「2018難過嗎?不好意思,2019你還得照樣過!」上班第一天,小趙的這句問候語算是真真切切地紮了心。這種感覺,就像是你花了三天時間灌的雞湯付之東流,2018年那些糟心回憶似乎又回來了。

在網絡安全領域2018年的糟心事兒的確也不少,這其中最屬APT攻擊讓人印象深刻。而最新發現的APT組織以及與之匹配的隱蔽攻擊手段似乎也在向各家網絡安全公司宣誓——我們2019再見!

APT高持續性威脅這個專業名詞源於2010年Google退華一事中的「極光攻擊」這起安全事件,各國安全專家對這類攻擊持續熱議後總結而得。在此之後APT攻擊與防護戰拉開帷幕,這一斗就是10年。顯然,這是場打不完的硬仗。

俗話說知己知彼才能百戰不殆,面對充滿挑戰的2019年,我們似乎應該先從前一年的APT攻防戰中汲取經驗。對此,宅客頻道在騰訊安全近日發佈的《騰訊安全2018年高級持續性威脅(APT)研究報告》中扒了扒,並對2018年APT攻擊的詳細情況做了整理。

5家新APT組織被披露,2019是「後起之秀」的天下?

▲相關攻擊報告最多的幾個APT組織(只選取報告中有明確組織信息的)


APT攻擊集中在東亞、東南亞

隨着中國國際地位的不斷崛起,各種與中國有關的政治、經濟、軍事、科技情報蒐集對專業黑客組織有極大的吸引力,使中國成爲全球APT攻擊的主要受害國之一,針對中國境內的攻擊活動異常頻繁。針對被攻擊地區分佈,相關的安全報告的統計如下(之選取報告中有明確的攻擊組織和對象):

5家新APT組織被披露,2019是「後起之秀」的天下? 

由此可以看出,無論是攻擊組織和攻擊報告數量,東亞和東南亞都遙遙領先於世界其他地區,是專業APT組織特別關注的敏感地域。而由於中東局勢的混亂,針對中東地區的APT攻擊和組織也相對較多。歐洲和北美則保持精英化的狀態,雖然攻擊組織不多,但是都是實力雄厚的攻擊組織。

隨着中國在全球化進程中影響力的不斷增長,中國政府、企業及民間機構與世界各國聯繫的不斷增強,中國已成爲跨國APT組織的重點攻擊目標。中國也是世界上受APT攻擊最嚴重的國家的之一。

至2018年12月底,針對中國境內目標發動攻擊的境內外APT組織至少有7個,且均處於高度活躍狀態。下表列出部分攻擊組織的相關活動情況:

5家新APT組織被披露,2019是「後起之秀」的天下? 

據統計,2018年,中國大陸受APT攻擊最多的地區是遼寧、北京和廣東,其次是湖南、四川、雲南、江蘇、上海、浙江、福建等地(不含港澳臺地區))。

5家新APT組織被披露,2019是「後起之秀」的天下? 

而從行業上的分佈,政府部門依然是APT組織最爲關注的目標,其次能源、通信、航空、軍工、核等基礎設施也是重要的攻擊目標。

5家新APT組織被披露,2019是「後起之秀」的天下? 

近些年來,金融、貿易、科研機構、媒體等行業也逐漸的被一些APT組織列爲了攻擊目標。


5起重點攻擊矛頭直指中國

從上面可以看出,針對中國發起的APT攻擊最多,其採用的手段更是花樣繁多。在這裏,我們整理了5起針對中國發起的重大APT攻擊事件,並對其進行了簡單分析。

1)海蓮花(OceanLotus、APT32)

海蓮花APT組織是一個長期針對中國及其他東亞、東南亞國家(地區)政府、科研機構、海運企業等領域進行攻擊的APT組織。該組織也是針對中國境內的最活躍的APT組織之一。2018年該組織多次對中國境內的目標進行了攻擊。

