“暗象”组织：潜藏十年的网络攻击

安天CERT 安天集团

点击上方"蓝字"

关注我们吧！

概述

“暗象”组织（DarkElephant Group）是一个疑似来自印度的APT攻击组织，其主要针对印度境内的社会活动人士、社会团体和在野政党等，同时也会窃取印度周边国家如中国和巴基斯坦等的军事政治目标的重要情报。“暗象”组织的主要攻击手段是使用谷歌/雅虎邮箱或者利用盗取的邮箱，向对方发送极具迷惑性的鱼叉邮件，诱骗对方运行具备多种免杀技巧、包含成熟商用远控木马载荷。至少自2012年以来，该组织针对印度境内的目标，以及包括中国在内的印度周边的目标，发动了长达十年的网络攻击活动。因为该黑客组织在构陷其境内目标时手段十分暗黑（Bhima Koregaon案件中诬陷社会活动人士的执行者），以及结合其组织层面的面貌暗藏十年有逾而鲜有曝光的情况，安天CERT将该组织命名为“暗象”。本文参考了国际其他安全团队的研究成果^{^[1]}^{^[2]}，并补充“暗象”组织针对我国重要单位的网络攻击活动，最后通过溯源分析指出该组织背后的运营人员可能位于东5.5时区（印度国家标准时间）。

攻击组织分析

“暗象组织”的整体特点可总结如下：

表2-1 “暗象”组织特点总结

组织名称	“暗象”组织 / DarkElephant Group
组织性质	高级持续性威胁
疑似来源	印度
活动时间	最早可追溯到2012年，迄今存在活跃
攻击意图	获取个体和组织信息、窃取情报
针对目标	印度境内的社会活动人士、社会团体和在野政党等等；印度周边国家如中国和巴基斯坦的军事政治等目标。
攻击手法	鱼叉邮件为主
涉及平台	Windows、Android
攻击技术	内存解密、内存注入、数字证书、时间戳篡改、文件体积填充
诱饵类型	Office文档、可执行程序、自解压文件等
使用漏洞	CVE-2012-0158、CVE-2013-3906、CVE-2014-1761、CVE-2015-1641
开发语言	C++、Visual Basic
武器装备	商业远控木马为主，如NetWire、DarkComet、ParallaxRAT、GM Bot等

在观察到的大多攻击案例中，攻击者都喜好使用谷歌和雅虎邮箱伪装成收信人的好友或社会知名人士、知名机构，诱导内容紧随时事热点或与对方的工作方向密切相关，攻击者特别对于印度本土活动的社会活动家、社会团体以及印共等党派的活跃人士表现出强烈而长久的渗透入侵、信息获取兴趣，对于特别重要的个人目标能实施长达多年跨越多种系统平台的监控活动，而对于印度境外的别国军事政治目标，攻击者主要是以窃密和潜伏为主要目的。

图2‑1 样本文件谈及印度境内相关组织制作定时炸药

经过关联并结合已公开的数据，我们统计出“暗象”组织典型的攻击样本如下：

表2-2 “暗象”组织典型样本

时间戳	诱饵主题	诱饵类型
2012.4.26	无（击键记录器）	EXE程序
… …	… …	EXE程序
2014.11.16	印度达利特家庭大屠杀事件调查报告	DOC漏洞文档
2014.11.28	印度Maoist 道路最终版文案	DOC漏洞文档
2015.1.17	印度泰卢固语杂志：革命作家协会文学和文化月刊	DOC漏洞文档
2015.2.11	印度泰卢固语杂志：革命作家协会文学和文化月刊	DOC漏洞文档
2015.2.20	印度泰卢固语杂志：革命作家协会文学和文化月刊	DOC漏洞文档
2015.4.15	印度Telangana警方拘留杀害穆斯林事件司法调查报告	DOC漏洞文档
2015.4.24	印度泰卢固语杂志：革命作家协会文学和文化月刊	DOC漏洞文档
2015.6.13	尼泊尔Maoist 官方安卓应用和烈士节党的文件	DOC漏洞文档、安卓APP
2015.6.14	印度Mukti marg安卓应用和会议纪要文件	DOC漏洞文档、安卓APP
2015.7.18	印度 Maoist 报告	DOC漏洞文档
2015.12.20	印度PUDR年度会议数据	DOC漏洞文档
2015.12.26	孟买高等法院令状	RAR自解压程序
2016.6.13	印度Maoist 的又一场胜利，来自Kobad Ghandy	DOC漏洞文档
2016.6.13	印度Maoist 的又一场胜利，来自Kobad Ghandy	DOC漏洞文档（压缩包）
2016.6.13	印度Maoist 的又一场胜利，来自Kobad Ghandy	RAR自解压程序
2016.12.3	印度纳萨尔Maoist 叛乱	RAR自解压程序
2017.2.28	印度Rubina Dilaik演员照片	RAR自解压程序
2017.3.19	巴基斯坦朝觐者失踪名单	RAR自解压程序
2017.3.19	巴基斯坦朝觐航班名单	RAR自解压程序
2019.3.18	印度最高法院对极端组织发出禁令	RAR自解压程序
2019.3.23	联合国人类发展计划2015	RAR自解压程序
2019.3.26	联合国人类发展计划2015	RAR自解压程序
2019.3.30	印度北果阿邦达分部的通知	RAR自解压程序
2019.4.28	印度境内暴徒制作定时炸药	RAR自解压程序
2019.5.19	印度民众政治声音调查方法	RAR自解压程序
2020.1.6	中国新疆	RAR自解压程序
2020.5.5	巴基斯坦海军采购计划	RAR自解压程序
2020.10.13	中国海军外交邮包损坏	RAR自解压程序
… …	… …	… …

