9月29日，雷锋网从微步在线获取了一份关于“白象”团伙借中印边境问题再次发起攻击的事件分析报告。该报告称，自该团伙在2016 年 7 月被Cymmetria、安天、Forcepoint、卡巴斯基、赛门铁克等多家安全公司曝光后，该团伙的钓鱼网站于 8 月 29 日再次上线，并以“中印边境”为题诱导访问者下载恶意程序植入后门，继续对中国目标发起攻击。

“白象”，又名Patchwork、Dropping Elephant，自2015年12月开始活跃，长期针对中国军队、 *** 等部门开展渗透攻击，该团伙主要通过钓鱼邮件和仿冒网站传播木马，木马载体通常为军事、政治相关主题的Doc或PPS文档，常用漏洞包括CVE-2012-0158、CVE-2014-4114、CVE-2014-6352等。

2017年5月，微步在线通过一份包含漏洞的 Word 文档发现了“白象”团伙针对中国 *** 、军事相关部门的攻击活动，挖掘出其注册的大量可疑域名和木马样本。有趣的是，就在印度军队于8月28日自洞朗撤军，中印双方结束了两个多月的对峙后，该团伙的钓鱼网站于 8 月 29 日再次上线，并以“中印边境”为题诱导访问者下载恶意程序植入后门，继续对中国目标发起攻击。

以下为微步在线提供给雷锋网的关于此次攻击的详情分析：

• 钓鱼网站于2017年8月29日上线，以“中印边境”为话题构造了仿冒优酷的钓鱼页面，诱导访问者下载后门程序。

• 木马使用C++编写，执行后会再调用一段加密后的.Net代码，并伪装成某公司的安全防护软件，具备较强的隐蔽性和对抗性。

• 木马启动后能够接受远程控制服务器任意指令，完全控制受害主机，远控服务器目前仍可正常通信，说明攻击活动尚在进行中。

本次捕获的钓鱼页面（www.qzonecn.com）于 2017 年 8 月 29 日上线，系仿冒优酷网的一条新闻视频，标题为“中国和阿三的边界问题在洞朗”（未发现优酷网上有类似名称的视频），视频位置显示“您还没有安装flash播放器，请点击这里安装”。点击该链接后，会打开adobe公司官网，却从另一恶意站点（www.bdarmy.news）下载名为“Adobeflashplayer26_install_ver9.6.0.exe”的可执行程序，制造该程序来自Adobe官网的假象，具备较强迷惑性。如下图所示:

查看网站源码发现，钓鱼链接会先打开Flash Player 官方下载页面，再从www.bdarmy.news下载仿冒的“安装包”程序，以混淆视听。

查看该程序的属性发现，其详细信息包含“qiho”、“360”、“Defence”等干扰字符，而原始文件名为“RAT.exe”。