重要结论
>攻击目标:中国的政府、外交机构等,进一步为高层外交人物和经济领域相关人物,但是都有中国国际事务有千丝万缕的联系,从我们的后台日志分析结果来看国内是有被感染的情况
>攻击组织:疑似来自印度
>攻击目的:窃取敏感信息
>攻击手法:载荷投递是鱼叉邮件和水坑攻击
>攻击成本:低成本投入,主要是现成工具和社会工程学
相关基础信息
事件名称:
Dropping Elephant或“Chinastrats”、“Patchwork”,坠落的大象(又名“中国策略”或“拼接物”)
报告链接:
卡巴斯基:
https://securelist.com/blog/research/75328/the-dropping-elephant-actor/
Cymmetria:
https://www.cymmetria.com/wp-content/uploads/2016/07/Unveiling_Patchwork.pdf
事件介绍
概要
>攻击区域:亚洲地区
>目标:
-全球范围内的个人
–主要为多个同中国和中国国际事务有关的外交和政府机构
–数千个目标受到攻击
>攻击时间:
–主要集中在2015年11月到2016年6月
–2014年也有样本
>攻击方式和工具:
–鱼叉攻击:
1)发送包含“ping”请求的邮件,
2)确认目标读取了邮件后,发送另外一份给钓鱼邮件,Word附件中被植入exe文件,有时附件是PPT;
3)有效载荷加载后,加载UPX打包的AutoIT exe文件
4)从C2服务器加载其他组件
5)窃取数据
其中漏洞利用包括:
CVE-2012-0158 Word
CVE-2014-6352 PPT
CVE-2014-4114
–水坑攻击:从其他网站下载新闻,如用户想要看全部新闻,需要下载一个PPT文档,其中包含恶意程序
>C2
攻击者经常从VPN登录,登录时间如上图,攻击者很可能位于东5-东7时区
>恶意程序:后门,窃取文档文件,如这些*.doc;*.pdf;*.csv;*.ppt;*.docx;*.pst;*.xls;*.xlsx;*.pptx
归属分析
卡巴斯基推论:
有时也会通过IP登录,这些IP属于一个印度的普通ISP
cymmetria报告中相关推论:
主要受害者都来自印度的邻国,其他目标都与影响印度的事件有关,所以攻击者至少是一个亲印度的实体。
PPS文件的编译时间也显示攻击者来自印度,工作时间上午9点-晚上7点。
C&C活动时间一般始于周日,每日活动时间不早于2:00 UTC,不晚于11:00 UTC,与攻击者工作时间吻合。
所有攻击事件都发生在3:00到15:00 UTC之间。