2020全球高级持续性威胁APT研究报告.pdf_报告吧baogao8.com-

资源描述

全球高级持续性威胁 2020 APT 研究报告 RESEARCH REPORT 2020年攻击概览针对中国的APT攻击全球威胁态势 2020年攻击态势总结 2020年攻击技战术总结 2021年APT趋势预测全球高级持续性威胁 2020 研究报告 007/2020年攻击概览 010/ 针对中国的APT攻击 012 南亚 018 东亚 026 东南亚 029 其他 034/ 全球威胁态势 036 俄语系攻击组织 037 印欧语系攻击组织 040 朝鲜半岛 042 中东地区 044 其他 049/2020 年攻击态势总结 049 针对我国的攻击较去年持续上升 050 新冠肺炎疫情全球化对 APT的影响 053 物联网设备 -APT新的战备资源 055 供应商演变成全行业的安全短板 057 针对移动平台的 APT攻击持续活动 058 APT组织与安全机构对抗愈发激烈 059 关键行业分析 070/2020年攻击技战术总结 070 十大 ATT CK核心技战术 072 利用 0day漏洞攻击持续活跃 074 疫情影响下 VPN成为边界突破新入口 075 控制基础网络设施 076 安全软件已成为横向移动关键媒介 077 命令控制技术变化趋势 079/2021 年 APT 趋势预测 079 针对中国的国家级网络攻击， APT组织数量和攻击活跃程度可能会超过今年 080 围绕“新冠肺炎疫情”话题的攻击将持续活跃 080 涉及远程办公基础设施的攻击将越发频繁 081 以供应商为核心目标的供应链攻击将常态主流化 082 继续紧密围绕政治、经济等热点领域及事件，以网络间谍活动为主 083 未知 APT组织将越来愈多，归因需长期持续研判 085 意图为破坏、窃密的针对性勒索攻击将不断出现 087/附录 087 360安全大脑 087 研究机构 089 参考链接 005 基于 360安全大脑全网安全数据和第三方公开情报数据综合研判， 2020年高级持续性威胁整体态势如下：摘要 2020年中国仍是 APT攻击主要受害者，针对我国的攻击持续上升，其中政府、教育和国防军工相关单位是重点被攻击目标。我们今年共披露了 23个 APT组织涉及全球范围的攻击活动，针对中国地区发起攻击的组织 13个。全球范围内政府、国防军工依然是 APT攻击的首要目标。今年发生了全球史上最严重的供应链攻击，致使全球 31个国家数百家重要核心组织机构陷落。针对供应链的攻击，尤其是 IT供应商的攻击未来将常态主流化。疫情背景下医疗行业的威胁凸显。伴随着 5G和物联网技术的迅速发展，物联网设备已成为 APT 组织新的战备物资。涉及数字货币攻击频发，这类新兴领域面临严峻挑战。新冠疫情冲击下直接带来的是以聚焦远程办公突破口、围绕新冠疫情话题攻击、针对医疗行业窃取抗疫情报等使得 APT威胁愈演愈烈。另一方面疫情全球化从多维度冲击着国际关系构建和国际秩序走向，安全秩序中的对立格局凸显，各方全面战略竞争加剧，由此刺激下的 APT攻击威胁进一步加剧。利用 0day漏洞攻击持续活跃，但由于攻击成本高，供应链攻击的更高性价比， APT组织在选用 0day攻击时会更加谨慎保守。越来越多的 APT组织正在参与开发针对移动设备的武器工具。恶意通信流量与正常流量混合已成趋势，给现有流量安全检测带来巨大挑战。意图为破坏、窃密的针对性勒索攻击将不断出现；越来越多的未知 APT组织开始涌现， APT组织归属还需进行长期持续研判。另一方面更多的复杂攻击和全新组织将会陆续披露。 006 01 PART 全球高级持续性威胁 APT 研究报告 007 2020 年攻击概览 2020年初，在新冠疫情给全球格局带来新的冲击影响下，全球 APT攻击活动异常活跃。全年公开报告数量 687篇，其中涉及披露的组织 132个，首次披露的组织 25个。主要集中已知组织的新攻击活动，越来越多的未知 APT 组织开始涌现。另外我们也发现大量已知组织开始不断拓展战场，主要从攻击目标地域和涉及行业领域都有显著的变化，如海莲花组织更多采用攻击供应商策略，并更聚焦教育行业。“新冠肺炎疫情”已成为今年攻击利用最频繁的话题，在疫情影响下数字时代最大规模的一次远程办公迁徙，随之带来了一系列严重的安全问题，远程办公成为 APT攻击“众矢之的”。全球范围内 APT攻击活动涉及的领域主要围绕地缘政治涉及政府、国防军工、金融等，另外针对 IT供应商、医疗行业的攻击显著上升，尤其是供应商问题越来愈严重，也是继 APT组织使用 0day武器后现阶段最优选的攻击战术。