神秘大象APT组织:不断演变的威胁
神秘大象(Mysterious Elephant)是一个高度活跃的先进持续威胁(APT)组织,由卡巴斯基GReAT团队于2023年发现。该组织持续演变并调整其战术、技术和程序(TTPs)以保持隐蔽性,主要针对亚太地区的政府实体和外交部门,使用一系列复杂工具和技术渗透并窃取敏感信息。
最新攻击活动
该组织在2025年初发起的最新活动显示其TTPs发生显著变化,更加注重使用新的定制工具以及定制化的开源工具,如BabShell和MemLoader模块。
鱼叉式网络钓鱼
神秘大象开始使用鱼叉式网络钓鱼技术获取初始访问权限。钓鱼邮件针对每个受害者量身定制,设计逼真以模仿合法通信。该APT组织的主要目标是南亚地区国家,特别是巴基斯坦,对外交机构表现出强烈兴趣。
恶意工具
PowerShell脚本
攻击者使用PowerShell脚本执行命令、部署额外载荷并建立持久性。这些脚本从C2服务器加载,经常使用curl和certutil等合法系统管理工具下载并执行恶意文件。
BabShell
这是用C++编写的反向shell工具,使攻击者能够连接到受感染系统。执行后,它会收集系统信息(包括用户名、计算机名和MAC地址)以识别机器,然后进入无限循环执行以下步骤:
- 监听并接收来自攻击者控制C2服务器的命令
- 为每个接收到的命令创建单独线程执行
- 将命令输出保存到output_[时间戳].txt文件中
- 将文件内容传输回C2服务器
定制化开源工具
MemLoader HidenDesk 这是一个反射式PE加载器,在内存中加载并执行恶意载荷。它使用加密和压缩来逃避检测,操作方式包括:
- 检查活动进程数量(沙箱逃避技术)
- 在自启动文件夹创建快捷方式
- 创建名为"MalwareTech_Hidden"的隐藏桌面
- 使用RC4-like算法解密并执行shellcode
MemLoader Edge 这是一个恶意加载器,嵌入了VRat后门样本,采用加密和逃避技术:
- 执行网络连接测试(连接bing.com:445)
- 使用XOR密钥解密嵌入的PE文件
- 使用反射加载技术在内存中加载解密的PE文件
WhatsApp特定窃取工具
Uplo Exfiltrator
数据窃取工具,针对特定文件类型并将其上传到攻击者的C2服务器,使用简单的XOR解密来混淆C2域路径。
Stom Exfiltrator
常用的窃取工具,递归搜索特定目录(包括"Desktop"和"Downloads"文件夹),最新变种专门针对通过WhatsApp应用程序共享的文件。
ChromeStealer Exfiltrator
针对Google Chrome浏览器数据的窃取工具,包括cookie、令牌和其他敏感信息,使用字符串混淆来逃避检测。
基础设施
神秘大象的基础设施是一个域名和IP地址网络。该组织一直使用各种技术,包括通配符DNS记录,为每个请求生成唯一域名。攻击者还使用虚拟专用服务器(VPS)和云服务来托管其基础设施。
受害者分析
神秘大象的主要目标是亚太地区的政府实体和外交部门。该组织一直专注于巴基斯坦、孟加拉国和斯里兰卡,其他国家的受害者数量较少。攻击者使用高度定制的载荷,针对特定个人,突显了其复杂性和针对性攻击的重点。
结论
神秘大象是一个高度复杂且活跃的APT组织,对亚太地区的政府实体和外交部门构成重大威胁。通过持续演变和调整TTPs,该组织展示了逃避检测和渗透敏感系统的能力。使用定制和开源工具(如BabShell和MemLoader)突显了其技术专业知识和投资开发高级恶意软件的意愿。
危害指标(IOCs)
文件哈希
恶意文档
- c12ea05baf94ef6f0ea73470d70db3b2 M6XA.rar
- 8650fff81d597e1a3406baf3bb87297f 2025-013-PAK-MoD-Invitation_the_UN_Peacekeeping.rar
MemLoader HidenDesk
- 658eed7fcb6794634bbdd7f272fcf9c6 STI.dll
- 4c32e12e73be9979ede3f8fce4f41a3a STI.dll
BabShell
- 85c7f209a8fa47285f08b09b3868c2a1
- f947ff7fb94fa35a532f8a7d99181cf1
域名/IP
- hxxps://storycentral[.]net
- hxxp://listofexoticplaces[.]com
- hxxps://monsoonconference[.]com
- 91.132.95[.]148
- 62.106.66[.]80
- 158.255.215[.]45
