白象組織使用BADNEWS和Remcos商業木馬的最新攻擊活動
時間 : 2023年05月23日 來源: 安天CERT
1.概述
白象/WhiteElephant是具有印度背景的APT組織,其攻擊活動最早可追溯到2009年11月,安天將該組織中文命名為白象。2016年安天發布了《白象的舞步——來自南亞次大陸的網絡攻擊》[1],在國內首次披露了白象組織的攻擊活動,2017年發布《潛伏的象群——來自南亞次大陸的系列網絡攻擊活動》[2],再次披露兩起該組織針對我國的網絡攻擊活動,并在此之后持續跟蹤該組織的攻擊動向,對捕獲到的攻擊進行分析、關聯、溯源工作。白象的攻擊目標涉及非常廣泛的國家和地區分布,但主要目標是中國和巴基斯坦。該組織具備Windows、Android、macOS多平臺攻擊能力,擅長使用政治熱點話題作為誘餌進行魚叉攻擊,并不斷升級其攻擊技術,以達到更好的免殺效果。
近期,安天CERT捕獲到一起白象組織針對我國相關單位的攻擊活動。在本次攻擊活動中,攻擊者向目標投遞釣魚郵件,郵件附件為一個包含惡意LNK文件的壓縮包,LNK文件用于下載BADNEWS遠控木馬,最終實現對目標的信息竊取、遠程控制等功能。
進一步關聯分析發現,LNK系列攻擊與近期針對南亞地區的軍事政治等目標的網絡攻擊相關,關聯到的攻擊使用技術成熟的商業遠控工具如Remcos,也是通過LNK類型誘餌,或文件名以軍政題材命名的EXE程序、釣魚網站等作為攻擊前導,為此攻陷、注冊了相當數量的網絡基礎設施來支撐載荷分發和控制通聯。分析研判后發現關聯到的攻擊具有明顯的印度方向背景,攻擊目標暫不涉及我國,目前僅發現與白象組織存在數字證書上的關聯重疊。
2.針對我國相關單位的攻擊活動
2.1 LNK文件
表2-1 惡意LNK文件
|
原始文件名 |
先進結構與復合材料”等4個重點專項2023年度項目申報指南的通知 .pdf.lnk |
|
MD5 |
a8b9dcd916a005114da6a90c9724c4d9 |
|
文件大小 |
3.75 KB (3,848 bytes) |
|
文件格式 |
LNK |
攻擊者將包含惡意LNK文件的壓縮包作為郵件附件發送給目標,惡意LNK文件偽裝成pdf文檔誘導攻擊者打開執行。
圖2?1 壓縮包內雙后綴的誘餌文件
LNK文件執行后會從https://msit5214.b-cdn.net/abc.pdf處下載誘餌文件并打開,而后從https://msit5214.b-cdn.net/c處下載后續載荷到C:\ProgramData\Microsoft\DeviceSync并將其命名為OneDrive.exe,最后將其添加到計劃任務中執行。
圖2?2 LNK文件中提取出的代碼
2.2 BADNEWS木馬
表2-2 BADNEWS木馬
|
病毒名 |
Trojan[RAT]/Win32.Whiteelephant |
|
原始文件名 |
OneDrive.exe |
|
MD5 |
5bb083f686c1d9aba9cd6334a997c20e |
|
處理器架構 |
Intel 386 or later processors |
|
文件大小 |
337.45 KB (345544 bytes) |
|
文件格式 |
Win32 EXE |
|
時間戳 |
2023-04-06 09:01:18 UTC |
|
數字簽名 |
Gromit Electronics Limited |
|
加殼類型 |
無 |
|
編譯語言 |
Microsoft Visual C/C++(2017 v.15.5-6) |
OneDrive.exe文件為白象組織的BADNEWS遠程控制木馬,用于實現文件下載、命令執行、屏幕截圖等功能。OneDrive.exe的數字簽名信息如下。
圖2?3 數字簽名信息
BADNEWS木馬執行后,首先判斷機器的時區。若檢測結果為中國標準時區,則會進行后續惡意操作。
圖2?4 判斷是否為中國標準時區
接著創建互斥量qzex,確保當前環境下該進程唯一,而后使用SetWindowsHookExW函數注冊鍵盤鉤子。
圖2?5 創建互斥量,注冊鍵盤鉤子
竊取的鍵盤記錄將會存放到%temp%\kednfbdnfby.dat文件。
圖2?6 鍵盤記錄存放到kednfbdnfby.dat
使用正常的Web服務myexternalip.com、api.ipify.org、ifconfig.me獲取主機IP外網地址。
圖2?7 獲取主機外網IP
將前面獲取到的外網IP在api.iplocation.net、ipapi.co 的Web服務中查詢,獲取外網IP所屬國家的名稱。
圖2?8 獲取外網IP所屬國家
