國家級APT(Advanced Persistent Threat,高級持續(xù)性威脅)組織是有國家背景支持的頂尖黑客團(tuán)伙,專注于針對特定目標(biāo)進(jìn)行長期的持續(xù)性網(wǎng)絡(luò)攻擊。
2021 年上半年,網(wǎng)絡(luò)武器威力和攻擊規(guī)模持續(xù)增大,可能是近年來APT攻擊活動最黑暗的半年。全球 APT 組織為達(dá)到攻擊目的,不惜花費巨額資金和人力成本, 使用的在野0day 漏洞數(shù)量陡然劇增,出現(xiàn)的頻次之高為歷年罕見。
在新冠疫情、地緣政治等復(fù)雜背景下,針對我國的高級威脅持續(xù)不斷。2021 年上半年,毒云藤、蔓靈花、 海蓮花等國家級攻擊組織,持續(xù)針對我國境內(nèi)開展攻擊 活動。奇安信威脅情報中心近期盤點來針對我國的全球 APT 組織。
一、 南亞篇
1、摩訶草(APT-Q-36)
【組織概述】
摩訶草組織是 Norman 2013 年披露并命名的APT 組織。其最早攻擊活動可以追溯到 2009 年11 月, 該組織主要針對中國、巴基斯坦等亞洲地區(qū)和國家進(jìn)行網(wǎng)絡(luò)間諜活動。
在針對中國地區(qū)的攻擊中,主要針對政府機構(gòu)、科 研教育領(lǐng)域進(jìn)行攻擊。具有 Windows、Android、Mac OS 多系統(tǒng)攻擊的能力。
【攻擊事件】
2018 年春節(jié)前后,某政府單位收到一些帶有惡意 下載鏈接的釣魚郵件,郵件內(nèi)容與其工作相關(guān),一旦目 標(biāo)用戶下載并打開 office 文檔,則會觸發(fā)漏洞 CVE- 2017-8570 并執(zhí)行惡意腳本,最終下載遠(yuǎn)控木馬導(dǎo)致 主機被控。
此外,摩訶草組織在本次攻擊活動中注冊了大量與 我國敏感單位 / 機構(gòu)相關(guān)的相似域名,以對我國特定的領(lǐng) 域進(jìn)行定向攻擊。奇安信威脅情報中心通過對此次攻擊 活動中大量網(wǎng)絡(luò)資產(chǎn)分析發(fā)現(xiàn),其中一個 IP 地址曾在摩 訶草歷史的攻擊活動中被披露使用,因此將此次攻擊的幕后團(tuán)伙判定為摩訶草 APT 組織。
2、蔓靈花(APT-Q-37)
【組織概述】
蔓靈花(Bitter)最早由國外安全廠商 Forcepoint 于 2016 年命名。研究人員發(fā)現(xiàn)其 RAT 變種在進(jìn)行網(wǎng)絡(luò) 通信時往往包含有“BITTER”字符,故將行動命名為 BITTER。該組織至少自 2013 年 11 月開始活躍,長期 針對中國及巴基斯坦的政府、軍工、電力、核等部門發(fā)動網(wǎng)絡(luò)攻擊,竊取敏感資料。
【攻擊事件】
2018 年 1 月,某工業(yè)大廠員工收到一份釣魚郵件, 郵件聲稱來自該廠信息技術(shù)中心,提醒員工郵件賬戶登 錄異常,并要求員工通過“安全鏈接”驗證郵件賬戶。該“安全鏈接”為高度仿造的企業(yè)郵箱登錄頁面,目標(biāo) 用戶在此頁面輸入賬號密碼后將被攻擊者收集用于向帳 戶內(nèi)的其他用戶發(fā)送帶有病毒附件的郵件。附件被執(zhí)行 后將導(dǎo)致機器被種植后門木馬。
奇安信威脅情報中心通過對釣魚鏈接的域名跟 蹤分析,發(fā)現(xiàn)國內(nèi)疑似被攻擊的組織機構(gòu)還包括中國 XXXX 集團(tuán)有限公司、中國 XX 對外工程有限公司以及 XXXXXX 大學(xué)。