今年 12月披露了针对 SolarWinds公司供应链攻击的“落鹰行动” 1 ，是全球史上最严重的供应链攻击，由此也暴露出供应商演变成全行业的安全短板。 2020年攻击概览 PART 01 007 0082020年攻击概览 PART 01 008 境外 APT组织针对我国的攻击持续上升，全年公开报告中涉及中国地区遭受攻击的报告数量最多，进一步依托 360安全大脑和基于公开数据综合研判，我们发现 2020年中国仍是 APT攻击主要受害者。依托强大的安全能力， 360在过去数年发现了 44个其他国家背景的 APT组织，监测到 3000多次对中国的国家级网络攻击。我们今年共披露了 23个 APT组织涉及全球范围的攻击活动，针对中国地区发起攻击的组织 13个，其中首次披露的组织 4个，如魔鼠、蓝色魔眼和旺刺等组织。针对中国地区攻击的 APT组织不仅数量最多，其攻击能力也是全球顶尖。蓝色魔眼（APT-C-41）10月 7月 12月旺刺（APT-C-47）魔鼠（APT-C-42）我们监测到该组织在今年 1月首次针对中国发起攻击，并捕获到了该组织最新 V4版本的攻击组件。此次攻击的针对性极强，是该组织罕见地针对我国相关重要机构发起的首起定向攻击行动。 7月我们披露了该组织针对我国政府、通信等行业的攻击活动，并针对核心基础设施的供应商进行了渗透。相关攻击最早开始于 2017年 12月，持续活跃至今。 12月我们披露了该组织利用 ClickOnce恶意程序的攻击行动。这是一起来自朝鲜半岛地区未知 APT组织的攻击行动，攻击行动可以追溯到 2018年。 0092020年攻击概览 PART 01 009 上半年，我们多次披露 Darkhotel组织利用浏览器 0day、 VPN 0day等漏洞针对我国重要机构发起定向攻击。这些攻击组织使用大量 0day、供应商战术、首次针对远程办公基础设施等最新技战术并不惜成本的首次应用在针对我国的战场上。今年在新冠肺炎疫情和单边主义保护主义等多重压力之下，中国货物贸易进出口同比逆势增长 1.9，成为全球唯一外贸正增长主要经济体。由于地缘政治因素、新冠肺炎疫情的持续影响等长期问题，以及从针对我国活跃组织数量不断的增加趋势推测，尤其在围绕“十四五规划”和 2035年远景目标等相关政策方向、新技术研究落地期间，这类多个 APT组织都会窥探的领域，相关攻击会更活跃。我们预测明年针对中国的国家级网络攻击，活跃组织的数量和攻击活跃程度可能会超过今年。 360政企安全定位是“新时代的网络安全运营商”，向国家和所有城市输送网络安全运营能力，为国家、城市、行业构建安全防护“铜墙铁壁”。 010 02 PART 全球高级持续性威胁 APT 研究报告 011 排名组织名称涉及行业 TOP1 海莲花（ APT-C- 00）政府、 IT、教育等 TOP2 Darkhotel（ APT-C- 06）政府、能源等 TOP3 蔓灵花（ APT-C- 08）教育、国防军工、科研等 TOP4 毒云藤（ APT-C- 01）政府、科研等 TOP5 响尾蛇（ APT-C-24）国防军工、政府、贸易等 TOP6 潜行者（ APT-C-30）通信、政府等 TO P7 魔鼠（ APT-C-42） IT、科研、通信等 TOP8 Lazarus（ APT-C-26）数字货币、政府等 TOP9 蓝色魔眼（ APT-C-41）军工、政府等 TOP10 CNC（ APT-C-48）国防军工、政府等 360高级威胁研究院持续监控发现，针对中国地区的 APT组织累计 44个，监测到 3000多次对中国的国家级网络攻击。 2020年共披露了 13个组织针对中国地区的攻击活动，其中首次披露组织 4个，如魔鼠、蓝色魔眼和旺刺等组织。今年境外 APT组织针对我国相关重要机构或个人的攻击活动异常频繁，较去年持续上升，其中南亚、东南亚和东亚的 APT组织最为活跃。相关攻击活动主要涉及我国政府、教育和国防军工相关单位，另外针对 IT供应商和医疗行业的攻击大幅上升。基于相关攻击频次、被单位数量、受影响设备数量、技战术迭代频次等多个指标，我们对今年针对中国地区发起攻击的 APT组织，相关攻击活跃度进行综合评估，其中老牌 APT组织海莲花、 Darkhotel和蔓灵花等组织长期持续活跃，而 CNC、旺刺等组织更多是阶段性攻击活跃， TOP10 组织列表具体如表所示。