將獲取到的加密信息拼接成一個字符串,用于后續作為心跳包的內容回傳到C2服務器。
圖2?9 回傳的信息內容
在目標機中收集的數據類型如下所示:
表2-3 收集的數據類型
|
uu34 |
SMBIOS UUID |
|
puip89 |
外網IP地址 |
|
iggp |
內網IP地址 |
|
usfghnam |
當前用戶名 |
|
osgh |
Windows系統版本 |
|
locghg |
外網IP地址對應國家 |
收集到的信息首先進行Base64編碼,而后通過AES-CBC-128加密,然后再進行一次Base64編碼。加密使用的AES密鑰為“qgdrbn8kloiuytr3”,IV為“feitrt74673ngbfj”。
圖2?10 數據加密
創建3個線程同C2服務器通信,C2地址為charliezard.shop,通信端口為443端口,URI為/tagpdjjarzajgt/cooewlzafloumm.php。每個線程分別承擔不同的工作,通信內容采用AES-CBC-128加密數據。
圖2?11 創建線程通信
sub_409900線程函數用于發送收集的基本信息,驗證目標機器是否處于開機狀態。
圖2?12 發送心跳包
sub_4092A0線程函數用于實現遠程控制功能。攻擊者下發執行的格式為:指令$參數1$參數2,參數2并未使用。
圖2?13 獲取指令并執行相應功能
對比以往的BADNEWS各個控制命令的實現,發現該組織并未同先前攻擊活動[3]中一樣將執行結果保存到文件,而是直接將數據加密后回傳到C2服務器,BADNEWS中存在的指令代碼及對應功能如下所示:
表2-4 指令代碼及對應功能
|
指令代碼 |
功能 |
|
3hdfghd1 |
讀取指定文件并將結果回傳。 |
|
3fgbfnjb3 |
讀取鍵盤記錄文件%temp%\kednfbdnfby.dat中的內容并將結果回傳。 |
|
3gjdfghj6 |
執行cmd指令并將結果回傳。 |
|
3fgjfhg4 |
遍歷指定目錄并回傳文件列表。 |
|
3gnfjhk7 |
文件下載并執行。文件內容經解密后,寫入到%temp%\dp+[4位隨機字符].exe文件執行,并將結果回傳。 |
|
3ngjfng5 |
文件下載。下載的內容經解密后,寫入到%temp%路徑下以指定名稱命名,而后將結果回傳。 |
|
3fghnbj2 |
屏幕截圖并回傳。 |
sub_409440線程函數用于執行cmd命令收集信息(包括當前用戶名、網絡配置、DNS緩存、系統信息、進程列表),然后將信息加密后添加到endfh參數回傳至C2服務器。
圖2?14 收集系統信息
2.3 歸因分析
此次釋放的木馬OneDrive.exe在代碼結構、加密算法、通信模式等方面和白象組織以往攻擊活動中使用的BADNEWS木馬相似,并且BADNEWS木馬的存放路徑C:\ProgramData\Microsoft\DeviceSync也是該組織常用文件路徑。
以往攻擊活動中利用CVE-2017-11882漏洞釋放的BADNEWS木馬存放路徑。
圖2?15 以往攻擊活動中CVE-2017-11882漏洞釋放的BADNEWS木馬存放路徑
本次攻擊活動中BADNEWS木馬存放路徑。
圖2?16 本次攻擊活動中BADNEWS木馬存放路徑
以往攻擊活動BADNEWS木馬中存在的系統時區檢測代碼。
圖2?17 以往攻擊活動BADNEWS木馬中存在的系統時區檢測代碼
本次攻擊活動BADNEWS木馬中存在的系統時區檢測代碼。
圖2?18 本次攻擊活動BADNEWS木馬中存在的系統時區檢測代碼
針對南亞軍政目標的攻擊活動
對上述攻擊活動使用到的BADNEWS木馬進行關聯分析,發現與近期針對南亞地區的軍事政治等目標的網絡攻擊存在相關性。關聯到的攻擊通過LNK類型誘餌,或文件名以軍政題材命名的EXE程序、釣魚網站等作為攻擊前導,大量使用商業木馬Remcos實現遠程控制,獲取目標敏感信息。
3.1 Remcos商業遠控木馬
表3-1 Remcos遠控木馬
|
病毒名 |
Trojan[RAT]/Win32.Remcos |
|
原始文件名 |
Minutes-of-Meeting-Joint-Ops.exe |
|
MD5 |
b8f649208c5f404eff00c1a4f8c61995 |
|
處理器架構 |
Intel 386 or later processors |
|
文件大小 |
2.35 MB (2465088 bytes) |
|
文件格式 |
Win32 EXE |
|
時間戳 |
2023:02:21 13:52:24 UTC |
|
數字簽名 |
Gromit Electronics Limited |
|