經(jīng)過關(guān)聯(lián)分析,奇安信威脅情報中心發(fā)現(xiàn)此次攻擊 活動中偽裝成 JPG 圖片的惡意樣本釋放的誘餌圖片與蔓 靈花組織在 2016 年的攻擊活動中所使用的誘餌圖片完全一致。此外,此次攻擊活動發(fā)現(xiàn)的后門程序中查找 avg 殺軟的相關(guān)代碼片段與蔓靈花組織使用的相關(guān)代碼片段 也存在高度相似性。因此將此次攻擊活動判定為蔓靈花 APT 組織所為。
3、魔羅桫(APT-Q-39)
【組織概述】
Confucius 組織是 Palo Alto Networks Unit 42 于2017 年 10 月發(fā)現(xiàn)的攻擊團(tuán)伙,該團(tuán)伙主要使用網(wǎng)絡(luò)釣 魚郵件針對巴基斯坦目標(biāo)實施攻擊。
2017 年末趨勢命名 Confucius 為APT組織,并分 析了其與 Patchwork 存在一些聯(lián)系。趨勢科技表示,至少從 2013 年就發(fā)現(xiàn)該組織活躍,使用 Yahoo! 和 quora 論壇作為 C&C 控制器,該組織可能來自于南亞。該組 織擁有對 Windows,Android 的攻擊惡意代碼,并常用 Delphi 作為其 Dropper 程序。
從奇安信威脅情報中心內(nèi)部的威脅情報數(shù)據(jù)分析來 看,這兩個組織可以通過相似的 Delphi Dropper 程序使 用的控制域名聯(lián)系到一起。但其與摩訶草的主要不同在 于攻擊目標(biāo)主要以巴基斯坦和印度為主,并通常偽裝成 俄羅斯的來源。
APT-Q-39屬于攻擊境內(nèi)目標(biāo)的境外組織,奇安信威脅情報中心對APT-Q-31組織的命名為魔株系——魔羅桫,“魔羅”出自該組織的地域教派神話,意為亂人事者。“桫”則象征該組織的地緣及文化特征。
【攻擊事件】
2020 年 9 月,奇安信威脅情報中心披露了來自南亞地區(qū)的定向攻擊:提菩行動。在此次活動中,攻擊者使用了多種攻擊手法例如:釣魚郵件 + 釣魚網(wǎng)站、釣魚郵件 + 惡意附件、木馬文件投放、安卓惡意軟件投放,其中還包括部分商業(yè)、開源木馬的使用以增加分析人員的 溯源難度。
通過對提菩行動的攻擊目標(biāo)側(cè)分析發(fā)現(xiàn),此次攻擊活動主要針對中國、巴基斯坦、尼泊爾等地的航空航天技術(shù)部門、船舶工業(yè)業(yè)、核工業(yè) ( 含核電 )、商務(wù)外貿(mào)、國防軍工、政府機關(guān) ( 含外交 )、科技公司。其主要目的為竊取特定國家的核心國防軍工技術(shù)。
奇安信威脅情報中心紅雨滴團(tuán)隊基于內(nèi)部大數(shù)據(jù)平臺,對此次攻擊活動中使用的惡意軟件分析后發(fā)現(xiàn), AsyncRat 回連的C2可關(guān)聯(lián)到多個魔羅桫組織曾用特馬,且部分樣本曾被用于針對巴基斯坦緝毒部的攻擊 中。
此外,研究人員還追蹤到此次攻擊活動中的SFX類型樣本與魔羅桫歷史針對巴基斯坦WIL兵工廠活動中的樣本同源。因此,奇安信對此次活動背后的組織判別為境外APT 組織魔羅桫。
二、 東南亞篇
4、海蓮花(APT-Q-31)
【組織概述】
