记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

360追日团队:堕落的大象(Dropping Elephant)分析简报

2016-07-11 21:30

360追日团队:堕落的大象(Dropping Elephant)分析简报

2016-07-11 15:45:17 作者:360追日团队
阅读:1621次 点赞(0) 收藏

分享到:


重要结论

>攻击目标:中国的政府、外交机构等,进一步为高层外交人物和经济领域相关人物,但是都有中国国际事务有千丝万缕的联系,从我们的后台日志分析结果来看国内是有被感染的情况

>攻击组织:疑似来自印度

>攻击目的:窃取敏感信息

>攻击手法:载荷投递是鱼叉邮件和水坑攻击

>攻击成本:低成本投入,主要是现成工具和社会工程学

相关基础信息

事件名称:

Dropping Elephant或“Chinastrats”、“Patchwork”,坠落的大象(又名“中国策略”或“拼接物”)

报告链接:

卡巴斯基:

https://securelist.com/blog/research/75328/the-dropping-elephant-actor/

Cymmetria:

https://www.cymmetria.com/wp-content/uploads/2016/07/Unveiling_Patchwork.pdf

事件介绍

概要

>攻击区域:亚洲地区

>目标:

    -全球范围内的个人

    -主要为多个同中国和中国国际事务有关的外交和政府机构

    -数千个目标受到攻击

>攻击时间:

    -主要集中在2015年11月到2016年6月

    -2014年也有样本

>攻击方式和工具:

    -鱼叉攻击:

1)发送包含“ping”请求的邮件,

2)确认目标读取了邮件后,发送另外一份给钓鱼邮件,Word附件中被植入exe文件,有时附件是PPT;

3)有效载荷加载后,加载UPX打包的AutoIT exe文件

4)从C2服务器加载其他组件

5)窃取数据

其中漏洞利用包括:

CVE-2012-0158   Word

CVE-2014-6352   PPT

CVE-2014-4114      

    -水坑攻击:从其他网站下载新闻,如用户想要看全部新闻,需要下载一个PPT文档,其中包含恶意程序

>C2

http://p6.qhimg.com/t01df5c0d3f1ef4a628.png

攻击者经常从VPN登录,登录时间如上图,攻击者很可能位于东5-东7时区

>恶意程序:后门,窃取文档文件,如这些*.doc;*.pdf;*.csv;*.ppt;*.docx;*.pst;*.xls;*.xlsx;*.pptx

归属分析

卡巴斯基推论:

有时也会通过IP登录,这些IP属于一个印度的普通ISP

cymmetria报告中相关推论:

主要受害者都来自印度的邻国,其他目标都与影响印度的事件有关,所以攻击者至少是一个亲印度的实体。

PPS文件的编译时间也显示攻击者来自印度,工作时间上午9点-晚上7点。

C&C活动时间一般始于周日,每日活动时间不早于2:00 UTC,不晚于11:00 UTC,与攻击者工作时间吻合。

所有攻击事件都发生在3:00到15:00 UTC之间。

相关IOC

https://github.com/CymmetriaResearch/CymmetriaResearch


本文由 360安全播报 原创发布,如需转载请注明来源及本文地址。
本文地址:http://www.hackdig.com/07/hack-37395.htm

知识来源: bobao.360.cn/news/detail/3278.html

阅读:117667 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“360追日团队:堕落的大象(Dropping Elephant)分析简报”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云