加殼類型 |
無 |
|
編譯語言 |
Microsoft Visual C/C++(2017 v.15.5-6) |
Remcos是一款商業遠控木馬,包括實現遠程桌面控制、屏幕竊取、剪切板竊取、攝像頭及音頻窺視、命令執行、瀏覽器竊密、密碼竊取、創建代理等豐富功能,能對文件、進程、服務、窗口、注冊表、網絡等信息進行收集和管理。
圖3?1 官方Remcos Professional產品界面介紹
3.2 與白象組織的關聯分析
3.2.1 數字證書關聯
根據上述針對我國相關單位的攻擊活動中BADNEWS木馬的數字簽名信息,可以關聯到具備該簽名的惡意文件。
圖3?2 本次攻擊活動BADNEWS木馬中存在的數字證書
使用該簽名的文件數量并不多,其中包含名為Minutes-of-Meeting-Joint-Ops.exe的木馬樣本,樣本在今年2月22日從孟加拉國上傳,為Remcos遠控家族,C2地址為45.137.116.253:443 (TCP)。
同樣訪問45.137.116.253:443 (TCP)地址的木馬還包括其他文件名為軍政題材的Remcos遠控,其中fatima.exe的母體為此前未見的下載器:
表3-2 IP 45.137.116.253關聯到的惡意文件
|
MD5 |
文件名 |
簡介說明 |
|
e8ba6aeac4ae8bd22e2da73a2e142104 |
Minutes-of-Meeting-Joint-Ops-with-Bangladesh-Navy.exe (與孟加拉國海軍的聯合行動會議紀要) |
Remcos RAT, 掛載于傀儡網站: merafm.com |
|
6f50d7408281f80d5b563236215e5308 |
fatima.exe |
Remcos RAT 掛載于傀儡網站: merafm.com |
|
40ae57d3e6163e80d3887aaacd001980 |
Defence-Attache-Minutes-of-Meeting.exe (國防武官會議紀要) |
下載器,用于下載并執行fatima.exe |
托管這些Remcos遠控程序的傀儡網站merafm.com是巴基斯坦最受歡迎的無線電廣播公司MERA FM的網站,進一步分析基本確定該網站是被入侵,用于掛載攻擊者大量的惡意文件,文件梳理列表如下:
表3-3 merafm.com網站關聯到的惡意文件
|
MD5 |
文件名 |
簡介說明 |
|
d51e8ebb04a5849f46514dcaef7f4c32 |
Talking-Points-with-China-PLAAF.exe (與中國空軍的談話要點) |
Remcos RAT |
|
eb9068161baa5842b40d5565130526b9 |
LIST OF
SIGNAL ADDRESSES, CALL SIGN 10 Apr 2023.exe (信號地址列表,呼叫信號2023年4月10日) |
下載器(下載的文件鏈接已失效) |
|
e8ba6aeac4ae8bd22e2da73a2e142104 |
Minutes-of-Meeting-Joint-Ops-with-Bangladesh-Navy.exe (與孟加拉國海軍的聯合行動會議紀要) |
Remcos RAT |
|
6f50d7408281f80d5b563236215e5308 |
fatima.exe |
Remcos RAT 掛載于傀儡網站: merafm.com |
|
aebe447662363c9e40275aa8aed5f905 |
hplaserprinter.exe |
Remcos RAT |
惡意文件的工具能力和IoC梳理如下:
表3-4 惡意文件的工具能力和IoC
|
MD5 |
工具能力及配置數據 |
|
d51e8ebb04a5849f46514dcaef7f4c32 |
Remcos RAT,C2:45.137.118.105:443 |
|
eb9068161baa5842b40d5565130526b9 |
下載器,從gclouddrives.com/spyder/smile.php獲取載荷 |
|
e8ba6aeac4ae8bd22e2da73a2e142104 |
Remcos RAT,C2:45.137.116.253:443 |
|
6f50d7408281f80d5b563236215e5308 |
Remcos RAT,C2:45.137.116.253:443 |
|
aebe447662363c9e40275aa8aed5f905 |
Remcos RAT,C2:45.146.254.153:993 |
