来自南亚的金刚象组织VajraEleph ——针对巴基斯坦军方人员的网络间谍活动披露

一、  事件概要

图1.1 受影响的国家分布情况图

图2.1 发现的最早域名载荷服务器相关截图（采用NameSilo注册商域名）

表1 已发现的载荷投递短链及其对应的实际下载地址

图2.2 部分域名载荷服务器whois情况

三、 攻击目标

图3.1 巴基斯坦边防军（FC ，Frontier Corps）人员被窃照片

图3.2 巴基斯坦俾路支省边防军（ FC BLN ，FC Balochistan）人员被窃照片

图3.3 俾路支省边防军人员被窃资料

图3.4 巴基斯坦特种部队（SSG ，Special Service Group）人员被窃照片

图3.5 巴基斯坦警察被窃照片

图3.6 巴基斯坦警察被窃资料

图3.7 巴基斯坦联邦调查局（FIA，Federal Investigation Agency）人员被窃照片

图3.8 关于陆军参谋长（COAS，Chief of Army Staff）的被窃资料

四、 技术分析

表2 VajraSpy RAT主要窃取功能情况表

图4.1 窃取的15种类型文件（文本、图片、音频）相关代码片段

五、  攻击者画像

1）攻击目的

2）攻击方式

5）与其他APT组织的关联

六、  总结与建议

     1）工作生活相分离，敏感信息不外传

     2）加强安全意识教育，严格执行安全规范

     3）更新软件系统，使用安全软件

     4）建立威胁情报能力，防范APT攻击

部分IOC

附录1 奇安信病毒响应中心

奇安信病毒响应中心是北京奇安信科技有限公司（奇安信集团）旗下的病毒鉴定及响应专业团队，背靠奇安信核心云平台，拥有每日千万级样本检测及处置能力、每日亿级安全数据关联分析能力。结合多年反病毒核心安全技术、运营经验，基于集团自主研发的QOWL和QDE（人工智能）引擎，形成跨平台木马病毒、漏洞的查杀与修复能力，并且具有强大的大数据分析以及实现全平台安全和防护预警能力。

奇安信病毒响应中心负责支撑奇安信全线安全产品的病毒检测，积极响应客户侧的安全反馈问题，可第一时间为客户排除疑难杂症。中心曾多次处置重大病毒事件、参与重大活动安全保障工作，受到客户的高度认可，提升了奇安信在业内的品牌影响力。

附录2 奇安信病毒响应中心移动安全团队

奇安信病毒响应中心移动安全团队一直致力移动安全领域及Android安全生态的研究。目前，奇安信的移动安全产品除了可以查杀常见的移动端病毒木马，也可以精准查杀时下流行的刷量、诈骗、博彩、违规、色情等黑产类软件。通过其内部分析系统可以有效支持对溯源分析等追踪。通过其高价值移动端攻击发现流程已捕获到多起攻击事件，并发布了多篇移动黑产报告，对外披露了多个APT组织活动，近两年已首发披露4个国家背景下的新APT组织（诺崇狮组织SilencerLion、利刃鹰组织BladeHawk、艾叶豹组织SnowLeopard和此次的金刚象组织VajraEleph）。未来我们还会持续走在全球移动安全研究的前沿，第一时间追踪分析最新的移动安全事件、对国内移动相关的黑灰产攻击进行深入挖掘和跟踪，为维护移动端上的网络安全砥砺前行。

附录3 奇安信移动产品介绍

奇安信移动终端安全管理系统（天机）是面向公安、司法、政府、金融、运营商、能源、制造等行业客户，具有强终端管控和强终端安全特性的移动终端安全管理产品。产品基于奇安信在海量移动终端上的安全技术积淀与运营经验，从硬件、OS、应用、数据到链路等多层次的安全防护方案，确保企业数据和应用在移动终端的安全性。

奇安信移动态势感知系统是由奇安信安全监管BG态势感知第一事业部及其合作伙伴奇安信病毒响应中心移动团队合力推出的一个移动态势感知管理产品。不同于传统移动安全厂商着重于APP生产，发布环节，为客户提供APP加固、检测、分析等；移动态势感知面向具有监管责任的客户，更加着重于APP的下载，使用环节，摸清辖区范围内APP的使用情况，给客户提供APP违法检测、合规性分析、溯源等功能。

原文始发于微信公众号（奇安信病毒响应中心）：来自南亚的金刚象组织VajraEleph ——针对巴基斯坦军方人员的网络间谍活动披露