海蓮花攻擊組織擅長使用魚叉攻擊和水坑攻擊,NSA的武器庫曝光後,同樣還使用了永恆系列漏洞進行了攻擊。除此,投遞的攻擊武器也是種類繁多,RAT包括Denis、CobaltStrike、PHOREAL、salgorea等。

·白加黑攻擊

白加黑攻擊是海蓮花組織常用的攻擊方式之一,該組織在今年的攻擊活動中多次使用了該方式。白加黑組合包括dot1xtray.exe+ rastls.dll、SoftManager.exe+dbghelp.dll等。

5家新APT組織被披露,2019是「後起之秀」的天下? ·腳本攻擊

使用bat生成加密的js:

5家新APT組織被披露,2019是「後起之秀」的天下? 

最終在內存中調用loader類,加載最終的由CobaltStrike生成的beacon.dll木馬:

5家新APT組織被披露,2019是「後起之秀」的天下?

2)DarkHotel(黑店)

DarkHotel(黑店)是一個被認爲來自韓國的APT組織(亦有研究團隊認爲與朝鮮有關),該組織是近幾年來最活躍的APT組織之一,主要攻擊目標爲電子行業、通信行業的企業高管及有關國家政要人物,其攻擊範圍遍佈中國、朝鮮、日本、緬甸、俄羅斯等多個國家。

該組織技術實力深厚,在多次攻擊行動中都使用了0day進行攻擊,比如今年新曝光的CVE-2018-8174、CVE-2018-8373等。表明該組織實力雄厚,爲達目標,不惜代價。在2018年,該組織也多次針對中國的目標進行了攻擊活動,如針對中朝貿易公司的高管、香港某貿易公司高管等。

該組織的一大特色是喜歡把木馬隱藏在開源的代碼中進行僞裝,如putty、openssl、zlib等,把少量木馬代碼隱藏在大量的開源代碼中,從而實現躲避檢測的目的,因此將被稱爲「寄生獸」。

注:2018年12月,大量機構(其中不乏國家要害機構)的內部系統因採用的某開源代碼設計了一個界面彩蛋而引發嚴重風波,也證實許多機構在使用開源代碼時,並未仔細進行代碼審計,從而有可能在引入的開源系統中,混入的有害代碼不被察覺。

針對幾次攻擊活動,披露詳情如下:

如使用msfte.dll和msTracer.dll,來進行持久性攻擊,並把下發的shellcode隱藏在圖片文件中:

5家新APT組織被披露,2019是「後起之秀」的天下?5家新APT組織被披露,2019是「後起之秀」的天下? DarkHotel(黑店)APT組織用於隱藏惡意代碼的圖片之一

5家新APT組織被披露,2019是「後起之秀」的天下? ▲DarkHotel(黑店)APT組織用於隱藏惡意代碼的圖片之二

同時通過下發插件的方式,完成相關的任務:

5家新APT組織被披露,2019是「後起之秀」的天下?

3)白象(摩訶草、Patchwork)

白象是一個來自於南亞地區的境外APT組織,組織主要針對中國、巴基斯坦等亞洲地區和國家的政府機構、科研教育領域進行攻擊。部分基礎設施和代碼和蔓靈花、孔子重合,這幾個組織間疑似有千絲萬縷的關係。

該組織在2018年同樣多次對中國的多個目標進行了攻擊活動。該組織同樣使用魚叉攻擊,誘餌文檔帶有強烈的政治意味:

5家新APT組織被披露,2019是「後起之秀」的天下? 白象APT組織使用的誘餌文檔之一

5家新APT組織被披露,2019是「後起之秀」的天下? ▲白象APT組織使用的誘餌文檔之二

最終釋放的特馬爲開源的Quasar RAT:

5家新APT組織被披露,2019是「後起之秀」的天下?

4)蔓靈花(BITTER)

蔓靈花APT組織是一個長期針對中國、巴基斯坦等國家進行攻擊活動的APT組織,該組織主要針對政府、軍工業、電力、核等單位進行攻擊,竊取敏感資料,具有強烈的政治背景。

2018年,該組織針對中國境內多個目標的攻擊活動。該組織主要使用魚叉釣魚進行攻擊,投遞僞裝成word圖標的自解壓文件:

5家新APT組織被披露,2019是「後起之秀」的天下? 5家新APT組織被披露,2019是「後起之秀」的天下? 

運行後,除了會執行惡意文件外,還會打開一個doc文檔,用於迷惑用戶,讓用戶以爲打開的文件就是一個doc文檔。誘餌文檔內容極盡誘惑力:

5家新APT組織被披露,2019是「後起之秀」的天下? 

最終會下發鍵盤記錄、上傳文件、遠控等插件,完成資料的竊取工作。

同時經過關聯分析,我們還發現該組織疑似和白象、孔子(confucius)等組織也有千絲萬縷的關係。該組織的圖譜如下:

5家新APT組織被披露,2019是「後起之秀」的天下? 

5)窮奇&藍寶菇

窮奇和藍寶菇疑似來自東亞某地區的攻擊組織,主要針對中國大陸的政府、軍事、核工業、科研等敏感機構進行攻擊活動。該兩個組織之間使用的攻擊武器庫有部分重疊,以至於很長一段時間我們都認爲是同一個組織。因此我們猜測,這兩個組織爲同一攻擊團隊的兩個小組。

藍寶菇在2018年多次對中國大陸的目標進行了攻擊,包括上海進博會期間的攻擊。

5家新APT組織被披露,2019是「後起之秀」的天下? ▲藍寶菇APT組織使用的誘餌文檔之一

5家新APT組織被披露,2019是「後起之秀」的天下? ▲藍寶菇APT組織使用的誘餌文檔之二

最終的攻擊武器包括bfnet遠控、竊取文件的powershell腳本等。

5家新APT組織被披露,2019是「後起之秀」的天下?


披露新APT組織,2019攻防戰難度升級

2018年,各大網絡安全廠商不斷披露各類APT攻擊。其中,一些從未見過的新APT組織也逐漸浮出水面被大衆所熟知。這些APT組織輪番對中國境內的政府、軍事、能源、科研、貿易、金融等機構進行了攻擊。毫無疑問,這些「後起之秀」將成爲各家網絡安全廠商在2019年的重點關注對象。

1)響尾蛇(SideWinder)

響尾蛇(SideWinder)APT攻擊組織是一個疑似來自印度的攻擊組織,主要針對巴基斯坦等南亞國家的軍事目標進行攻擊,該組織的攻擊活多最早可追溯到2012年。

某次攻擊活動的攻擊流程圖:

5家新APT組織被披露,2019是「後起之秀」的天下? 

5家新APT組織被披露,2019是「後起之秀」的天下? 

最終會收集相關計算機信息,發送給C&C服務器:

5家新APT組織被披露,2019是「後起之秀」的天下? 

2)White Company

該組織針對巴基斯坦的空軍進行了代號爲"沙欣行動"的APT攻擊活動,該行動和組織最早在2018年11月被cylance公司進行了披露。

該組織有極強的技術能力,還有完善的攻擊武器利用平臺,可以根據目標環境不同隨時研發客製化工具。

該組織所使用的惡意代碼能夠規避大多數主流殺毒軟件的檢測,包括Sophos、ESET、Kaspersky、BitDefender、Avira、Avast、AVG和Quickheal。另外,在這場間諜活動中被使用的惡意軟件實現了至少五種不同的打包技術,爲最終的有效載荷提供了極有效的保護。

5家新APT組織被披露,2019是「後起之秀」的天下?

3)WindShift

WindShift組織是一個針對中東地區的政府部門和關鍵基礎設施部門的特定工作人員進行攻擊的APT組織,該組織可利用自定義URL Scheme來遠程感染macOS目標。該組織最早在2018年8月的新加坡HITB GSEC會議上由Dark Matter LLC公司的安全研究員進行了披露。

該組織攻擊目標均位於所謂的海灣合作委員會(GCC)地區,即沙特阿拉伯,科威特,阿聯酋,卡塔爾,巴林和阿曼。這些目標被髮送包含黑客運行的網站的鏈接的郵件。一旦目標點擊鏈接,且受害者進行了交互,則會下載被稱爲 WindTale 和 WindTape 的惡意軟件並進行感染。

5家新APT組織被披露,2019是「後起之秀」的天下?

5家新APT組織被披露,2019是「後起之秀」的天下?5家新APT組織被披露,2019是「後起之秀」的天下?4)Gallmaker

Gallmaker組織是一個以政府、軍事、國防部門及東歐國家的海外使館爲攻擊目標的APT組織,該組織至少自2017年12月開始運營,最近一次的活動在2018年6月。該組織在在2018年10月由賽門鐵克進行了曝光。

該組織最大的特點是使用公開的工具進行攻擊,因此來隱藏自己的身份。

如某次攻擊活動:

5家新APT組織被披露,2019是「後起之秀」的天下?

攻擊成功後,他們就會使用下列公開的攻擊工具:

WindowsRoamingToolsTask:用於調度PowerShell腳本和任務
Metasploit的「reverse_tcp」:通過PowerShell來下載該反向shell
WinZip控制檯的合法版本:創建一個任務來執行命令並與C&C通信,它也可能用於存檔數據或者過濾新
Rex PowerShell庫:github上開源的庫,該庫幫助創建和操作PowerShell腳本,以便於Metasploit漏洞一起運行

5)Donot Team

Donot Team是針對巴基斯坦等南亞國家進行攻擊的APT組織,該組織最早在2018年3月由NetScout公司的ASERT團隊進行了披露。

該組織採用魚叉攻擊進行攻擊,並且該組織有成熟的惡意代碼框架EHDevel和yty,目前已經至少已經更新到了4.0版本:

5家新APT組織被披露,2019是「後起之秀」的天下?

6)Gorgon Group

Gorgon Group是一個被認爲來自巴基斯坦的攻擊組織。該組織在8月份由Palo Alto的Unit42團隊進行了披露。和其他組織不同的是,該組織最常見的攻擊是針對全球的外貿人士進行攻擊,該組織還發現針對英國、西班牙、俄羅斯、美國等政府目標發起了攻擊。

針對撒網式的外貿目標,主要的文件名包括:

SWIFT {日期}.doc
SWIFT COPY.doc
PURCHASE ORDER {隨機數}.doc
DHL_RECEIPT {隨機數}.doc
SHIPPING RECEIPT {日期}.doc
Payment Detail.doc 等

而所用的武器庫均爲一些商用的RAT,包括:

Azorult
NjRAT
RevengeRAT
LokiBot
RemcosRAT
NanoCoreRAT等

而針對政府的定向攻擊,主要使用一些政治意味強的文件名,如

Rigging in Pakistan Senate.doc
Raw Sect Vikram report on Pak Army Confidential.doc
Afghan Terrorist group report.doc等

5家新APT組織被披露,2019是「後起之秀」的天下? 

正所謂道高一尺魔高一丈,2018年針對中國的APT攻擊事件層出不窮,2019年國內網絡安全廠商即將面臨的更是新APT組織以及更爲隱蔽的APT攻擊手段。那麼,身爲普通人的我們要如何儘可能避免遭受到APT攻擊呢?

這裏有四條建議可以參考:

1、各大機關和企業,以及個人用戶,及時修補系統補丁和重要軟件的補丁;

2、提升安全意識,不要打開來歷不明的郵件的附件;除非文檔來源可靠,用途明確,否則不要輕易啓用Office的宏代碼。

3、使用殺毒軟件防禦可能得病毒木馬攻擊,對於企業用戶,使用內置全網漏洞修復和病毒防禦功能的終端安全管理系統;

4、使用高級威脅檢測系統及時發現相關APT攻擊,儘早採取措施。

文章來自《騰訊安全2018年高級持續性威脅(APT)研究報告》,雷鋒網宅客頻道編輯。雷鋒網(公衆號:雷鋒網)宅客頻道(微信公衆號:letshome),專注先鋒科技,講述黑客背後的故事,歡迎關注雷鋒網宅客頻道。

相关文章