3.2.2 樣本同源關聯
基于以上樣本,通過在文件元數據、代碼、資產等同源層面進行關聯拓線,關聯到多個樣本如下表:
表3-5 上述樣本關聯到的惡意文件
|
MD5 |
文件名 |
簡介說明 |
|
5b99f5a2430eb761d6c70e624809a1bd |
Official-Correspondence-by-IGP-Punjab-through-Official-E-mail-ID.exe (旁遮普省警察總監通過官方電子郵件ID發出的官方信函) |
Remcos RAT |
|
76dc20e2e00baa85a0ca73539a0a9c7a |
ISPR-Turkiye-Delegation.exe (軍種間公共關系局 土耳其代表團) |
Remcos RAT |
|
87d94635372b874f18acb3af7c340357 |
PN SHIP
OVERSEAS DEPLOYMENT PLAN TO FAR EAST CHINA.exe (巴基斯坦海軍 中國遠東船舶海外部署計劃) |
下載器(下載的文件鏈接已失效) |
|
1fa3f364bcd02433bc0f4d3113714f16 |
Rocket
Launch System THE UPDT LIST OF MLRS PROB-.exe (火箭發射系統 多管火箭炮問題更新列表) |
下載器(下載的文件鏈接已失效) |
|
3ea8adf7a898de96ffd6e7d4b2594f54 |
List1.xll |
下載器(x64),下載并執行上文中的hplaserprinter.exe |
|
50cca2ab249aa4575854991db1c93442 |
List2.xll |
下載器(x64),下載并執行上文中的hplaserprinter.exe |
|
927618e626b1db68a4281b281a7b7384 |
dllhostSvc.exe |
Remcos RAT |
|
4be6220e6295676f9eae5659826900c5 |
FIA_IBMS_VPN.2022.exe |
Remcos RAT |
惡意文件的工具能力和IoC梳理如下:
表3-6 惡意文件的工具能力和IoC
|
MD5 |
工具能力及配置數據 |
|
5b99f5a2430eb761d6c70e624809a1bd |
Remcos RAT,193.203.238.116:443 |
|
76dc20e2e00baa85a0ca73539a0a9c7a |
Remcos RAT,45.146.254.153:993 |
|
87d94635372b874f18acb3af7c340357 |
下載器,從alibababackupcloud.com/spyder/smile.php獲取載荷 |
|
1fa3f364bcd02433bc0f4d3113714f16 |
下載器,從cloudplatfromservice.one/cpidr/balloon.php獲取載荷 |
|
3ea8adf7a898de96ffd6e7d4b2594f54 |
下載器(x86),下載并執行hplaserprinter.exe,從merafm.com/wp-content/uploads/2021/04/sijsi/hplaserprinter.exe獲取載荷 |
|
50cca2ab249aa4575854991db1c93442 |
下載器(x64),下載并執行hplaserprinter.exe,從merafm.com/wp-content/uploads/2021/04/sijsi/hplaserprinter.exe獲取載荷 |
|
927618e626b1db68a4281b281a7b7384 |
Remcos RAT,45.146.254.153:443 |
|
4be6220e6295676f9eae5659826900c5 |
Remcos RAT,45.146.254.153:443 |
其中dllhostSvc.exe的執行母體是名為Password.lnk的惡意快捷方式,LNK被打包在壓縮包中,壓縮包之中存在加密的word文檔以及名為Password.lnk的惡意快捷方式,誘導目標打開快捷方式獲取密碼,手段與上文中針對中國的LNK誘餌較為類似:
圖3?3 壓縮包內的文件
圖3?4 加密的word文檔
Password.lnk通過調用mshta.exe執行遠程端HTA文件中包含的PowerShell代碼,下載https://webmail.mod.com.pk/uploads/adrean.exe,并將其重命名為%localappdata%\dllhostSvc.exe執行。
