境外黑客团队“白象”突然活跃，针对我国特定单位和个人发起攻击

4 月 1 日从微步在线了解到，境外黑客组织“白象”在蛰伏了一段时间后，于今年 3 月上旬对国内发起攻击。

2017 年 12 月下旬，国外网络安全公司趋势科技对其攻击活动曝光后，该团伙迅速停用了所有域名、IP 等基础设施，进入“蛰伏期”。然而在今年 3 月上旬至 3 月中旬，“白象”团伙再次发起针对我国的网络攻击，使用的诱饵文档均为某特定期间的新闻话题，涉及军事、社会、法律等多个方面。

此次，白象利用诱饵文档，通过 Office 漏洞向受害主机植入木马后门，相关程序与该团伙此前使用的木马结构功能基本一致，可根据远程控制服务器发送的指令完全控制受害主机。此次攻击活动系通过钓鱼邮件对特定单位和个人发起，且攻击活动仍在继续。

据微步在线捕获的样本文档显示，“白象”使用的多个诱饵文档，分别存放在 fprii.net、ifenngnews.com 和 chinapolicyanalysis.org 等该团伙注册的仿冒网站上，文档内容涉及“2018 最新部队工资调整政策” （3 月 6 日出现）、 “民政部公布一批非法社会组织” （3 月 14 日生成）、“中华人民共和国监察法（草案）”（3 月 15 日生成）、以及日本防卫研究所发布的 2018 年版《中国安全战略报告》（3 月 13 日出现）等某特定期间的热点话题，具备较强的迷惑性和针对性。

这批诱饵文档均利用了微软 Office 较新漏洞 CVE-2017-8570，未及时安装补丁的用户一旦打开文档就会触发恶意代码，并被植入后门程序。

样本分析

以下为微步在线出具的样本分析：

我们以名为“Chinas_Arctic_Dream.doc”的样本（21f5514d6256a20dcf9af315ee742d6d2a5b07009b200b447c45b2e8f057361d）为例对此次攻击涉及的木马程序分析如下：

1. 样本流程概要

与 2017 年 12 月捕获的样本不同的是，此次样本较早期样本解密流程更加简洁，木马后门不在内存解密执行，而是落地后直接运行。流程对比图如下：

2017 年 12 月份样本

2018 年 3 月份样本

微步云沙箱检测结果

2. Droper 分析(qrat.exe)

a. Word 文档被打开后，会通过触发漏洞释放并运行 qrat.exe，样本为 C# 开发，并做了混淆以防止被分析。

b. 该 Droper 样本和以往捕获的“白象”样本功能相似，主要是进行木马后门的安装。样本运行后会通过资源先后释放 Microsoft.Win32.TaskScheduler.dll 和 microsoft_network.exe。这两个文件都被存放在 qrat.exe 的资源中，该段资源包含两个 PE 文件，最开始的 MZ 头是后门程序，而第二个 MZ 头是添加计划任务的 dll。通过 PE 工具可以查看明显的 PE 文件特征。

为了验证猜想，可通过 PE 工具和 16 进制编辑器对这段资源进行提取和分离然后分别得到后门 microsoft_network.exe 和动态链接库文件 Microsoft.Win32.TaskScheduler.dll。

c. 释放后门到路径%APPDATA%\Microsoft Network\microsoft_network\1.0.0.0 目录，并注册开机启动，通过调用 Microsoft.Win32.TaskScheduler.dll 添加计划任务，每 5 分钟执行一次。

qrat.exe 的编译时间为 2018 年 2 月 2 日

3. 后门分析(microsoft_network.exe)

a. 样本从编译时间来看是 2018 年 1 月 23 日，同样采用 C# 编写，也同样做了混淆，去掉混淆后发现该样本为远控木马。木马采用开源远控 xRAT 的源码编译，一直被“白象”团伙所使用。此次木马在功能能上相比去年 12 月份的样本，并没有什么功能性的变化，但是对配置文件选项进行了 AES 加密，并进行了 Base64 编码。如下图所示：

该款木马的内部版本号为 2.0.0.0 RELEASE3，上线域名 tautiaos.com（当前解析 43.249.37.199，已无法连接），上线端口号 23558，连接密码 g00gle@209.58.185.36，互斥体为 eohSEArfS1nJ0SBOsCLroQlBlnYZnEjM，配置信息解密密钥为 Kkbnev10lq5zOdKl51Aq。与之前捕获的样本相比，此次样本的配置信息均进行了修改，但端口号仍然使用 23588。

b. 样本运行后获取操作系统基本信息，通过“ freegeoip.net”获取受害者的地理位置，然后创建互斥体等。远控基本功能包括：

a) 基础功能：远程 Shell，进程管理，屏幕管理，文件操作，获取主机信息，查看开机启动项，远程关机、重启等； b) 杀软对抗，防火墙检测； c) 自动更新功能，dll 注入； d) 获取同一个域下的其它设备的信息。

关联分析

对此次涉及的恶意域名 ifenngnews.com、chinapolicyanalysis.org 关联发现，除 datapeople-cn.com、sinamilnews.com、ustc-cn.org 等大批我们此前已经掌握该团伙资产外，我们还发现了包括 wipikedia.xyz、armynews.today 等多个于 2018 年 1 月 19 日最新注册的可疑域名，从域名注册商、服务器信息等特点研判认为，这些域名仍为“白象”团伙所有，如下图所示：

此外，有情报显示，“白象”团伙此次攻击主要利用钓鱼邮件向特定单位和个人传播恶意文档的下载链接，截至 2018 年 3 月 21 日，大多数恶意链接仍可访问下载（如 hxxp://fprii[.]net/The_Four_Traps_for_China.doc），证明攻击活动仍在继续。雷锋网了解到，用户还可以下载放入监控或者在自己的日志中查看，近期这个团伙是否关注了相关单位。

【编辑推荐】

1. 苹果开源跨平台低阶非阻塞网络应用框架 SwiftNIO
2. 3月7日这一夜，黑客耍了币圈的所有人
3. 史上黑客最爱的15款操作系统，你最喜爱哪个？
4. 外媒速递：“罪大恶极”的七种加密货币采矿工具与采矿僵尸网络
5. 世界五大黑客之一Adrian Lamo去世，目前死因不明

【责任编辑：张燕妮 TEL：（010）68476606】