在以上样本中，攻击者采用过不同的C2运营技巧。最早在2012年时，“暗象”组织的击键记录器会将窃密数据发往硬编码的邮箱账号。在之后采用各种商业木马窃密时，先是注册免费的动态域名如：*.ddns.net和*.zapto.org等，到2020年以后开始自行注册命名上具有迷惑性的C2域名。

除了在网络基础设施的搭建运营上表现出一定的低廉性，在所有观察到的攻击样例里，也没有发现任何攻击者自身设计研发的窃密程序，大多是直接使用成熟的商用远控工具如NetWire、DarkComet、ParallaxRAT等，猜测此能力状况主要是适应其主要业务：应对集中在印度境内的处境窘迫、缺乏网络安全防范意识和手段的社会活动人士，事实上，当攻击者尝试以此手段攻击我国境内目标时可能就很容易被察觉和阻断。

针对我国的窃密事件

3.1 攻击流程分析

2020年10月13日，国内某重要单位信箱收到一份可疑的电子邮件，发件人使用Gmail邮箱且不在该单位的通讯录内，邮件主题为“关于丢失带有敏感文件的外交包的信”，并在正文中提供了一条可供下载可疑文件的网盘链接。

该链接为国外某网盘的分享链接，点击可下载得到一份ZIP压缩包，名为“Letter regarding loss of Diplomatic Bag with Sensitive Documents.zip”，包内存有一份包含恶意代码的自解压诱饵“Letter regarding loss of Diplomatic Bag with Sensitive Documents.exe”：

图3‑1 ZIP压缩包的内容

表3‑1 自解压诱饵‍

该自解压诱饵同时被多个数字证书签名，文件内容包含：4个木马程序（Pollard.exe、Sexton.exe、Beltran.exe和Wilcox.exe），加载器Nevaeh.exe及其配置文件Nevaeh.cfg，功能脚本Meredith.vbs：

图3‑2 自解压诱饵的内容

以及1个运行后展示给受害者的掩饰文档：DiplomaticBag.pdf

图3‑3 掩饰文档的内容

当自解压诱饵被执行后，会先运行加载器Nevaeh.exe，加载器调用其配置文件Nevaeh.cfg后运行功能脚本Meredith.vbs，Meredith.vbs负责运行4个木马程序（Pollard.exe、Sexton.exe、Beltran.exe和Wilcox.exe），4个木马程序会解密远控木马的载荷，最后将载荷注入系统的白进程的内存中运行。梳理整体的流程如下图：

图3‑4 整体攻击流程图

3.2 加载器分析

加载器Nevaeh.exe实际为知名的自动运行工具Advance Run，攻击者此处通过配置文件Nevaeh.cfg传输参数，实现在系统的临时目录中静默执行功能脚本Meredith.vbs：