3.2.3 網絡資產關聯
針對南亞攻擊活動的相關網絡資產主要以自有域名、自有IP和傀儡網站三種類別組成。
其中自有域名包括命名上與官方相似的域名,以及Whois注冊地址偽裝成受害者所在地的域名。這些域名大多數用于給下載器響應載荷,其中webmail.mod.com.pk既作為載荷分發又作為釣魚盜號網站:
圖3?5 針對孟加拉警察的Outlook登錄釣魚網站
表3-7 域名信息及用途
|
域名 |
域名信息 |
用途 |
|
webmail.mod.com.pk |
偽裝成巴基斯坦國防部官方域名 |
載荷分發、釣魚盜號 |
|
alibababackupcloud.com |
域名注冊時間:2023-03-12
12:44:09 UTC 域名注冊地址:lahore,PK 域名服務商:Vautron
Rechenzentrum AG 域名服務器: ns1.zap-hosting.com;
ns2.zap-hosting.com 域名注冊郵箱:[email protected] |
分發Remcos
RAT載荷 |
|
morimocanab.com |
域名注冊時間:2023-01-13
11:24:12 UTC 域名注冊地址:lahore,PK 域名服務商:Vautron
Rechenzentrum AG 域名服務器: ns1.zap-hosting.com;
ns2.zap-hosting.com 域名注冊郵箱:[email protected] |
載荷分發 |
|
fiagov.com |
域名注冊時間:2022-11-30
08:34:19 UTC 域名注冊地址:lahore,PK 域名服務商:Vautron
Rechenzentrum AG 域名服務器: ns1.zap-hosting.com;
ns2.zap-hosting.com 域名注冊郵箱:[email protected] |
載荷分發 |
|
clouddrivev3.com |
域名注冊時間:2023-02-15
07:33:09 UTC 域名注冊地址:pakistan,SG 域名服務商:Vautron
Rechenzentrum AG 域名服務器: ns1.zap-hosting.com;
ns2.zap-hosting.com 域名注冊郵箱:[email protected] |
載荷分發 |
|
gclouddrives.com |
域名注冊時間:2023-02-16
03:14:20 UTC 域名注冊地址:pakistan,SG 域名服務商:Vautron
Rechenzentrum AG 域名服務器: ns1.zap-hosting.com;
ns2.zap-hosting.com 域名注冊郵箱:[email protected] |
分發Remcos
RAT載荷 |
|
tarrikhuts.com |
域名注冊時間:2023-01-27
10:00:11 UTC 域名注冊地址:pakistan,SG 域名服務商:Vautron
Rechenzentrum AG 域名服務器: ns2.zap-hosting.com;
ns1.zap-hosting.com 域名注冊郵箱:[email protected] |
載荷分發 |
|
verificationapis.com |
域名注冊時間:2022-12-17
12:46:10 UTC 域名注冊地址:doonde,BD 域名服務商:Vautron
Rechenzentrum AG 域名服務器:ns2.zap-hosting.com;
ns1.zap-hosting.com 域名注冊郵箱:[email protected] |
載荷分發 |
|
cdnverificationlinks.com |
域名注冊時間:2022-12-29
10:19:32 UTC 域名注冊地址:doonde,BD 域名服務商:Vautron
Rechenzentrum AG 域名服務器: ns1.zap-hosting.com;
ns2.zap-hosting.com 域名注冊郵箱:[email protected] |
分發Cobalt
Strike載荷 |
|
cloudplatfromservice.one |
域名注冊時間:2023-04-19
08:18:09 UTC 域名注冊地址:隱私保護 域名服務商:Vautron
Rechenzentrum AG 域名服務器: keyla.ns.cloudflare.com;lamar.ns.cloudflare.com 域名注冊郵箱:隱私保護 |
分發Remcos
RAT載荷 |
