本呈报中呈现的IOC（Indicators of Compromise，威胁指标），进一步包孕涉及到相关打击事件的样本文件MD5等哈希值、域名、IP、URL、邮箱等威胁谍报信息，由于其相关信息的敏感性和特殊性，所以在本呈报中暂不同错误外披露，在呈报中泛起的相关内容（文字、图片等）均通过打码隐藏措置惩罚惩罚。

*若您对本呈报的内容感兴趣，需要了解呈报相关细节或相关IOC，可与360追日团队通过电子邮件进行联系，此外我们目前只供给电子邮件联系方法：360zhuiri@360.cn，敬请谅解！

一、 概述

摩诃草组织（APT-C-09），又称HangOver、VICEROY TIGER、The Dropping Elephant、Patchwork，是一个来自于南亚地区的境外APT组织，该组织已连续活跃了7年。摩诃草组织最早由Norman安适公司于2013年曝光，随后又有其他安适厂商连续追踪并披露该组织的最新勾当，但该组织并未由于相关打击步履曝光而遏制对相关方针的打击，相反从2015年开始越发活跃。

摩诃草组织主要针对中国、巴基斯坦等亚洲地区国家进行网络间谍勾当，此中以窃取敏感信息为主。相关打击勾当最早可以追溯到2009年11月，至今还非常活跃。在针对中国地区的打击中，该组织主要针对当局机构、科研教育范围进行打击，此中以科研教育范围为主。

从2009年至今，该组织针对差别国家和范围至少策动了3波打击步履和1次疑似打击步履。整个打击过程使用了大量系统缝隙，此中至少包孕一次0day缝隙打击；该组织所给与的恶意代码非常繁杂。载荷投递的方法相对传统，主要是以鱼叉邮件进行恶意代码的流传，此外部分步履会给与少量水坑方法进行打击；值得存眷的是，在比来一次打击步履中，呈现了基于即时通讯工具和社交网络的恶意代码投递方法，进一步还会使用垂钓网站进行社会工程学打击。在打击方针的选择上，该组织主要针对Windows系统进行打击，同时我们也发明了存在针对Mac OS X系统的打击，从2015年开始，甚至呈现了针对Android OS移动设备的打击。

由于对摩诃草组织的打击步履不是第一次披露，通过针对相应TTPs（Tactics, Techniques and Procedures，战术、技术与法式）的分析，结合以往跟进或披露的种种APT组织或打击步履，我们认为大部分APT组织的相关打击勾当是不会停歇的，即使被某些呈报暂时披露，导致过去的手段掉效，但是只要被打击方针存在价值，打击组织的步履依然连续；存在部分情况，打击已到达最初预期，打击组织选择暂时的冬眠，但最终的目的也都是为了下一次打击养精蓄锐，这也是APT自己特性之一。其次，APT组织是否会对一个方针策动打击，主要取决于被打击方针的价值，而不在于被打击方针自己的安适防护强弱水平，被打击方针自己的强弱只是决定了打击组织所需的本钱，而大大都APT组织会为了到达其意图，几乎不计本钱（具有国家配景的打击组织所投入的打击本钱每每超过我们的想象）。

分析过去一年中产生的APT打击，我们还发明中国一直都是APT打击的主要受害国，此中相关打击组织主要存眷科研教育、当局机构范围，以窃取数据为目的。这和中国目前所处的经济与政治环境息息相关。同时，导致针对中国方针的打击频频到手，除了被打击方针自己防御法子单薄以外，针对APT等高级威胁，被打击方针自己缺乏积极主动的响应，即使在呈报披露之后，甚至得知成为受害者之后，依然无法引起相应的重视，导致对自身查抄和修复不敷，每每旧伤未愈，又添新恨。

同时，中国网络安适行业依然缺乏能力型厂商的保留空间，大量的扶植还是围绕过去的规划思路进行，这就导致了防护法子与高级威胁之间的脱节，从而给APT打击造成了大量可乘之机。十三五规划的第一年，只有我们真正从安适规划上转变思路，积极引入能力型厂商，才华形成能力型安适厂商与客户之间的协同联动，买通监控发明到检测防御的事件响应各个环节，形成良性的闭合循环。

果然时间 呈报名称 公司
2013年5月16日   OPERATION HANGOVER-Unveiling an Indian Cyberattack Infrastructure   Norman  
2013年5月20日   Operation Hangover: Q&A on Attacks   Symantec  
2013年5月21日   Big Hangover   F-Secure  
2013年6月5日   Operation Hangover: more links to the Oslo Freedom Forum incident   ESET  
2013年6月7日   Rare Glimpse into a Real-Life Command-and-Control Server   Crowdstrike  
2013年11月5日   Microsoft Office Zeroday used to attack Pakistani targets   AlienVault  
2013年11月5日   CVE-2013-3906: a graphics vulnerability exploited through Word documents   Microsoft  
2013年11月6日   Updates and Mitigation to Microsoft Office Zero-Day Threat (CVE-2013-3906)   McAfee  
2013年11月6日   VICEROY TIGER Delivers New Zero-Day Exploit   Crowdstrike  
2013年11月7日   THE DUAL USE EXPLOIT: CVE-2013-3906 USED IN BOTH TARGETED ATTACKS AND CRIMEWARE CAMPAIGNS   FireEye  
2014年6月10日   Snake In The Grass: Python-based Malware Used For Targeted Attacks   Blue Coat  
2016年7月7日   Unveiling Patchwork   Cymmetria  
2016年7月8日   The Dropping Elephant – aggressive cyber-espionage in the Asian region   Kaspersky  
2016年7月10日   白象的舞步——来自南亚次大陆的网络打击   安天  
2016年7月25日   Patchwork cyberespionage group expands targets from governments to wide range of industries   Symantec  
二、 摩诃草组织的四次打击步履

摩诃草组织相关重点事件时间轴

注：

1、 圆形蓝色里程碑：相关范例后门初度呈现时间

2、 正方形里程碑：相关缝隙（CVE编号）初度呈现时间

黑色：倡议相关打击时，缝隙为已知缝隙

橙色：倡议相关打击时，缝隙为0day缝隙

3、 菱形深灰色里程碑：载荷投递初度呈现的时间

四波打击步履