图3‑5 调用配置文件后的加载器参数

3.3 功能脚本分析

Meredith.vbs脚本的代码夹杂有大量注释，梳理出的主要功能有如下：

a）展示掩饰文档DiplomaticBag.pdf，迷惑受害者：

图3‑6 打开诱饵文件

b）强制关闭系统的SmartScreen安全功能：

图3‑7 关闭SmartScreen功能

c）实现持久化，将木马程序Pollard.exe、Sexton.exe、Beltran.exe和Wilcox.exe都添加到计划任务中：

图3‑8 添加任务计划

3.4 木马程序分析

四个木马程序（Pollard.exe、Sexton.exe、Beltran.exe和Wilcox.exe）都会随计划任务而定时启动，启动后运行各自对应的四个系统白程序，同时在内存中解密出同一shellcode， shellcode负责将自身包含的一段PE数据（ParallaxRAT远控木马）注入对应的白进程中。其中，Beltran.exe负责操作rundll32.exe进程，Pollard.exe操作svchost.exe进程，Sexton.exe操作dllhost.exe进程， Wilcox.exe操作notepad.exe进程。

图3‑9 解密出的shellcode数据

图3‑10 待注入notepad.exe白进程的PE数据

梳理出的白进程调用和注入流程关系如下：

图3‑11 白进程调用和注入的流程关系图

注入白进程的PE数据属于Parallax RAT远控木马，在内存中运行时会尝试连接域名asianmedics.today，解析到的IP为23.160.208.250，端口号为8647。Parallax RAT属于公开的商业远控，具备文件管理、击键记录、远程桌面、密码窃取、命令执行、进程管理、上传和执行等能力，功能运行都成熟稳定，足以支持常规的窃密操作。

图3‑12 典型的Parallax RAT控制面板

3.5 对抗手段分析

上述四个木马程序皆具备以下三种对抗分析的能力：

a）拥有数字签名：形成一定的免杀能力，迷惑取证分析时的人工判断，且基本每次行动都会更换签名。

图3‑13 木马程序皆有数字签名

b）文件图标伪装：题材的选取上非常随意，并无表现出针对性。

图3‑14 木马程序皆有图标伪装

图3‑15 同源木马程序也存在图标伪装

c）时间戳篡改：都被统一篡改成了2006-12-05 20:36:44，意在对抗时区分析。

图3‑16 木马程序皆有篡改时间戳

在后续关联出的同源木马中，除了存在以上常用的三种对抗技巧外，还有如填充无用字节形成数百兆的大体积文件以对抗云查杀等手段。

Bhima Koregaon案件

4.1 攻击流程分析

2016年6月13日下午3点07分，印度知名社会活动家Rona Wilson收到一封来自其好友Varavara Rao的电子邮件，信中提醒Rona Wilson下载查看附件中的文档“another victory.doc”，并表示文件来自Kobad（疑似Kobad Ghandy）。Rona Wilson此时并不知道Varavara Rao的邮箱账号早已被黑客盗用，附件文档也被漏洞（CVE-2012-0158、CVE-2015-1642）所武器化，如果被点击打开，系统会被植入商业远控木马NetWire：

图4‑1 攻击邮件一（未攻击成功）

Rona Wilson查看该邮件后，发现附件的文档不能被正常打开，回复对方说希望重新发送一份。对方在14分钟后重新发送了一份与上述所类似的攻击文档，并用ZIP压缩打包，表示“希望这次能顺利运行”：

图4‑2 攻击邮件二（未攻击成功）

Rona Wilson尝试下载对方发送的压缩包，但发现附件被浏览器告警存在病毒，不能成功下载。将该情况告知对方后，对方时隔38分钟又回复了一条Dropbox网盘的下载链接，并声称自己不擅长电脑技术，于是重新上传到了网盘中希望Wilson下载。

但正文中的Dropbox链接实际指向了一条暗链接，点击后实际上是从攻击者的服务器下载：

图4‑3 攻击者的回复包含暗链接

Rona Wilson这次成功的将RAR压缩包下载回来，并回复对方这次虽然已经能够下载，但是打开后会弹出一个损坏的文件，只有信头可读，其他文字全是乱码：

图4‑4 Wilson回复对方已经成功下载文件并打开

图4‑5 掩饰文档展示的内容

此刻Rona Wilson还没意识到，自己的笔记本电脑已经经历了如下图所示的木马植入流程，对方能已经能够通过NetWire木马远程控制其电脑系统：

图4‑6 攻击邮件三（成功实现了攻击入侵）

4.2 诬陷投递分析

攻击者从Rona Wilson的电脑中进行一系列的窃密操作。根据Arsenal公司的取证报告^{^[2]}，攻击者将本地的重要文件复制到C盘建立的“backup2015”目录中，在利用脚本调用同步工具将文件同步到攻击者的FTP服务器上，操作对象包括本机硬盘以及所有接入系统的外设存储设备。

