警惕！这个黑客组织盯上了我国军工和高校

近期，国内某安全公司通过威胁狩猎系统捕获到多起黑客组织的攻击活动。攻击者通过钓鱼邮件向我国政府及高校发起网络攻击，通过在邮件中附带恶意附件执行恶意代码，恶意附件伪造为.pdf文件，实际上为.lnk快捷方式，快捷方式通过powershell从C2服务器下载诱饵及木马文件。

在攻击手法上，投递阶段以附带恶意附件或恶意连接的钓鱼邮件为主，投递阶段的标题多以“通知”、“会议”、“纪要”等具有时效性的话题为主。

 

通过进一步溯源，发现攻击来源于白象APT组织。

白象APT组织（Patchwork）是一支疑似具有南亚某政府背景的黑客组织，最早攻击活动可追溯到2009年。其攻击目标主要为中国、巴基斯坦、孟加拉国等国家的军工、外交、科研高校等相关敏感单位。

APT是Advanced Persistent Threat（高级持久性威胁）的缩写，指的是一种高级的、长期的、有组织的网络攻击行为。与传统网络攻击不同，APT攻击旨在长期潜伏于受害者的网络中，寻找目标资产和信息，进行隐蔽的窃取，尽可能地避开网络安全防线的检测。

 

白象组织近年来被认为是一个活跃的黑客组织，他们的攻击不仅限于特定的行业或国家，而是全球性的。这个组织的目标通常是政府机构、大型企业、金融机构、学术组织等重要目标，他们使用的攻击手段也不断进化，包括网络钓鱼、勒索软件、远程攻击等多种方式。

白象组织的攻击造成了严重的数据泄露、财务损失，甚至危及了国家安全和人民生命安全。国际组织和各国政府已采取措施对抗黑客白象组织，包括加强网络安全监管、加强跨国协作和打击犯罪组织等。

 

此次针对我国的攻击，白象组织不仅使用以往常用的BADNEWS木马对目标进行远控，还利用商业木马“Remcos”以及开源渗透框架“Havoc”对目标发起攻击。

攻击者利用“GJ重点研发计划”、“先进结构与复合材料”等为话题，向目标用户发送钓鱼邮件，并在钓鱼邮件中附带与邮件标题同名的恶意附件。

 

攻击者所发送邮件内的附件主要为一个仿冒.pdf的.lnk文件，实际上通过powershell执行恶意代码，功能为从C2地址“msit5214.b-cdn.net”下载并打开诱饵文件，而木马文件则通过“msit5214.b-cdn.net/c”下载并创建名为“OneDriveUpdate”的计划任务执行。

 

该木马为白象组织常用木马Badnews，攻击者在本次攻击活动中对木马进行了部分修改，以往版本的Badnews木马远控指令以“0”、“4”、“8”、“13”等数字下发，且会将命令执行结果保存在主机本地，在本次攻击活动中，远控指令以“3fgjfhg4”、“3gjdfghj6”、“3gnfjhk7”下发，并将很少一部分执行结果保存在本地，大部分窃取的内容直接发送回C2地址。

 

攻击者以“青年文明号开放周活动的通知.pdf.lnk”为文件名发起攻击，利用相同的攻击手法，从C2地址同时下载诱饵.pdf文件及后续载荷。

 

攻击者后续攻击载荷投递名为“Havoc”的开源框架木马，最终与C2地址45.125.67.100:443建立通信。

除此之外，在Badnews木马的特征上，他们还会以“与孟加拉国海军的联合行动会议纪要”、“NVIDIA GeForce Experience”、“土耳其代表团”等为题发起攻击，后续攻击载荷都为Remcos远控木马。

白象组织目前正保持着高频率的攻击活动，攻击的目标主要为南亚周边国家。在攻击手法上，投递阶段也主要以附带恶意附件或恶意连接的钓鱼邮件为主，投递阶段的标题多以“通知”、“会议”、“纪要”等具有时效性的话题为主，在后续载荷中除了使用以往的BADNEWS木马外，白象组织还开始使用开源木马如“Remcos”、“Havoc”对目标进行后渗透。