海蓮花組織是奇安信于 2015 年披露并命名的APT 組織。該組織自 2012 年 4 月起,針對中國政府、 科研院所、海事機構(gòu)、海域建設(shè)、航運企業(yè)等相關(guān)重要領(lǐng)域展開了有組織、有計劃、有針對性的長時間不間斷攻擊。
APT-Q-31 屬于攻擊境內(nèi)目標(biāo)的境外組織,奇安信威脅情報中心對 APT-Q-31 組織的命名為魔株系——海蓮花,“蓮花”是表現(xiàn)了該組織的地緣及文化特征,“海”則主要表現(xiàn)了該組織以海洋領(lǐng)域為主要攻擊目標(biāo)的活動特征。
【攻擊事件】
2020 年 12 月,奇安信態(tài)勢感知與安全運營平臺
(NGSOC)在客戶側(cè)發(fā)現(xiàn)多臺終端電腦與特定端口進(jìn) 行數(shù)據(jù)交互,研究人員在對交互數(shù)據(jù)分析后發(fā)現(xiàn)綁定在 該端口通信的協(xié)議是一個沒有驗證加密的私有協(xié)議,對 該協(xié)議數(shù)據(jù)進(jìn)行逆向解密之后發(fā)現(xiàn)這是一些高危的指令, 如修改管理員密碼。
在經(jīng)過層層分析和定位之后,奇安信研究人員發(fā)現(xiàn)這是一起供應(yīng)鏈攻擊,攻擊者通過在安全終端管理軟件 中植入一段惡意代碼,使得 18 年 9 月份之后的安全終端管理軟件版本均有該代碼塊,且安裝文件帶有廠商數(shù)字簽名。內(nèi)網(wǎng)中任意 IP 的機器均可無需驗證向安裝了該終 端軟件的機器發(fā)送命令并執(zhí)行。
這種源代碼污染供應(yīng)鏈攻擊非常隱蔽,奇安信天擎在 2020 年12 月更新病毒庫之后掃描出了所有被植入木馬的終端設(shè)備,經(jīng)過供給鏈還原最終確認(rèn)此攻擊事件的 發(fā)起組織為海蓮花。
三、東亞篇
5、Darkhotel(APT-Q-10)
【組織概述】
Darkhotel組織是Kaspersky2014年披露的APT組織。該組織主要針對國防工業(yè)基地、軍事、能源、 政府、非政府組織、電子制造、制藥和醫(yī)療等部門的公司高管、研究人員和開發(fā)人員。其因擅長使用酒店網(wǎng)絡(luò)跟蹤和打擊目標(biāo)而得名。
【攻擊事件】
2019 年 7 月,攻擊者針對國內(nèi)多個重點單位網(wǎng)絡(luò)資產(chǎn)進(jìn)行信息收集,通過 Web漏洞入侵暴露在互聯(lián)網(wǎng)上的內(nèi)部系統(tǒng)后臺登錄頁面并植入 IE 0day 漏洞以構(gòu)造水坑攻擊,相關(guān)單位網(wǎng)站管理員訪問后臺頁面觸發(fā)漏洞并被植入木馬后門導(dǎo)致計算機被控、機密信息泄漏。
2020 年 2 月,奇安信威脅情報中心紅雨滴團(tuán)隊監(jiān)測到上述多個重點單位的內(nèi)部系統(tǒng)管理登錄頁面被植入惡 意代碼以執(zhí)行水坑攻擊。研究人員在深入分析被植入的 代碼后,確認(rèn)此次事件背后的攻擊團(tuán)伙為境外 APT 組織 Darkhotel。
通過奇安信威脅情報中心大數(shù)據(jù)關(guān)聯(lián)分析后發(fā)現(xiàn),攻擊者使用的微軟 IE 瀏覽器漏洞 CVE-2019-1367 利 用代碼在2019 年7 月19 日就被上傳至被攻擊的服務(wù)器, 而該漏洞微軟在 2019 年 9 月份才修補,因此在攻擊發(fā)生的當(dāng)時漏洞還處于0day 漏洞狀態(tài),研究人員推斷, Darkhotel最晚在2019 年7月就利用 0day 漏洞對我國 執(zhí)行了針對性的攻擊。
6、虎木槿(APT-Q-11)
【組織概述】
虎木槿是疑似來自東北亞的APT 組織,使用的惡意代碼有著很強的隱蔽性,且具備 0day漏洞發(fā)掘利用能力,曾通過瀏覽器漏洞攻擊國內(nèi)重點單位。2019 年,奇安信捕獲境外APT 組織虎木槿針對國內(nèi)核心教育科研政府機構(gòu)的攻擊活動并將活動命名為“幻 影”行動。
“幻影”行動意指虛幻而不真實的影像,取意于攻擊者在瀏覽器漏洞利用過程中通過播放不存在的Windows Media Video 影 音文件來啟動 MediaPlayer 插件,從而劫持執(zhí)行下載的惡意 DLL 以達(dá)到執(zhí)行木馬獲取控制的目的,體現(xiàn)了攻擊者變幻莫測的攻擊技巧和高超的技術(shù)能力。
APT-Q-11 屬于攻擊境內(nèi)目標(biāo)的境外組織,奇安信威脅情報中心對 APT-Q-11 組織的命名為魔株系——虎木槿。“虎” 與 “木槿” 均取自該組織地緣文化象征。
【攻擊事件】
2019 年,奇安信威脅情報中心紅雨滴團(tuán)隊結(jié)合天眼產(chǎn)品在客戶側(cè)的部署檢測,在全球范圍內(nèi)率先監(jiān)測到多 例組合使用多個瀏覽器高危漏洞的定向攻擊。此次活動 目標(biāo)包括多個國內(nèi)核心教育科研政府機構(gòu)和個人,被攻 擊目標(biāo)只需使用某瀏覽器低版本打開網(wǎng)頁就可能中招, 被黑客植入后門木馬甚至完全控制電腦。
7、毒云藤(APT-Q-20)
【組織概述】
毒云藤組織是奇安信于 2015 年 6 月首次披露的疑似有我國臺灣地緣背景的 APT 組織,其最早的活動可以追溯到2007 年。該組織主要針對國內(nèi)政府、軍事、國防、 科研等機構(gòu),使用魚叉郵件攻擊和水坑攻擊等手段來實施 APT 攻擊。
APT-Q-20 屬于攻擊境內(nèi)目標(biāo)的境外組織,奇安信威脅情報中心對APT-Q-20 組織的命名為魔 株系——毒云藤。“毒藤”意為該組織在多次攻擊行動中,都使用了Poison Ivy(毒藤)木馬,“云”字取于該組織在中轉(zhuǎn)信息時,曾使用云盤作為跳板傳輸資料。
【相關(guān)事件】
2020 年 10 月,奇安信披露了華語情報搜集活動: 血茜草行動。從 2018 年至 2020 年,毒云藤組織利用大 陸最常使用的社交軟件、郵箱系統(tǒng)、以及政府機構(gòu)網(wǎng)站、 軍工網(wǎng)站、高等院校網(wǎng)站等進(jìn)行了大規(guī)模的仿制,目的是盡可能多地獲取目標(biāo)的個人信息,為后續(xù)竊取我國情 報信息做準(zhǔn)備。
攻擊主要分為釣魚網(wǎng)站攻擊以及釣魚郵件攻擊。在釣魚郵件攻擊中,毒云藤主要偽裝成多種具有鮮明特色的角色如智庫類目標(biāo)、軍民融合產(chǎn)業(yè)園、軍事雜志、公務(wù)員類獵頭公司等。
經(jīng)過關(guān)聯(lián)分析,奇安信威脅情報中心發(fā)現(xiàn),此次攻擊活動中使用的惡意代碼同歷史攻擊活動一樣利用 WinRAR ACE 漏 洞 CVE-2018-20250 進(jìn) 行下發(fā), 且惡意代碼中所使用的API 函數(shù)以及使用 strrev 函數(shù)將字符串反序的特點也與歷史代碼幾乎一致,最后木馬回連的C2 解析出的IP反查可得部分血茜草釣魚網(wǎng)站域名。至此研究人員判定此次攻擊活動與毒云藤組織相關(guān)。
8、藍(lán)寶菇(APT-Q-21)
【組織概述】
藍(lán)寶菇(APT-C-12)是奇安信率先公開和披露的APT組織。該組織從 2011 年開始持續(xù)至今,對我國政府、軍工、科研、金融等重點 單位和部門進(jìn)行了持續(xù)的網(wǎng)絡(luò)間諜活動。藍(lán)寶菇 (APT-C-12)主要關(guān)注核工業(yè)和科研等相關(guān)信息。被攻擊目標(biāo)主要集中在我國大陸境內(nèi)。
該組織常使用魚叉郵件作為主要攻擊手段,通過向目標(biāo)對象發(fā)送攜帶 LNK 文件和惡意 PowerShell 腳本 誘導(dǎo)用戶點擊,竊取敏感文件,安裝持久化后門程序, 并使用如阿里云盤、新浪云等云服務(wù),把竊取的數(shù)據(jù)托 管在云服務(wù)上。由于該組織相關(guān)惡意代碼中出現(xiàn)特的字符串(Poison Ivy 密 碼 是: NuclearCrisis), 結(jié)合該組織的攻擊目標(biāo)特點,奇安信威脅情報中心將該組織攻擊行動命名為核危機行動(Operation NuclearCrisis)。
2018 年期間,該組織針對我國政府、軍工、科 研以及金融等重點單位和部門發(fā)起多次針對性攻擊,攻擊手法相較于之前也有所升級,并且魚叉郵件攜帶惡意文件也由原本的惡意 PE 文件首次更新為 PowerShell腳本后門,以及采用云空間、云附件的手法接收回傳的資料信息等都反映了藍(lán)寶菇APT組織在攻擊技術(shù)方面的更 新。
【近期攻擊事件】
2018 年 4 月以來,安全監(jiān)測與響應(yīng)中心和奇安信威脅情報中心在企業(yè)機構(gòu)的協(xié)同下發(fā)現(xiàn)了一批針對性的魚 叉攻擊,攻擊者通過誘導(dǎo)攻擊對象打開魚叉郵件云附件 中的 LNK 文件來執(zhí)行惡意 PowerShell 腳本收集上傳用 戶電腦中的敏感文件,并安裝持久化后門程序長期監(jiān)控 用戶計算機。該攻擊過程涉及一些新穎的 LNK 利用方式, 使用了 AWS S3 協(xié)議和云服務(wù)器通信來偷取用戶的敏感 資料。
繼披露了藍(lán)寶菇 (APT-C-12) 攻擊組織的相關(guān)背景以及更多針對性攻擊技術(shù)細(xì)節(jié)后,奇安信威脅情報中心近期又監(jiān)測到該組織實施的新的攻擊活動,在 APT-C-12 組織近期的攻擊活動中,其使用了偽裝成 “ 中國輕工業(yè)聯(lián)合會投資現(xiàn)況與合作意向簡介 ” 的誘導(dǎo)文件,結(jié)合該組織過去的攻擊手法,該誘餌文件會隨魚叉郵件進(jìn)行投遞。
四、北美篇
9、Longhorn
【組織概述】
Longhorn 又名 Lamberts,APT-C-39 等。最早由國外安全廠商賽門鐵克在 Vault 7 泄漏間諜工具后命名。Valut 7 是由維基解密從 2017 年 3 月起公布的一系 列文件,在這些文件中主要披露了美國中央情報局進(jìn)行 網(wǎng)絡(luò)監(jiān)控和網(wǎng)絡(luò)攻擊的活動與攻擊工具。
據(jù)分析,Longhorn 至少從2011 年開始活動,Longhorn 感染了來自至少16 個國家包括中東、歐洲、 亞洲和非洲等的 40 個目標(biāo),主要影響金融、電信、能源、 航空航天、信息科技、教育、和自然資源等部門。它使用了多種后門木馬結(jié)合 0day 漏洞進(jìn)行攻擊。
奇安信威脅情報中心紅雨滴團(tuán)隊對歷史曝光的 CIA 網(wǎng)絡(luò)武器及相關(guān)資料進(jìn)行研究,并發(fā)現(xiàn)了多種網(wǎng)絡(luò)武器文件,并且根據(jù)分析的結(jié)果與現(xiàn)有公開資料內(nèi)容進(jìn)行了關(guān)聯(lián)和判定。
紅雨滴團(tuán)隊還發(fā)現(xiàn)這些網(wǎng)絡(luò)武器曾用于攻擊中國的目標(biāo)人員和機構(gòu),其相關(guān)攻擊活 動主要發(fā)生在2012年到2017年(與 Vault 7 資料公開時間相吻合),并且在其相關(guān)資料被曝光后直至2018年末,依然維持著部分攻擊活動,目標(biāo)可能涉及國內(nèi)的航空行業(yè)。
【相關(guān)事件】
2019 年 9 月,奇安信威脅情報中心紅雨滴團(tuán)隊通過對曝光的 CIA 網(wǎng)絡(luò)武器進(jìn)行了國內(nèi)安全事件的關(guān)聯(lián)和判 定,發(fā)現(xiàn)這些網(wǎng)絡(luò)武器曾用于攻擊中國的人員和機構(gòu), 攻擊活動主要發(fā)生在 2012 年到 2017 年(與Vault7資料公開時間相吻合),并且在其相關(guān)資料被曝光后直至 2018 年末,依然維持著部分攻擊活動,其目標(biāo)涉及國內(nèi)的航空行業(yè)。
2020年3月,國內(nèi)某安全廠商發(fā)布的報告表示,中國航空航天、科研機構(gòu)、石油行業(yè)、大型互聯(lián)網(wǎng)公司以及政府機構(gòu)等多個單位均遭到 Longhorn 不同程度的攻擊。
攻擊活動最早可以追溯到 2008 年 9 月,并一直持續(xù)到 2019 年 6 月。受害者主要集中在北京、廣東、浙江等省市。該組織在針對中國航空航天與科研機構(gòu)的攻擊中,主要圍繞系統(tǒng)開發(fā)人員來進(jìn)行定向打擊。這些開發(fā)人員主要從事的是航空信息技術(shù)有關(guān)服務(wù),如航班控制系統(tǒng)服務(wù)、貨運信息服務(wù)、結(jié)算分銷服務(wù)、乘客信息服務(wù)等。攻擊不僅僅是針對中國國內(nèi)航空航天領(lǐng)域,同時還覆蓋百家海外及地區(qū)的商營航空公司。
10、Crypto AG
【公司概述】
2020 年 2 月 11日,《華盛頓郵報》聯(lián)合德國電視二臺 ZDF 曝光,CIA 一直利用頂級通信加密公司 Crypto AG 設(shè)備破解上百個國家政府?dāng)?shù)十年來的絕密信息。
【相關(guān)事件】
從上世紀(jì)60 年代開始,Crypto AG 的加密算法就被 NSA 操控,可以秘密的在加密設(shè)備中植入漏洞從而截取機密情報。
美國通過這種方式截取了大量秘密通信,包括其他 國家政府大量軍事行動、人質(zhì)危機、暗殺和爆炸事件的 通信。例如,在 1978 年美國前總統(tǒng)卡特與埃及前總統(tǒng) 薩達(dá)特舉行埃及 - 以色列和平協(xié)議會談時,美國能夠監(jiān) 聽薩達(dá)特與開羅的所有通信;1979 年伊朗人質(zhì)危機期間, CIA 和 NSA 也借此監(jiān)聽伊朗革命政府;在兩伊戰(zhàn)爭的十 年時間里,美國甚至截獲了19000 條加密機發(fā)送的伊朗情報。根據(jù) CIA 的記錄,在馬島戰(zhàn)爭期間,美國還利用阿根廷對于Crypto加密設(shè)備的依賴,將截獲的阿根廷軍事計劃泄露給了英國。
目前有120 多個國家 / 地區(qū)購入過Crypto加密設(shè)備設(shè)備,客戶包括伊朗、印度、巴基斯坦、拉丁美洲各國政府,甚至梵蒂岡。
11、Equation(方程式)
【組織概述】
2015 年,卡巴斯基揭露史上最強網(wǎng)絡(luò)犯罪組織——Equation Group,該組織被視為隸屬于美國情報部門 NSA 旗下,已活躍近 26 年,在攻擊復(fù)雜性 和攻擊技巧方面超越歷史上所有的網(wǎng)絡(luò)攻擊組織。根據(jù)卡巴斯基實驗室目前所掌握的證據(jù),Equation Group 被認(rèn)為是震網(wǎng)(Stuxnet)和火焰(Flame)病毒幕后的操縱者。
從 2001 年至今,Equation 已在伊朗、俄羅斯、敘利亞、阿富汗、阿拉伯聯(lián)合大公國、中國、英國、美 國等全球超過 30 個國家感染了 500 多個受害者。受害者包括政府和外交機構(gòu)、電信行業(yè)、航空行業(yè)、能源行業(yè)、核能研究機構(gòu)、石油和天然氣行業(yè)、軍工行業(yè)、 納米技術(shù)行業(yè)、伊斯蘭激進(jìn)分子和學(xué)者、大眾媒體、交 通行業(yè)、金融機構(gòu)以及加密技術(shù)開發(fā)企業(yè)等。
【相關(guān)事件】
2017 年 4 月 14 日,“影子經(jīng)紀(jì)人”曝光的數(shù)據(jù)中包含名為SWIFT 的文件夾,完整曝光了“方程式組織” 對 SWIFT 金融服務(wù)提供商及合作伙伴的兩起網(wǎng)絡(luò)攻擊行動:JEEPFLEA_MARKET 和JEEPFLEA_POWDER。
JEEPFLEA_MARKET 攻擊行動是針對中東地區(qū)最大 SWIFT服務(wù)提供商 EastNets,成功竊取了其在比利時、約旦、埃及和阿聯(lián) 酋的上千個雇員賬戶、主機信息、登錄憑證及管理員賬 號。
此次攻擊以金融基礎(chǔ)設(shè)施為目標(biāo),從全球多個區(qū)域的預(yù)設(shè)跳板機進(jìn)行攻擊。以0Day漏洞直接突破兩層網(wǎng)絡(luò)安全設(shè)備并植入持久化后門;通過獲取內(nèi)部網(wǎng)絡(luò)拓?fù)洹?登錄憑證來確定下一步攻擊目標(biāo);以“永恒”系列 0Day漏洞突破內(nèi)網(wǎng) Mgmt(管理服務(wù)器) 、SAA業(yè)務(wù)服務(wù) 器和應(yīng)用服務(wù)器,以多個內(nèi)核級(Rootkit)植入裝備向服務(wù)器系統(tǒng)植入后門;通過具有復(fù)雜指令體系和控制功能的平臺對其進(jìn)行遠(yuǎn)程控制,在SAA業(yè)務(wù)服務(wù)器上執(zhí)行SQL腳本來竊取多個目標(biāo)數(shù)據(jù)庫服務(wù)器中的關(guān)鍵數(shù)據(jù)信息。
JEEPFLEA_POWDER攻擊行動是主要針對EastNets 在拉美和加勒比地區(qū)的合作伙伴 BCG (Business Computer Group),但此次行動并未成功。