更重要的，攻击者也向Rona Wilson的电脑中进行一系列的文件投送操作。根据Arsenal公司的取证结果^{^[2]}，2016年11月3日，攻击者在Rona Wilson电脑的D盘中建立了一个名为“Rbackup”的目录，然后将其设置为隐藏属性。Wilson的电脑中安装了Quick Heal杀毒软件，其行为监测系统（BDS）会日常记录系统中各种应用程序的执行信息。通过还原出的记录表明，在创建“Rbackup”隐藏目录后的一年多里，攻击者通过NetWire远控向该隐藏目录陆续发送了上千封精心制作的信件文件，而这些信件的内容会严重触犯印度的反恐法律。

通讯信件的投递过程都是通过NetWire木马远程进行的，通常以向隐藏目录发送RAR压缩包和WinRAR解压程序开始，然后在同目录下解压出一堆文件，最后以删除该RAR压缩包和该WinRAR程序的操作为结束。

这些通讯信件以PDF格式和Office格式为主，内容大都是格式简陋的传统信件，不像电子邮件具备严格的数字痕迹，而且大多数的信件文件据称还被刻意地清除了元数据。

图4‑7 信件内容为购买军火和刺杀莫迪总理

同时这些信件的创建和留存还存在诸多疑点：

1）Rona Wilson电脑安装的是Word 2007，但大多关键的信件文件是通过Word 2010或2013编辑后另存为PDF的；

2）Rona Wilson电脑安装的是WinRAR v3.70，但解压信件文件包的是突然出现后又被立马删除的WinRAR v4.20；

3）Rona Wilson电脑的系统日志和软件日志中，找不到任何浏览记录表明用户曾经点开过该隐藏目录和其中的文件。

2018年3月14日，攻击者将隐藏目录积累的大量信件中最关键性的一部分，复制到了连接在Rona Wilson电脑上的闪迪U盘中。

2018年4月16日下午4点50分，“Rbackup”隐藏目录最后一次被攻击者更改。

2018年4月17日早上6点，印度马哈拉施特拉邦的浦那区警方，声称通过得到线人密报^{^[5]}，前往突袭了Rona Wilson位于新德里的住宅，并在Wilson使用的U盘和电脑硬盘中查获了一些足以论罪的数字证据。

图4‑8 Bhima Koregaon案件时间线

溯源分析

由于大量攻击活动使用的是商业远控工具，所涉及恶意程序的有效时间戳也基本被篡改，已无法通过基于正常作息的时区分析去推理攻击者所在的地理位置。但攻击者在制作掩饰白文档的过程中，通过浏览器将HTML网页另存为PDF文档的阶段里，我们收集到此类PDF样本中有少数的几例记录下了疑似攻击者机器所处的时区：UTC+05’30’：

图5‑1 掩饰文档记录的时区

UTC+05:30时区除了适用于斯里兰卡外，也是印度的国家标准时间。

小结

安天对来自疑似印度的网络攻击的捕获分析始于2013年，先后捕获、分析、命名了“白象”、“幼象”、“苦象”等攻击组织。在过去近10年的攻击中，印度的网络攻击中心逐渐从巴基斯坦转移到中国。而通过分析“暗象”攻击组织的活动，我们可以看到印度相关机构不仅极为频繁对周边国家实施网络攻击，同时也将网络攻击手段广泛用于国内目标，甚至用攻击手段构陷其国内社会活动人士，相关组织行动隐蔽能力较强，值得关注与警惕。

参考资料：

[1] ModifiedElephant APT and a Decade of Fabricating Evidence

https://www.sentinelone.com/labs/modifiedelephant-apt-and-a-decade-of-fabricating-evidence/

[2]【Rona Wilson计算机设备取证报告】BK-Case-Rona-Wilson-Report-I

https://arsenalexperts.com/persistent/resources/pages/BK-Case-Rona-Wilson-Report-I.zip

[3]【Rona Wilson iPhone 6s取证报告】BK-Case-Rona-Wilson-Report-IV

https://arsenalexperts.com/persistent/resources/pages/BK-Case-Rona-Wilson-Report-IV.zip

[4] One of many "process trees" Arsenal built from recovered application execution data on Rona Wilson's computer

https://twitter.com/ArsenalArmed/status/1359472050235199490/photo/1

[5]【孟买高等法院刑事令状请愿书】Ronal-Wilson_Bombay-HC

https://theleaflet.in/wp-content/uploads/2021/02/Ronal-Wilson_Bombay-HC.pdf

往期回顾

继续滑动看下一个