组织名称 |
“暗象”组织 / DarkElephant Group |
组织性质 |
高级持续性威胁 |
疑似来源 |
印度 |
活动时间 |
最早可追溯到2012年,迄今存在活跃 |
攻击意图 |
获取个体和组织信息、窃取情报 |
针对目标 |
印度境内的社会活动人士、社会团体和在野政党等等; 印度周边国家如中国和巴基斯坦的军事政治等目标。 |
攻击手法 |
鱼叉邮件为主 |
涉及平台 |
Windows、Android |
攻击技术 |
内存解密、内存注入、数字证书、时间戳篡改、文件体积填充 |
诱饵类型 |
Office文档、可执行程序、自解压文件等 |
使用漏洞 |
CVE-2012-0158、CVE-2013-3906、CVE-2014-1761、CVE-2015-1641 |
开发语言 |
C++、Visual Basic |
武器装备 |
商业远控木马为主,如NetWire、DarkComet、ParallaxRAT、GM Bot等 |
在观察到的大多攻击案例中,攻击者都喜好使用谷歌和雅虎邮箱伪装成收信人的好友或社会知名人士、知名机构,诱导内容紧随时事热点或与对方的工作方向密切相关,攻击者特别对于印度本土活动的社会活动家、社会团体以及印共等党派的活跃人士表现出强烈而长久的渗透入侵、信息获取兴趣,对于特别重要的个人目标能实施长达多年跨越多种系统平台的监控活动,而对于印度境外的别国军事政治目标,攻击者主要是以窃密和潜伏为主要目的。
经过关联并结合已公开的数据,我们统计出“暗象”组织典型的攻击样本如下:
时间戳 |
诱饵主题 |
诱饵类型 |
2012.4.26 |
无(击键记录器) |
EXE程序 |
… … |
… … |
EXE程序 |
2014.11.16 |
印度达利特家庭大屠杀事件调查报告 |
DOC漏洞文档 |
2014.11.28 |
印度Maoist 道路最终版文案 |
DOC漏洞文档 |
2015.1.17 |
印度泰卢固语杂志:革命作家协会文学和文化月刊 |
DOC漏洞文档 |
2015.2.11 |
印度泰卢固语杂志:革命作家协会文学和文化月刊 |
DOC漏洞文档 |
2015.2.20 |
印度泰卢固语杂志:革命作家协会文学和文化月刊 |
DOC漏洞文档 |
2015.4.15 |
印度Telangana警方拘留杀害穆斯林事件司法调查报告 |
DOC漏洞文档 |
2015.4.24 |
印度泰卢固语杂志:革命作家协会文学和文化月刊 |
DOC漏洞文档 |
2015.6.13 |
尼泊尔Maoist 官方安卓应用和烈士节党的文件 |
DOC漏洞文档、安卓APP |
2015.6.14 |
印度Mukti marg安卓应用和会议纪要文件 |
DOC漏洞文档、安卓APP |
2015.7.18 |
印度 Maoist 报告 |
DOC漏洞文档 |
2015.12.20 |
印度PUDR年度会议数据 |
DOC漏洞文档 |
2015.12.26 |
孟买高等法院令状 |
RAR自解压程序 |
2016.6.13 |
印度Maoist 的又一场胜利,来自Kobad Ghandy |
DOC漏洞文档 |
2016.6.13 |
印度Maoist 的又一场胜利,来自Kobad Ghandy |
DOC漏洞文档(压缩包) |
2016.6.13 |
印度Maoist 的又一场胜利,来自Kobad Ghandy |
RAR自解压程序 |
2016.12.3 |
印度纳萨尔Maoist 叛乱 |
RAR自解压程序 |
2017.2.28 |
印度Rubina Dilaik演员照片 |
RAR自解压程序 |
2017.3.19 |
巴基斯坦朝觐者失踪名单 |
RAR自解压程序 |
2017.3.19 |
巴基斯坦朝觐航班名单 |
RAR自解压程序 |
2019.3.18 |
印度最高法院对极端组织发出禁令 |
RAR自解压程序 |
2019.3.23 |
联合国人类发展计划2015 |
RAR自解压程序 |
2019.3.26 |
联合国人类发展计划2015 |
RAR自解压程序 |
2019.3.30 |
印度北果阿邦达分部的通知 |
RAR自解压程序 |
2019.4.28 |
印度境内暴徒制作定时炸药 |
RAR自解压程序 |
2019.5.19 |
印度民众政治声音调查方法 |
RAR自解压程序 |
2020.1.6 |
中国新疆 |
RAR自解压程序 |
2020.5.5 |
巴基斯坦海军采购计划 |
RAR自解压程序 |
2020.10.13 |
中国海军外交邮包损坏 |
RAR自解压程序 |
… … |
… … |
… … |
针对我国的窃密事件
图3‑1 ZIP压缩包的内容
图3‑4 整体攻击流程图
图3‑5 调用配置文件后的加载器参数
图3‑9 解密出的shellcode数据
图3‑10 待注入notepad.exe白进程的PE数据
图3‑11 白进程调用和注入的流程关系图
图3‑12 典型的Parallax RAT控制面板
图3‑13 木马程序皆有数字签名
图3‑15 同源木马程序也存在图标伪装
图3‑16 木马程序皆有篡改时间戳
Bhima Koregaon案件
图4‑1 攻击邮件一(未攻击成功)
图4‑2 攻击邮件二(未攻击成功)
图4‑3 攻击者的回复包含暗链接
图4‑4 Wilson回复对方已经成功下载文件并打开
图4‑5 掩饰文档展示的内容
图4‑6 攻击邮件三(成功实现了攻击入侵)
图4‑7 信件内容为购买军火和刺杀莫迪总理
1)Rona Wilson电脑安装的是Word 2007,但大多关键的信件文件是通过Word 2010或2013编辑后另存为PDF的;
2)Rona Wilson电脑安装的是WinRAR v3.70,但解压信件文件包的是突然出现后又被立马删除的WinRAR v4.20;
3)Rona Wilson电脑的系统日志和软件日志中,找不到任何浏览记录表明用户曾经点开过该隐藏目录和其中的文件。
图4‑8 Bhima Koregaon案件时间线
溯源分析
图5‑1 掩饰文档记录的时区
参考资料: