境外黑客团队“白象”突然活跃，针对我国特定单位和个人发起攻击

2018 年 4 月 3 日 宅客频道 李勤，微步在线

4 月 2 日，宅客频道从微步在线了解到，境外黑客组织“白象”在蛰伏了一段时间后，于今年 3 月上旬对国内发起攻击。

2017年12月下旬，国外网络安全公司趋势科技对其攻击活动曝光后，该团伙迅速停用了所有域名、IP等基础设施，进入“蛰伏期”。然而在今年 3 月上旬至 3 月中旬，“白象”团伙再次发起针对我国的网络攻击，使用的诱饵文档均为某特定期间的新闻话题，涉及军事、社会、法律等多个方面。

此次，白象利用诱饵文档，通过 Office 漏洞向受害主机植入木马后门，相关程序与该团伙此前使用的木马结构功能基本一致，可根据远程控制服务器发送的指令完全控制受害主机。此次攻击活动系通过钓鱼邮件对特定单位和个人发起，且攻击活动仍在继续。

据微步在线捕获的样本文档显示，“白象”使用的多个诱饵文档，分别存放在 fprii.net、ifenngnews.com和chinapolicyanalysis.org 等该团伙注册的仿冒网站上，文档内容涉及“2018最新部队工资调整政策” （3月6日出现）、 “民政部公布一批非法社会组织” （3月14日生成）、“中华人民共和国监察法（草案）”（3月15日生成）、以及日本防卫研究所发布的2018年版《中国安全战略报告》（3月13日出现）等某特定期间的热点话题，具备较强的迷惑性和针对性。

宅客频道了解到，这批诱饵文档均利用了微软Office较新漏洞CVE-2017-8570，未及时安装补丁的用户一旦打开文档就会触发恶意代码，并被植入后门程序。

样本分析

以下为微步在线出具的样本分析：

我们以名为“Chinas_Arctic_Dream.doc”的样本（21f5514d6256a20dcf9af315ee742d6d2a5b07009b200b447c45b2e8f057361d）为例对此次攻击涉及的木马程序分析如下：

1.样本流程概要

与2017年12月捕获的样本不同的是，此次样本较早期样本解密流程更加简洁，木马后门不在内存解密执行，而是落地后直接运行。流程对比图如下：

▲2017年12月份样本

▲2018年3月份样本

▲微步云沙箱检测结果

2. Droper分析(qrat.exe)

a. Word文档被打开后，会通过触发漏洞释放并运行qrat.exe，样本为C#开发，并做了混淆以防止被分析。

b. 该Droper样本和以往捕获的“白象”样本功能相似，主要是进行木马后门的安装。样本运行后会通过资源先后释放Microsoft.Win32.TaskScheduler.dll和microsoft_network.exe。这两个文件都被存放在qrat.exe的资源中，该段资源包含两个PE文件，最开始的MZ头是后门程序，而第二个MZ头是添加计划任务的dll。通过PE工具可以查看明显的PE文件特征。

为了验证猜想，可通过PE工具和16进制编辑器对这段资源进行提取和分离然后分别得到后门microsoft_network.exe和动态链接库文件Microsoft.Win32.TaskScheduler.dll。

c. 释放后门到路径%APPDATA%\Microsoft Network\microsoft_network\1.0.0.0目录，并注册开机启动，通过调用Microsoft.Win32.TaskScheduler.dll添加计划任务，每5分钟执行一次。

▲qrat.exe的编译时间为2018年2月2日

3. 后门分析(microsoft_network.exe)

a. 样本从编译时间来看是2018年1月23日，同样采用C#编写，也同样做了混淆，去掉混淆后发现该样本为远控木马。木马采用开源远控xRAT的源码编译，一直被“白象”团伙所使用。此次木马在功能能上相比去年12月份的样本，并没有什么功能性的变化，但是对配置文件选项进行了AES加密，并进行了Base64编码。如下图所示：

该款木马的内部版本号为2.0.0.0 RELEASE3，上线域名tautiaos.com（当前解析43.249.37.199，已无法连接），上线端口号23558，连接密码g00gle@209.58.185.36，互斥体为eohSEArfS1nJ0SBOsCLroQlBlnYZnEjM，配置信息解密密钥为Kkbnev10lq5zOdKl51Aq。与之前捕获的样本相比，此次样本的配置信息均进行了修改，但端口号仍然使用23588。

b. 样本运行后获取操作系统基本信息，通过“ freegeoip.net”获取受害者的地理位置，然后创建互斥体等。远控基本功能包括：

a) 基础功能：远程 Shell，进程管理，屏幕管理，文件操作，获取主机信息，查看开机启动项，远程关机、重启等；

b) 杀软对抗，防火墙检测；

c) 自动更新功能，dll 注入；

d) 获取同一个域下的其它设备的信息。

关联分析

对此次涉及的恶意域名ifenngnews.com、chinapolicyanalysis.org关联发现，除datapeople-cn.com、sinamilnews.com、ustc-cn.org等大批我们此前已经掌握该团伙资产外，我们还发现了包括wipikedia.xyz、armynews.today等多个于2018年1月19日最新注册的可疑域名，从域名注册商、服务器信息等特点研判认为，这些域名仍为“白象”团伙所有，如下图所示：

此外，有情报显示，“白象”团伙此次攻击主要利用钓鱼邮件向特定单位和个人传播恶意文档的下载链接，截至 2018 年 3 月 21 日，大多数恶意链接仍可访问下载（如hxxp://fprii[.]net/The_Four_Traps_for_China.doc），证明攻击活动仍在继续。宅客频道了解到，用户还可以下载放入监控或者在自己的日志中查看，近期这个团伙是否关注了相关单位。

雷锋网宅客频道招人了！

招聘岗位：

网络安全编辑（采编岗）

工作内容：

主要负责报道国内外网络安全相关热点新闻、会议、论坛、公司动向等；采访国内外网络安全研究人员，撰写原创报道，输出领域的深度观点；针对不同发布渠道，策划不同类型选题；参与打理宅客频道微信公众号等。

岗位要求：

对网络安全有兴趣，有相关知识储备或从业经历更佳；

科技媒体1-2年从业经验；

有独立采编和撰写原创报道的能力；

加分项：网感好，擅长新媒体写作、90后、英语好、自带段子手属性……

你将获得的是：

与国内外网络安全领域顶尖安全大牛聊人生的机会；