【安全资讯】白象APT组织武器库新增CVE-2019-0808提权模块(2020-08-31)

安恒情报中心 2021-01-08 08:31:56 944人浏览

“白象”又名“Patchwork”,“摩诃草”,来自南亚某国,自2012年以来持续针对中国、巴基斯坦等国进行网络攻击。近期威胁情报中心监测到多个白象APT的攻击活动样本,攻击活动中依然使用了CVE-2017-0261 EPS漏洞,并且在近期使用的样本中使用了CVE-2019-0808提权模块。

其中一个样本为“中印边境争端.docx”,意图十分明显,样本生成时间在6月初期,攻击活动时间应该也在这个时间左右,此时正是中印边境白热化阶段。



样本使用了EPS UAF漏洞(CVE-2017-0261)和Win32k.sys本地权限提升漏洞(CVE-2016-7255)的组合套路,依然使用VMwareCplLauncher.exe进行侧加载,最终载荷也是白象常使用的木马。回连C2为kmnh.crabdance[.]com。


另一个样本“why_saudi_ends_loan_and_oil_supply_to_Pakistan.docx”,为近期的攻击活动,主题为沙特阿拉伯终止对巴基斯坦的贷款和石油供应,原因是该南亚国家批评沙特领导的伊斯兰合作组织(OIC)在克什米尔问题上的努力不足以向印度施加压力,这标志着两国关系恶化的新里程碑。文档素材来自新闻网站。



进一步分析后发现,这个样本同样使用了CVE-2017-0261,CVE-2016-7255,并且新加入了CVE-2019-0808 win32k提权漏洞利用。

有意思的是该样本在office 2010上运行时与在office 2007上行为不一致,在office 2010上执行时,会在C:\ProgramData\Microsoft\DeviceSync目录下释放并加载一个pri.dll,经分析确认为CVE-2019-0808的提权代码,推测是为了对fltldr.exe进程进行沙箱逃逸,但我们并未在office 2010环境上观察到进一步行为。


总结
白象APT组织持续活跃,善于使用热点事件为主题进行钓鱼攻击,并且武器库也在进行更新,包括漏洞利用武器和远控武器。所以仍需提高警惕,尤其是不明来源的递送文档,可疑链接等。培养良好的安全防范意识,防范于未然。

失陷指标(IOC)8
APT Patchwork 钓鱼攻击 CVE-2017-0261 漏洞利用 CVE-2016-7255 CVE-2019-0808 中国 巴基斯坦 其他
    0条评论
    0
    0
    分享
    安恒威胁分析平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。