【安全资讯】ModifiedElephant：隐藏十年的APT组织

引言

2022年2月9日，研究人员发布报告，将一项持续十年的恶意活动归因于以前未知的名为 ModifiedElephant 的攻击组织。ModifiedElephant 至少从 2012 年开始运营，多次攻击特定个人，受害者包括印度各地的人权活动家、人权捍卫者、学者和律师。

简况

ModifiedElephant的目的是对受害者进行长期监视，研究人员已确定了数百个 ModifiedElephant 网络钓鱼活动的目标群体和个人。2013 年至 2019 年期间，在多个活动中观察到了ModifiedElephant的重叠基础设施，ModifiedElephant 和 SideWinder C2 基础架构的时间线示例如下：

十多年来，ModifiedElephant 一直依赖带有恶意附件的鱼叉式网络钓鱼电子邮件，活动中使用的诱饵都与政治有关。该组织的技术一直在发展，以下是攻击者运营的概述：

• 2013：攻击者使用带有虚假双扩展名(file.pdf.exe) 的电子邮件附件来释放恶意软件
• 2015：攻击者开始使用受密码保护的 RAR 附件，其中包含覆盖恶意软件执行的合法诱饵文档
• 2019：ModifiedElephant开始托管恶意软件投放网站并滥用云托管服务，从使用虚假文档转化到使用恶意链接
• 2020：攻击者使用大型 RAR 文件 (300 MB) 通过跳过扫描来逃避检测

在多个情况下，附加文档利用已知漏洞执行恶意软件，包括 CVE-2012-0158、CVE-2013-3906、CVE-2014-1761 和 CVE-2015-1641。

ModifiedElephant使用公开可用的远程访问木马，通过鱼叉式网络钓鱼传递恶意软件，包括NetWire、DarkComet、键盘记录器，以及Android 恶意软件。NetWire 和 DarkComet都是公开可用的远程访问木马，通常被较低级别的网络犯罪分子广泛使用。ModifiedElephant 使用的 Visual Basic 键盘记录器自 2012 年以来一直没有更新，甚至不再适用于现代操作系统版本，该恶意软件一直在黑客论坛上免费提供。攻击者使用的Android 恶意软件也是一种公开的木马，以 APK 的形式传递给受害者，通过伪装成新闻应用程序或安全的消息传输工具传播。

归因

由于受害者身份的性质，如言论自由活动家和学者，因此攻击者的目标不是出于财务目的。加上符合印度国家利益的目标范围，研究人员认为ModifiedElephant组织由印度官方行政组织支持。