) AS 30823

Remcos RAT443端口,TCP协议

45.146.252.37

德国 ( combahton  GmbH ) AS 30823

Remcos RAT443端口,TCP协议

45.153.242.244

德国  ( combahton GmbH ) AS 30823

Remcos RAT443端口,TCP协议

134.255.252.75

德国 ( combahton  GmbH ) AS 30823

Remcos RAT443端口,TCP协议

185.239.237.197

德国  ( combahton GmbH ) AS 30823

Remcos RAT443端口,TCP协议

193.203.238.116

德国 ( combahton  GmbH ) AS 30823

Remcos RAT443端口,TCP协议

傀儡网站目前仅发现merafm.com,从恶意文件挂载路径来看有可能是漏洞攻击后通过恶意上传完成。

4.威胁框架映射


本次捕获到的白象组织针对我国相关单位攻击活动共涉及ATT&CK框架中8个阶段的19个技术点,具体行为描述如下表:

表4-1 本次白象针对我国相关单位攻击活动的技术行为描述表

ATT&CK阶段/类别

具体行为

注释

初始访问

网络钓鱼

通过钓鱼邮件投递包含恶意LNK文件的压缩包

执行

利用计划任务/工作

BADNEWS木马添加至计划任务中执行

执行

诱导用户执行

诱导用户打开压缩包内伪装成pdf诱饵的LNK文件

持久化

利用计划任务/工作

BADNEWS木马添加至计划任务中实现持久化

防御规避

混淆文件或信息

使用AESBase64加密需要传输的数据

发现

发现文件和目录

可以获取目标机文件目录列表

发现

发现进程

可以获取目标机当前环境进程列表

发现

发现系统信息

可以获取目标机系统信息

发现

发现系统地理位置

判断时区是否为中国标准时区

发现

发现系统网络配置

可以获取目标机网络配置

发现

发现系统所有者/用户

可以获取目标机当前用户名

收集

收集本地系统数据

可以收集目标机文件、系统信息、网络配置、进程列表等信息

收集

数据暂存

会将键盘记录存储到%temp%\kednfbdnfby.dat文件中

收集

输入捕捉

可以记录目标机上的击键

收集

屏幕捕获

可以获取屏幕截图

命令与控制

使用应用层协议

使用应用层协议并回传

命令与控制

编码数据

数据加密后回传至C2服务器

数据渗出

自动渗出数据

自动回传用户名、IP地址、Windows版本等信息

数据渗出

使用C2信道回传

使用C2信道回传数据

将涉及到的威胁行为技术点映射到ATT&CK框架如下图所示:

图4‑1 本次白象针对我国相关单位攻击活动对应ATT&CK映射图

5.总结


综上所述,安天CERT近期发现的LNK系列攻击,由印度的白象APT组织发起,攻击者疑似通过钓鱼攻击投递专用远控木马,相关的攻击手法和代码与以往的白象组织的攻击特征保持一致。通过样本数字证书关联的Remcos商业木马来自针对南亚地区攻击活动,攻击者大量使用Remcos商业木马针对军事政治等目标。除安天发现白象组织使用Remcos商业木马外,斯洛伐克厂商ESET[4]也发现了印度肚脑虫(Donot)组织使用了Remcos商业木马,两个印度组织都开始使用Remcos商业木马,可以看出印度组织进一步尝试购买商业木马纳入为自己的攻击武器,降低成本的同时依托商业木马提高网络攻击活动效率。

参考资料


[1] 白象的舞步——来自南亚次大陆的网络攻击
https://www.antiy.com/response/WhiteElephant/WhiteElephant.html
[2] 潜伏的象群——来自南亚次大陆的系列网络攻击活动
https://www.antiy.com/response/The_Latest_Elephant_Group.html
[3] 白象组织近期网络攻击活动分析
https://www.antiy.com/response/20221027.html
[4] ESET APT Activity Report: Attacks by China-, North Korea-, and Iran-aligned threat actors; Russia eyes Ukraine and the EU
https://www.eset.com/int/about/newsroom/press-releases/research/eset-apt-activity-report-attacks-by-china-north-korea-and-iran-aligned-threat-actors-russia-eyes-ukr/