自有IP為Remcos遠控的C2地址,多為443端口且同屬德國云服務提供商combahton GmbH,控制端口存在測繪掃描特征,截至報告撰寫時可測得IP共計8個,梳理信息如下:
表3-8 IP地址信息
|
IP地址 |
IP歸屬地及服務商 |
控制端口及協議 |
|
45.137.116.253 |
巴基斯坦 ( combahton GmbH ) AS 30823 |
Remcos RAT,443端口,TCP協議 |
|
45.137.118.105 |
巴基斯坦 ( combahton GmbH ) AS 30823 |
Remcos RAT,443端口,TCP協議 |
|
45.146.254.153 |
德國 ( combahton GmbH ) AS 30823 |
Remcos RAT,443端口,TCP協議 |
|
45.146.252.37 |
德國 ( combahton GmbH ) AS 30823 |
Remcos RAT,443端口,TCP協議 |
|
45.153.242.244 |
德國 ( combahton GmbH ) AS 30823 |
Remcos RAT,443端口,TCP協議 |
|
134.255.252.75 |
德國 ( combahton GmbH ) AS 30823 |
Remcos RAT,443端口,TCP協議 |
|
185.239.237.197 |
德國 ( combahton GmbH ) AS 30823 |
Remcos RAT,443端口,TCP協議 |
|
193.203.238.116 |
德國 ( combahton GmbH ) AS 30823 |
Remcos RAT,443端口,TCP協議 |
傀儡網站目前僅發現merafm.com,從惡意文件掛載路徑來看有可能是漏洞攻擊后通過惡意上傳完成。
4.威脅框架映射
本次捕獲到的白象組織針對我國相關單位攻擊活動共涉及ATT&CK框架中8個階段的19個技術點,具體行為描述如下表:
表4-1 本次白象針對我國相關單位攻擊活動的技術行為描述表
|
ATT&CK階段/類別 |
具體行為 |
注釋 |
|
初始訪問 |
網絡釣魚 |
通過釣魚郵件投遞包含惡意LNK文件的壓縮包 |
|
執行 |
利用計劃任務/工作 |
將BADNEWS木馬添加至計劃任務中執行 |
|
執行 |
誘導用戶執行 |
誘導用戶打開壓縮包內偽裝成pdf誘餌的LNK文件 |
|
持久化 |
利用計劃任務/工作 |
將BADNEWS木馬添加至計劃任務中實現持久化 |
|
防御規避 |
混淆文件或信息 |
使用AES和Base64加密需要傳輸的數據 |
|
發現 |
發現文件和目錄 |
可以獲取目標機文件目錄列表 |
|
發現 |
發現進程 |
可以獲取目標機當前環境進程列表 |
|
發現 |
發現系統信息 |
可以獲取目標機系統信息 |
|
發現 |
發現系統地理位置 |
判斷時區是否為中國標準時區 |
|
發現 |
發現系統網絡配置 |
可以獲取目標機網絡配置 |
|
發現 |
發現系統所有者/用戶 |
可以獲取目標機當前用戶名 |
|
收集 |
收集本地系統數據 |
可以收集目標機文件、系統信息、網絡配置、進程列表等信息 |
|
收集 |
數據暫存 |
會將鍵盤記錄存儲到%temp%\kednfbdnfby.dat文件中 |
|
收集 |
輸入捕捉 |
可以記錄目標機上的擊鍵 |
|
收集 |
屏幕捕獲 |
可以獲取屏幕截圖 |
|
命令與控制 |
使用應用層協議 |
使用應用層協議并回傳 |
|
命令與控制 |
編碼數據 |
數據加密后回傳至C2服務器 |
|
數據滲出 |
自動滲出數據 |
自動回傳用戶名、IP地址、Windows版本等信息 |
|
數據滲出 |
使用C2信道回傳 |
使用C2信道回傳數據 |
將涉及到的威脅行為技術點映射到ATT&CK框架如下圖所示:
圖4?1 本次白象針對我國相關單位攻擊活動對應ATT&CK映射圖
5.總結
綜上所述,安天CERT近期發現的LNK系列攻擊,由印度的白象APT組織發起,攻擊者疑似通過釣魚攻擊投遞專用遠控木馬,相關的攻擊手法和代碼與以往的白象組織的攻擊特征保持一致。通過樣本數字證書關聯的Remcos商業木馬來自針對南亞地區攻擊活動,攻擊者大量使用Remcos商業木馬針對軍事政治等目標。除安天發現白象組織使用Remcos商業木馬外,斯洛伐克廠商ESET[4]也發現了印度肚腦蟲(Donot)組織使用了Remcos商業木馬,兩個印度組織都開始使用Remcos商業木馬,可以看出印度組織進一步嘗試購買商業木馬納入為自己的攻擊武器,降低成本的同時依托商業木馬提高網絡攻擊活動效率。