國家級APT(Advanced Persistent Threat,,高級持續(xù)性威脅)組織是有國家背景支持的頂尖黑客團伙,,專注于針對特定目標進行長期的持續(xù)性網(wǎng)絡(luò)攻擊,。
2021 年上半年,,網(wǎng)絡(luò)武器威力和攻擊規(guī)模持續(xù)增大,,可能是近年來APT攻擊活動最黑暗的半年。全球 APT 組織為達到攻擊目的,,不惜花費巨額資金和人力成本,, 使用的在野0day 漏洞數(shù)量陡然劇增,出現(xiàn)的頻次之高為歷年罕見,。
在新冠疫情,、地緣政治等復雜背景下,針對我國的高級威脅持續(xù)不斷,。2021 年上半年,,毒云藤、蔓靈花,、 海蓮花等國家級攻擊組織,,持續(xù)針對我國境內(nèi)開展攻擊 活動,。奇安信威脅情報中心近期盤點來針對我國的全球 APT 組織。
一,、 南亞篇
1,、摩訶草(APT-Q-36)
【組織概述】
摩訶草組織是 Norman 2013 年披露并命名的APT 組織。其最早攻擊活動可以追溯到 2009 年11 月,, 該組織主要針對中國,、巴基斯坦等亞洲地區(qū)和國家進行網(wǎng)絡(luò)間諜活動,。
在針對中國地區(qū)的攻擊中,,主要針對政府機構(gòu)、科 研教育領(lǐng)域進行攻擊,。具有 Windows,、Android、Mac OS 多系統(tǒng)攻擊的能力,。
【攻擊事件】
2018 年春節(jié)前后,,某政府單位收到一些帶有惡意 下載鏈接的釣魚郵件,郵件內(nèi)容與其工作相關(guān),,一旦目 標用戶下載并打開 office 文檔,,則會觸發(fā)漏洞 CVE- 2017-8570 并執(zhí)行惡意腳本,最終下載遠控木馬導致 主機被控,。
此外,,摩訶草組織在本次攻擊活動中注冊了大量與 我國敏感單位 / 機構(gòu)相關(guān)的相似域名,以對我國特定的領(lǐng) 域進行定向攻擊,。奇安信威脅情報中心通過對此次攻擊 活動中大量網(wǎng)絡(luò)資產(chǎn)分析發(fā)現(xiàn),,其中一個 IP 地址曾在摩 訶草歷史的攻擊活動中被披露使用,因此將此次攻擊的幕后團伙判定為摩訶草 APT 組織,。
2,、蔓靈花(APT-Q-37)
【組織概述】
蔓靈花(Bitter)最早由國外安全廠商 Forcepoint 于 2016 年命名。研究人員發(fā)現(xiàn)其 RAT 變種在進行網(wǎng)絡(luò) 通信時往往包含有“BITTER”字符,,故將行動命名為 BITTER,。該組織至少自 2013 年 11 月開始活躍,長期 針對中國及巴基斯坦的政府,、軍工,、電力、核等部門發(fā)動網(wǎng)絡(luò)攻擊,,竊取敏感資料,。
【攻擊事件】
2018 年 1 月,某工業(yè)大廠員工收到一份釣魚郵件,, 郵件聲稱來自該廠信息技術(shù)中心,,提醒員工郵件賬戶登 錄異常,,并要求員工通過“安全鏈接”驗證郵件賬戶。該“安全鏈接”為高度仿造的企業(yè)郵箱登錄頁面,,目標 用戶在此頁面輸入賬號密碼后將被攻擊者收集用于向帳 戶內(nèi)的其他用戶發(fā)送帶有病毒附件的郵件,。附件被執(zhí)行 后將導致機器被種植后門木馬。
奇安信威脅情報中心通過對釣魚鏈接的域名跟 蹤分析,,發(fā)現(xiàn)國內(nèi)疑似被攻擊的組織機構(gòu)還包括中國 XXXX 集團有限公司,、中國 XX 對外工程有限公司以及 XXXXXX 大學。
經(jīng)過關(guān)聯(lián)分析,,奇安信威脅情報中心發(fā)現(xiàn)此次攻擊 活動中偽裝成 JPG 圖片的惡意樣本釋放的誘餌圖片與蔓 靈花組織在 2016 年的攻擊活動中所使用的誘餌圖片完全一致,。此外,此次攻擊活動發(fā)現(xiàn)的后門程序中查找 avg 殺軟的相關(guān)代碼片段與蔓靈花組織使用的相關(guān)代碼片段 也存在高度相似性,。因此將此次攻擊活動判定為蔓靈花 APT 組織所為,。
3、魔羅桫(APT-Q-39)
【組織概述】
Confucius 組織是 Palo Alto Networks Unit 42 于2017 年 10 月發(fā)現(xiàn)的攻擊團伙,,該團伙主要使用網(wǎng)絡(luò)釣 魚郵件針對巴基斯坦目標實施攻擊,。
2017 年末趨勢命名 Confucius 為APT組織,并分 析了其與 Patchwork 存在一些聯(lián)系,。趨勢科技表示,,至少從 2013 年就發(fā)現(xiàn)該組織活躍,使用 Yahoo! 和 quora 論壇作為 C&C 控制器,,該組織可能來自于南亞,。該組 織擁有對 Windows,Android 的攻擊惡意代碼,,并常用 Delphi 作為其 Dropper 程序,。
從奇安信威脅情報中心內(nèi)部的威脅情報數(shù)據(jù)分析來 看,這兩個組織可以通過相似的 Delphi Dropper 程序使 用的控制域名聯(lián)系到一起,。但其與摩訶草的主要不同在 于攻擊目標主要以巴基斯坦和印度為主,,并通常偽裝成 俄羅斯的來源。
APT-Q-39屬于攻擊境內(nèi)目標的境外組織,,奇安信威脅情報中心對APT-Q-31組織的命名為魔株系——魔羅桫,,“魔羅”出自該組織的地域教派神話,意為亂人事者,?!拌眲t象征該組織的地緣及文化特征。
【攻擊事件】
2020 年 9 月,,奇安信威脅情報中心披露了來自南亞地區(qū)的定向攻擊:提菩行動,。在此次活動中,攻擊者使用了多種攻擊手法例如:釣魚郵件 + 釣魚網(wǎng)站,、釣魚郵件 + 惡意附件,、木馬文件投放,、安卓惡意軟件投放,其中還包括部分商業(yè),、開源木馬的使用以增加分析人員的 溯源難度,。
通過對提菩行動的攻擊目標側(cè)分析發(fā)現(xiàn),此次攻擊活動主要針對中國,、巴基斯坦,、尼泊爾等地的航空航天技術(shù)部門、船舶工業(yè)業(yè),、核工業(yè) ( 含核電 ),、商務(wù)外貿(mào)、國防軍工,、政府機關(guān) ( 含外交 ),、科技公司,。其主要目的為竊取特定國家的核心國防軍工技術(shù),。
奇安信威脅情報中心紅雨滴團隊基于內(nèi)部大數(shù)據(jù)平臺,對此次攻擊活動中使用的惡意軟件分析后發(fā)現(xiàn),, AsyncRat 回連的C2可關(guān)聯(lián)到多個魔羅桫組織曾用特馬,,且部分樣本曾被用于針對巴基斯坦緝毒部的攻擊 中。
此外,,研究人員還追蹤到此次攻擊活動中的SFX類型樣本與魔羅桫歷史針對巴基斯坦WIL兵工廠活動中的樣本同源,。因此,奇安信對此次活動背后的組織判別為境外APT 組織魔羅桫,。
二,、 東南亞篇
4、海蓮花(APT-Q-31)
【組織概述】
海蓮花組織是奇安信于 2015 年披露并命名的APT 組織,。該組織自 2012 年 4 月起,,針對中國政府、 科研院所,、海事機構(gòu),、海域建設(shè)、航運企業(yè)等相關(guān)重要領(lǐng)域展開了有組織,、有計劃,、有針對性的長時間不間斷攻擊。
APT-Q-31 屬于攻擊境內(nèi)目標的境外組織,,奇安信威脅情報中心對 APT-Q-31 組織的命名為魔株系——海蓮花,,“蓮花”是表現(xiàn)了該組織的地緣及文化特征,“?!眲t主要表現(xiàn)了該組織以海洋領(lǐng)域為主要攻擊目標的活動特征,。
【攻擊事件】
2020 年 12 月,,奇安信態(tài)勢感知與安全運營平臺
(NGSOC)在客戶側(cè)發(fā)現(xiàn)多臺終端電腦與特定端口進 行數(shù)據(jù)交互,,研究人員在對交互數(shù)據(jù)分析后發(fā)現(xiàn)綁定在 該端口通信的協(xié)議是一個沒有驗證加密的私有協(xié)議,,對 該協(xié)議數(shù)據(jù)進行逆向解密之后發(fā)現(xiàn)這是一些高危的指令, 如修改管理員密碼,。
在經(jīng)過層層分析和定位之后,,奇安信研究人員發(fā)現(xiàn)這是一起供應(yīng)鏈攻擊,攻擊者通過在安全終端管理軟件 中植入一段惡意代碼,,使得 18 年 9 月份之后的安全終端管理軟件版本均有該代碼塊,,且安裝文件帶有廠商數(shù)字簽名。內(nèi)網(wǎng)中任意 IP 的機器均可無需驗證向安裝了該終 端軟件的機器發(fā)送命令并執(zhí)行,。
這種源代碼污染供應(yīng)鏈攻擊非常隱蔽,,奇安信天擎在 2020 年12 月更新病毒庫之后掃描出了所有被植入木馬的終端設(shè)備,經(jīng)過供給鏈還原最終確認此攻擊事件的 發(fā)起組織為海蓮花,。
三,、東亞篇
5、Darkhotel(APT-Q-10)
【組織概述】
Darkhotel組織是Kaspersky2014年披露的APT組織,。該組織主要針對國防工業(yè)基地,、軍事、能源,、 政府,、非政府組織、電子制造,、制藥和醫(yī)療等部門的公司高管,、研究人員和開發(fā)人員。其因擅長使用酒店網(wǎng)絡(luò)跟蹤和打擊目標而得名,。
【攻擊事件】
2019 年 7 月,,攻擊者針對國內(nèi)多個重點單位網(wǎng)絡(luò)資產(chǎn)進行信息收集,通過 Web漏洞入侵暴露在互聯(lián)網(wǎng)上的內(nèi)部系統(tǒng)后臺登錄頁面并植入 IE 0day 漏洞以構(gòu)造水坑攻擊,,相關(guān)單位網(wǎng)站管理員訪問后臺頁面觸發(fā)漏洞并被植入木馬后門導致計算機被控,、機密信息泄漏。
2020 年 2 月,,奇安信威脅情報中心紅雨滴團隊監(jiān)測到上述多個重點單位的內(nèi)部系統(tǒng)管理登錄頁面被植入惡 意代碼以執(zhí)行水坑攻擊,。研究人員在深入分析被植入的 代碼后,確認此次事件背后的攻擊團伙為境外 APT 組織 Darkhotel,。
通過奇安信威脅情報中心大數(shù)據(jù)關(guān)聯(lián)分析后發(fā)現(xiàn),,攻擊者使用的微軟 IE 瀏覽器漏洞 CVE-2019-1367 利 用代碼在2019 年7 月19 日就被上傳至被攻擊的服務(wù)器, 而該漏洞微軟在 2019 年 9 月份才修補,,因此在攻擊發(fā)生的當時漏洞還處于0day 漏洞狀態(tài),,研究人員推斷,, Darkhotel最晚在2019 年7月就利用 0day 漏洞對我國 執(zhí)行了針對性的攻擊。
6,、虎木槿(APT-Q-11)
【組織概述】
虎木槿是疑似來自東北亞的APT 組織,,使用的惡意代碼有著很強的隱蔽性,且具備 0day漏洞發(fā)掘利用能力,,曾通過瀏覽器漏洞攻擊國內(nèi)重點單位,。2019 年,奇安信捕獲境外APT 組織虎木槿針對國內(nèi)核心教育科研政府機構(gòu)的攻擊活動并將活動命名為“幻 影”行動,。
“幻影”行動意指虛幻而不真實的影像,,取意于攻擊者在瀏覽器漏洞利用過程中通過播放不存在的Windows Media Video 影 音文件來啟動 MediaPlayer 插件,從而劫持執(zhí)行下載的惡意 DLL 以達到執(zhí)行木馬獲取控制的目的,,體現(xiàn)了攻擊者變幻莫測的攻擊技巧和高超的技術(shù)能力,。
APT-Q-11 屬于攻擊境內(nèi)目標的境外組織,奇安信威脅情報中心對 APT-Q-11 組織的命名為魔株系——虎木槿,?!盎ⅰ?與 “木槿” 均取自該組織地緣文化象征。
【攻擊事件】
2019 年,,奇安信威脅情報中心紅雨滴團隊結(jié)合天眼產(chǎn)品在客戶側(cè)的部署檢測,,在全球范圍內(nèi)率先監(jiān)測到多 例組合使用多個瀏覽器高危漏洞的定向攻擊,。此次活動 目標包括多個國內(nèi)核心教育科研政府機構(gòu)和個人,,被攻 擊目標只需使用某瀏覽器低版本打開網(wǎng)頁就可能中招, 被黑客植入后門木馬甚至完全控制電腦,。
7,、毒云藤(APT-Q-20)
【組織概述】
毒云藤組織是奇安信于 2015 年 6 月首次披露的疑似有我國臺灣地緣背景的 APT 組織,其最早的活動可以追溯到2007 年,。該組織主要針對國內(nèi)政府,、軍事、國防,、 科研等機構(gòu),,使用魚叉郵件攻擊和水坑攻擊等手段來實施 APT 攻擊。
APT-Q-20 屬于攻擊境內(nèi)目標的境外組織,,奇安信威脅情報中心對APT-Q-20 組織的命名為魔 株系——毒云藤,。“毒藤”意為該組織在多次攻擊行動中,,都使用了Poison Ivy(毒藤)木馬,,“云”字取于該組織在中轉(zhuǎn)信息時,曾使用云盤作為跳板傳輸資料,。
【相關(guān)事件】
2020 年 10 月,,奇安信披露了華語情報搜集活動: 血茜草行動,。從 2018 年至 2020 年,毒云藤組織利用大 陸最常使用的社交軟件,、郵箱系統(tǒng),、以及政府機構(gòu)網(wǎng)站、 軍工網(wǎng)站,、高等院校網(wǎng)站等進行了大規(guī)模的仿制,,目的是盡可能多地獲取目標的個人信息,為后續(xù)竊取我國情 報信息做準備,。
攻擊主要分為釣魚網(wǎng)站攻擊以及釣魚郵件攻擊,。在釣魚郵件攻擊中,毒云藤主要偽裝成多種具有鮮明特色的角色如智庫類目標,、軍民融合產(chǎn)業(yè)園,、軍事雜志、公務(wù)員類獵頭公司等,。
經(jīng)過關(guān)聯(lián)分析,,奇安信威脅情報中心發(fā)現(xiàn),此次攻擊活動中使用的惡意代碼同歷史攻擊活動一樣利用 WinRAR ACE 漏 洞 CVE-2018-20250 進 行下發(fā),, 且惡意代碼中所使用的API 函數(shù)以及使用 strrev 函數(shù)將字符串反序的特點也與歷史代碼幾乎一致,,最后木馬回連的C2 解析出的IP反查可得部分血茜草釣魚網(wǎng)站域名。至此研究人員判定此次攻擊活動與毒云藤組織相關(guān),。
8,、藍寶菇(APT-Q-21)
【組織概述】
藍寶菇(APT-C-12)是奇安信率先公開和披露的APT組織。該組織從 2011 年開始持續(xù)至今,,對我國政府,、軍工、科研,、金融等重點 單位和部門進行了持續(xù)的網(wǎng)絡(luò)間諜活動,。藍寶菇 (APT-C-12)主要關(guān)注核工業(yè)和科研等相關(guān)信息。被攻擊目標主要集中在我國大陸境內(nèi),。
該組織常使用魚叉郵件作為主要攻擊手段,,通過向目標對象發(fā)送攜帶 LNK 文件和惡意 PowerShell 腳本 誘導用戶點擊,竊取敏感文件,,安裝持久化后門程序,, 并使用如阿里云盤、新浪云等云服務(wù),,把竊取的數(shù)據(jù)托 管在云服務(wù)上,。由于該組織相關(guān)惡意代碼中出現(xiàn)特的字符串(Poison Ivy 密 碼 是: NuclearCrisis), 結(jié)合該組織的攻擊目標特點,奇安信威脅情報中心將該組織攻擊行動命名為核危機行動(Operation NuclearCrisis),。
2018 年期間,,該組織針對我國政府、軍工,、科 研以及金融等重點單位和部門發(fā)起多次針對性攻擊,,攻擊手法相較于之前也有所升級,并且魚叉郵件攜帶惡意文件也由原本的惡意 PE 文件首次更新為 PowerShell腳本后門,,以及采用云空間,、云附件的手法接收回傳的資料信息等都反映了藍寶菇APT組織在攻擊技術(shù)方面的更 新。
【近期攻擊事件】
2018 年 4 月以來,,安全監(jiān)測與響應(yīng)中心和奇安信威脅情報中心在企業(yè)機構(gòu)的協(xié)同下發(fā)現(xiàn)了一批針對性的魚 叉攻擊,,攻擊者通過誘導攻擊對象打開魚叉郵件云附件 中的 LNK 文件來執(zhí)行惡意 PowerShell 腳本收集上傳用 戶電腦中的敏感文件,并安裝持久化后門程序長期監(jiān)控 用戶計算機,。該攻擊過程涉及一些新穎的 LNK 利用方式,, 使用了 AWS S3 協(xié)議和云服務(wù)器通信來偷取用戶的敏感 資料。
繼披露了藍寶菇 (APT-C-12) 攻擊組織的相關(guān)背景以及更多針對性攻擊技術(shù)細節(jié)后,,奇安信威脅情報中心近期又監(jiān)測到該組織實施的新的攻擊活動,,在 APT-C-12 組織近期的攻擊活動中,其使用了偽裝成 “ 中國輕工業(yè)聯(lián)合會投資現(xiàn)況與合作意向簡介 ” 的誘導文件,,結(jié)合該組織過去的攻擊手法,,該誘餌文件會隨魚叉郵件進行投遞。
四,、北美篇
9,、Longhorn
【組織概述】
Longhorn 又名 Lamberts,APT-C-39 等,。最早由國外安全廠商賽門鐵克在 Vault 7 泄漏間諜工具后命名,。Valut 7 是由維基解密從 2017 年 3 月起公布的一系 列文件,在這些文件中主要披露了美國中央情報局進行 網(wǎng)絡(luò)監(jiān)控和網(wǎng)絡(luò)攻擊的活動與攻擊工具,。
據(jù)分析,Longhorn 至少從2011 年開始活動,,Longhorn 感染了來自至少16 個國家包括中東,、歐洲、 亞洲和非洲等的 40 個目標,,主要影響金融,、電信、能源,、 航空航天,、信息科技、教育,、和自然資源等部門,。它使用了多種后門木馬結(jié)合 0day 漏洞進行攻擊,。
奇安信威脅情報中心紅雨滴團隊對歷史曝光的 CIA 網(wǎng)絡(luò)武器及相關(guān)資料進行研究,并發(fā)現(xiàn)了多種網(wǎng)絡(luò)武器文件,,并且根據(jù)分析的結(jié)果與現(xiàn)有公開資料內(nèi)容進行了關(guān)聯(lián)和判定,。
紅雨滴團隊還發(fā)現(xiàn)這些網(wǎng)絡(luò)武器曾用于攻擊中國的目標人員和機構(gòu),其相關(guān)攻擊活 動主要發(fā)生在2012年到2017年(與 Vault 7 資料公開時間相吻合),,并且在其相關(guān)資料被曝光后直至2018年末,,依然維持著部分攻擊活動,目標可能涉及國內(nèi)的航空行業(yè),。
【相關(guān)事件】
2019 年 9 月,,奇安信威脅情報中心紅雨滴團隊通過對曝光的 CIA 網(wǎng)絡(luò)武器進行了國內(nèi)安全事件的關(guān)聯(lián)和判 定,發(fā)現(xiàn)這些網(wǎng)絡(luò)武器曾用于攻擊中國的人員和機構(gòu),, 攻擊活動主要發(fā)生在 2012 年到 2017 年(與Vault7資料公開時間相吻合),,并且在其相關(guān)資料被曝光后直至 2018 年末,依然維持著部分攻擊活動,,其目標涉及國內(nèi)的航空行業(yè),。
2020年3月,國內(nèi)某安全廠商發(fā)布的報告表示,,中國航空航天,、科研機構(gòu)、石油行業(yè),、大型互聯(lián)網(wǎng)公司以及政府機構(gòu)等多個單位均遭到 Longhorn 不同程度的攻擊,。
攻擊活動最早可以追溯到 2008 年 9 月,并一直持續(xù)到 2019 年 6 月,。受害者主要集中在北京,、廣東、浙江等省市,。該組織在針對中國航空航天與科研機構(gòu)的攻擊中,,主要圍繞系統(tǒng)開發(fā)人員來進行定向打擊。這些開發(fā)人員主要從事的是航空信息技術(shù)有關(guān)服務(wù),,如航班控制系統(tǒng)服務(wù),、貨運信息服務(wù)、結(jié)算分銷服務(wù),、乘客信息服務(wù)等,。攻擊不僅僅是針對中國國內(nèi)航空航天領(lǐng)域,同時還覆蓋百家海外及地區(qū)的商營航空公司,。
10,、Crypto AG
【公司概述】
2020 年 2 月 11日,《華盛頓郵報》聯(lián)合德國電視二臺 ZDF 曝光,CIA 一直利用頂級通信加密公司 Crypto AG 設(shè)備破解上百個國家政府數(shù)十年來的絕密信息,。
【相關(guān)事件】
從上世紀60 年代開始,,Crypto AG 的加密算法就被 NSA 操控,可以秘密的在加密設(shè)備中植入漏洞從而截取機密情報,。
美國通過這種方式截取了大量秘密通信,,包括其他 國家政府大量軍事行動、人質(zhì)危機,、暗殺和爆炸事件的 通信,。例如,在 1978 年美國前總統(tǒng)卡特與埃及前總統(tǒng) 薩達特舉行埃及 - 以色列和平協(xié)議會談時,,美國能夠監(jiān) 聽薩達特與開羅的所有通信,;1979 年伊朗人質(zhì)危機期間, CIA 和 NSA 也借此監(jiān)聽伊朗革命政府,;在兩伊戰(zhàn)爭的十 年時間里,,美國甚至截獲了19000 條加密機發(fā)送的伊朗情報。根據(jù) CIA 的記錄,,在馬島戰(zhàn)爭期間,,美國還利用阿根廷對于Crypto加密設(shè)備的依賴,將截獲的阿根廷軍事計劃泄露給了英國,。
目前有120 多個國家 / 地區(qū)購入過Crypto加密設(shè)備設(shè)備,,客戶包括伊朗、印度,、巴基斯坦,、拉丁美洲各國政府,甚至梵蒂岡,。
11,、Equation(方程式)
【組織概述】
2015 年,卡巴斯基揭露史上最強網(wǎng)絡(luò)犯罪組織——Equation Group,,該組織被視為隸屬于美國情報部門 NSA 旗下,,已活躍近 26 年,在攻擊復雜性 和攻擊技巧方面超越歷史上所有的網(wǎng)絡(luò)攻擊組織,。根據(jù)卡巴斯基實驗室目前所掌握的證據(jù),,Equation Group 被認為是震網(wǎng)(Stuxnet)和火焰(Flame)病毒幕后的操縱者。
從 2001 年至今,,Equation 已在伊朗、俄羅斯,、敘利亞,、阿富汗、阿拉伯聯(lián)合大公國、中國,、英國,、美 國等全球超過 30 個國家感染了 500 多個受害者。受害者包括政府和外交機構(gòu),、電信行業(yè),、航空行業(yè)、能源行業(yè),、核能研究機構(gòu),、石油和天然氣行業(yè)、軍工行業(yè),、 納米技術(shù)行業(yè),、伊斯蘭激進分子和學者、大眾媒體,、交 通行業(yè),、金融機構(gòu)以及加密技術(shù)開發(fā)企業(yè)等。
【相關(guān)事件】
2017 年 4 月 14 日,,“影子經(jīng)紀人”曝光的數(shù)據(jù)中包含名為SWIFT 的文件夾,,完整曝光了“方程式組織” 對 SWIFT 金融服務(wù)提供商及合作伙伴的兩起網(wǎng)絡(luò)攻擊行動:JEEPFLEA_MARKET 和JEEPFLEA_POWDER。
JEEPFLEA_MARKET 攻擊行動是針對中東地區(qū)最大 SWIFT服務(wù)提供商 EastNets,,成功竊取了其在比利時,、約旦、埃及和阿聯(lián) 酋的上千個雇員賬戶,、主機信息,、登錄憑證及管理員賬 號。
此次攻擊以金融基礎(chǔ)設(shè)施為目標,,從全球多個區(qū)域的預(yù)設(shè)跳板機進行攻擊,。以0Day漏洞直接突破兩層網(wǎng)絡(luò)安全設(shè)備并植入持久化后門;通過獲取內(nèi)部網(wǎng)絡(luò)拓撲,、 登錄憑證來確定下一步攻擊目標,;以“永恒”系列 0Day漏洞突破內(nèi)網(wǎng) Mgmt(管理服務(wù)器) 、SAA業(yè)務(wù)服務(wù) 器和應(yīng)用服務(wù)器,,以多個內(nèi)核級(Rootkit)植入裝備向服務(wù)器系統(tǒng)植入后門,;通過具有復雜指令體系和控制功能的平臺對其進行遠程控制,在SAA業(yè)務(wù)服務(wù)器上執(zhí)行SQL腳本來竊取多個目標數(shù)據(jù)庫服務(wù)器中的關(guān)鍵數(shù)據(jù)信息,。
JEEPFLEA_POWDER攻擊行動是主要針對EastNets 在拉美和加勒比地區(qū)的合作伙伴 BCG (Business Computer Group),,但此次行動并未成功。
12,、Sauron(索倫之眼)
【組織概述】
Sauron 被認為是與美國情報機構(gòu)有關(guān)的組織,,長期對中國,、俄羅斯等國進行APT攻擊,至少在 2011年10月起就一直保持活躍,。以中俄兩國的政府,、科研機構(gòu)、 機場等為主要攻擊目標,。
Sauron使用惡意代碼的難度和隱蔽性都與 APT 方程式相似,,且與病毒火焰“Flame”有相似之處,被視為NSA 旗下黑客組織,,與“方程式”實力相當,。
【相關(guān)事件】
2016 年 8 月中旬,賽門鐵克和卡巴斯基實驗室相繼發(fā)布報告稱,,追蹤到名為 Sauron(Strider)的APT組織,。賽門鐵克發(fā)現(xiàn),自 2011 年起,,Sauron憑借 Backdoor.Remsec 惡意代碼,,攻擊了中國、比利時,、俄羅斯和瑞典的七個組織,,包括位于俄羅斯的多個組織和個人、中國的一家航空公司,、瑞典一個未公開的組織及比利時國內(nèi)的一個大使館,。后門 Remsec 可以用來竊取Windows的用戶信息,由 Lua 語言編寫,,模塊化程度很高,,不容易被發(fā)現(xiàn)。
目前,,已知該組織攻擊過的目標包括中國,、俄羅斯、比利時,、伊朗,、瑞典、盧旺達等 30 多個國家,,主要以竊取敏感信息為主要目的,。主要針對國防部門、大使館,、金融機構(gòu),、政府部門、電信公司以及科技研究中心等,。
攻擊所涉及的國內(nèi)組織包括科研教育,、軍事和基礎(chǔ)設(shè) 施領(lǐng)域,,重點行業(yè)包括水利,、海洋等行業(yè),。除了政府機構(gòu)與企業(yè),他們還在公用網(wǎng)絡(luò)中各種開后門,, 針對個人進行鍵盤監(jiān)聽,、竊取用戶憑證或密碼等個人 隱私信息。
結(jié)語
從2021年上半年發(fā)生的APT攻擊活動可以看出,,全球APT組織為達成攻擊目的,,不惜花費巨額資金和人力成本,比如,,投入使用價值不菲的大量高價值0day漏洞等,。
預(yù)計,APT組織在未來會繼續(xù)使用更耗費資源且更先進的技術(shù)進行攻擊,,其中0day漏洞或是更為復雜的木馬都將會頻繁出現(xiàn),。
此外,APT攻擊組織持續(xù)改進武器庫,,整體的威脅活躍水平保持相當高的頻度,,如毒云藤、蔓靈花,、 海蓮花等國家級攻擊組織,,持續(xù)針對我國境內(nèi)開展攻擊活動。尤其是隨著地緣政治緊張加劇,,未來可能會出現(xiàn)更多利用APT組織刺探和竊取情報的攻擊行動,。對于APT組織威脅,絕不能放松警惕
關(guān)于作者
奇安信集團紅雨滴團隊(RedDrip Team,,@RedDrip7),,依托全球領(lǐng)先的安全大數(shù)據(jù)能力、多維度多來源的安全數(shù)據(jù)和專業(yè)分析師的豐富經(jīng)驗,,自2015年持續(xù)發(fā)現(xiàn)多個包括海蓮花在內(nèi)的APT組織在中國境內(nèi)的長期活動,,并發(fā)布國內(nèi)首個組織層面的APT事件揭露報告,開創(chuàng)了國內(nèi)APT攻擊類高級威脅體系化揭露的先河,。截至目前,,持續(xù)跟蹤分析的主要APT團伙超過47個,獨立發(fā)現(xiàn)APT組織14個,,持續(xù)發(fā)布APT組織的跟蹤報告超過90篇,,定期輸出半年和全年全球APT活動綜合性分析報告。