12、Sauron(索倫之眼)
【組織概述】
Sauron 被認(rèn)為是與美國情報機構(gòu)有關(guān)的組織,長期對中國、俄羅斯等國進(jìn)行APT攻擊,至少在 2011年10月起就一直保持活躍。以中俄兩國的政府、科研機構(gòu)、 機場等為主要攻擊目標(biāo)。
Sauron使用惡意代碼的難度和隱蔽性都與 APT 方程式相似,且與病毒火焰“Flame”有相似之處,被視為NSA 旗下黑客組織,與“方程式”實力相當(dāng)。
【相關(guān)事件】
2016 年 8 月中旬,賽門鐵克和卡巴斯基實驗室相繼發(fā)布報告稱,追蹤到名為 Sauron(Strider)的APT組織。賽門鐵克發(fā)現(xiàn),自 2011 年起,Sauron憑借 Backdoor.Remsec 惡意代碼,攻擊了中國、比利時、俄羅斯和瑞典的七個組織,包括位于俄羅斯的多個組織和個人、中國的一家航空公司、瑞典一個未公開的組織及比利時國內(nèi)的一個大使館。后門 Remsec 可以用來竊取Windows的用戶信息,由 Lua 語言編寫,模塊化程度很高,不容易被發(fā)現(xiàn)。
目前,已知該組織攻擊過的目標(biāo)包括中國、俄羅斯、比利時、伊朗、瑞典、盧旺達(dá)等 30 多個國家,主要以竊取敏感信息為主要目的。主要針對國防部門、大使館、金融機構(gòu)、政府部門、電信公司以及科技研究中心等。
攻擊所涉及的國內(nèi)組織包括科研教育、軍事和基礎(chǔ)設(shè) 施領(lǐng)域,重點行業(yè)包括水利、海洋等行業(yè)。除了政府機構(gòu)與企業(yè),他們還在公用網(wǎng)絡(luò)中各種開后門, 針對個人進(jìn)行鍵盤監(jiān)聽、竊取用戶憑證或密碼等個人 隱私信息。
結(jié)語
從2021年上半年發(fā)生的APT攻擊活動可以看出,全球APT組織為達(dá)成攻擊目的,不惜花費巨額資金和人力成本,比如,投入使用價值不菲的大量高價值0day漏洞等。
預(yù)計,APT組織在未來會繼續(xù)使用更耗費資源且更先進(jìn)的技術(shù)進(jìn)行攻擊,其中0day漏洞或是更為復(fù)雜的木馬都將會頻繁出現(xiàn)。
此外,APT攻擊組織持續(xù)改進(jìn)武器庫,整體的威脅活躍水平保持相當(dāng)高的頻度,如毒云藤、蔓靈花、 海蓮花等國家級攻擊組織,持續(xù)針對我國境內(nèi)開展攻擊活動。尤其是隨著地緣政治緊張加劇,未來可能會出現(xiàn)更多利用APT組織刺探和竊取情報的攻擊行動。對于APT組織威脅,絕不能放松警惕
關(guān)于作者
奇安信集團(tuán)紅雨滴團(tuán)隊(RedDrip Team,@RedDrip7),依托全球領(lǐng)先的安全大數(shù)據(jù)能力、多維度多來源的安全數(shù)據(jù)和專業(yè)分析師的豐富經(jīng)驗,自2015年持續(xù)發(fā)現(xiàn)多個包括海蓮花在內(nèi)的APT組織在中國境內(nèi)的長期活動,并發(fā)布國內(nèi)首個組織層面的APT事件揭露報告,開創(chuàng)了國內(nèi)APT攻擊類高級威脅體系化揭露的先河。截至目前,持續(xù)跟蹤分析的主要APT團(tuán)伙超過47個,獨立發(fā)現(xiàn)APT組織14個,持續(xù)發(fā)布APT組織的跟蹤報告超過90篇,定期輸出半年和全年全球APT活動綜合性分析報告。
