W wyniku analizy przeprowadzonej przez Kaspersky Lab okazało się, że najprawdopodobniej grupa operuje z terytorium   Indii. Ponadto w ciągu pierwszych kilku miesięcy swojego działania atakujący zdołali ukraść dokumenty od co najmniej kilkudziesięciu ofiar. Grupa koncentruję się w szczególności na Chinach i działalności na arenie międzynarodowej tego państwa.

W ramach początkowego profilowania celów ugrupowanie Dropping Elephant przeprowadza masowe wysyłki na wiele adresów e-mail. Ukierunkowane wiadomości e-mail wysłane przez atakujących zawierają odniesienie do zdalnej treści – nie jest ona osadzona w samej wiadomości e-mail, ale pobierana z zewnętrznego źródła. Wiadomość e-mail nie posiada żadnej szkodliwej funkcji, z wyjątkiem powiadomienia, które jest wysyłane na serwer osób atakujących, jeśli cel ataku otworzy wiadomość. Spowoduje to automatyczne wysłanie wiadomości zawierającej podstawowe informacje na temat odbiorcy: adres IP, rodzaj przeglądarki, jak również typ wykorzystywanego urządzenia i jego lokalizacja.

Po zastosowaniu tej prostej metody w celu przefiltrowania najcenniejszych celów atakujący wysyłają kolejny, bardziej precyzyjny e-mail. Jest to dokument programu Word zawierający szkodliwy program wykorzystujący lukę CVE-2012-0158 lub prezentacja PowerPoint zawierająca kod wykorzystujący lukę CVE-2014-6352 w pakiecie Microsoft Office. Obie luki są od dawna publicznie znane, ale w dalszym ciągu są wykorzystywane przez cyberprzestępców.

Niektóre ofiary są atakowane przy użyciu ataku innego schematu: otrzymują odnośnik do strony internetowej będącej rzekomo portalem z wiadomościami politycznymi, poświęconymi sprawom zagranicznym Chin. Większość odsyłaczy na tej stronie internetowej prowadzi do dodatkowej zawartości w formie prezentacji PowerPoint zawierającej szkodliwą funkcję.

Chociaż wykorzystane w atakach luki w zabezpieczeniach zostały załatane przez firmę Microsoft, cyberprzestępcy nadal mogą wykorzystywać socjotechnikę do atakowania swoich celów, jeśli ich ofiary zignorują liczne ostrzeżenia dot. bezpieczeństwa i zgodzą się włączyć niebezpieczne funkcje dokumentu. Zawartość szkodliwego pliku PPS opiera się na starannie wybranych, rzeczywistych artykułach prasowych przedstawiających popularne tematy geopolityczne, przez co dokument budzi większe zaufanie i istnieje większe prawdopodobieństwo jego otwarcia. To może prowadzić do infekcji urządzeń wielu użytkowników.

Po skutecznym wykorzystaniu luki na maszynie ofiary instalowanych jest szereg różnych szkodliwych narzędzi. Następnie narzędzia te gromadzą i wysyłają cyberprzestępcom określone rodzaje danych: dokumenty (Word), arkusze (Excel), prezentacje (PowerPoint), pliki PDF, dane uwierzytelniające logowanie zapisane w przeglądarce itd.

Rozwiązania firmy Kaspersky Lab wykrywają i neutralizują szkodliwe oprogramowanie Dropping Elephant jako:

Exploit.Win32.CVE-2012-0158,

Exploit.MSWord.CVE-2014-1761,

Trojan-Downloader.Win32.Genome,

HEUR:Trojan.Win32.Generic,

Trojan.Win32.Agent.ijfx,

Trojan-Ransom.Win32.PolyRansom.bel,

Trojan.Win32.Autoit.fdp.

Źródło: Kaspersky Lab

Czytaj też: Nowe narzędzia do walki z propagandą terrorystów w sieci