针对中国的APT攻击 PART 02 011 针对中国的 APT 攻击 012 01 南亚南亚地区主要活跃的组织是蔓灵花和响尾蛇， CNC组织主要在年初国内疫情爆发期间，针对重要单位发起集中攻击。 2020年 1月末，我们立即对相关重点客户进行预警加强防范，我们可以看到从 2月中旬开始相关攻击已经收敛缓解。但在短暂停歇后，从 3月中旬开始响尾蛇、蔓灵花陆续展开集中大规模攻击，其攻击频次和目标范围较去年大幅增加。值得注意的是相关攻击会主要围绕热点事件展开，如 6月响尾蛇针对某高校发起集中攻击； 7月开始蔓灵花组织发起新的一轮攻击“季风行动” 2 ； 11月相关攻击活动非常频繁，尤其针对我国贸易和军工领域。 2020年南亚 APT组织针对中国地区攻击趋势 CNC 蔓灵花响尾蛇 012 2月初，各高校、重点单位针对南亚 APT组织集中攻击预警通告 6月中旬，南亚活动加剧 11月初，第三届进博会举办 11月末， 2020年度中国南亚学会年会暨学术研讨会召开 20 20 年 1 月 20 20 年 7 月 20 20 年 4 月 20 20 年 10 月 20 20 年 2 月 20 20 年 8 月 20 20 年 5 月 20 20 年 11 月 20 20 年 3 月 20 20 年 9 月 20 20 年 6 月 20 20 年 12 月针对中国的APT攻击 PART 02 013针对中国的APT攻击 PART 02 013 1.蔓灵花（APT- C- 08）蔓灵花组织，又被称 “ Bitter”，” APT- C- 08”，是一个针对中国、巴基斯坦等国家的 APT 组织。最早披露于 2016年，主要针对军工、核能、政府等国家重点单位。蔓灵花组织在载荷投递的阶段手法较为多变，存在使用 chm文件、恶意宏文档、远程模板注入文档、 lnk文件和自解压程序等多种方式。但后续代码执行阶段则较为固定，通常为使用 msi部署 Downloader或直接释放 Downloader下载其他功能组件。蔓灵花主要攻击流程 chm文件恶意宏文档 lnk文件远程模板注入文档 CVE 2018-0798 msiexec.exe msi 安装启动自解压程序远程加载功能组件下载执行伪装用的正常文件释放并打开释放并打开通过 EQNEDT32.EXE启动远程加载创建计划任务 014 014 其中，在今年 9月份开始出现的 chm文档中，蔓灵花会通过 chm文件中内嵌的脚本创建计划任务周期性的从远程服务器加载 msi文件。通过该方式达成无文件的 Downloader。加大安全人员分析难度，提高其攻击流程结构的隐蔽性。此外相关技战术与 19年一致，通过克隆我国或巴基斯坦中敏感部门或机构的邮箱系统。通过投递邮件的方式，窃取用户邮箱账号和密码。对于今年发现的钓鱼邮箱网页，根据其模仿特点，可以分为四个批次。图 1 图 2 图 4 图 3 图 1仿冒某大学邮件系统图 2 github部署钓鱼网站 1 图 4 仿冒某大学邮件系统图 3 github部署钓鱼网站 2 针对中国的APT攻击 PART 02 015 此外，蔓灵花还在今年使用了多种技术成熟的公开远控，如 QuasarRAT， AsyncRAT， DarktrackRAT以及价格高达 $879.00/3个月的 WarZoneRAT。在攻击目标方面，相比往年，今年蔓灵花的攻击的频率在六月份以后大幅提高，主要针对贸易、军工和外交等方面。并且在 11月份举办进博会的时间点前后，发起集中攻击，其中某外贸机构受影响严重。同时，还通过“国家社科基金项目 .exe“以及”中国南亚语种学会 2020年会邀请函 .exe“等诱饵文档对我国研究南亚的社会科学学者进行攻击。针对中国的APT攻击 PART 02 015 图 5 图 6 图 5“国家社科基金项目”诱饵文档图 6“中国南亚语种学会 2020年会邀请函”诱饵文档 016 016 2.响尾蛇（APT- C-24）响尾蛇组织在今年使用的攻击框架相对固定，主要使用 lnk以及漏洞文档来进行攻击，通过 JS反射来加载程序，最终通过白样本利用驻留在受害者设备上。相关攻击活动主要针对我国军工、能源以及外交领域等。在今年 6月中旬，响尾蛇使用“疫情优秀教师推荐表”相关文档针对某大学发起多起定向攻击，并在其中初次使用了“ CVE-2017-0199”和“ CVE-2020-0674”的组合漏洞文档进行攻击。图“疫情优秀教师推荐表”诱饵文档响尾蛇投递的攻击样本种类繁多，但在使用的后门程序多为 rekeywiz.exe的白利用，通过 rekeywize.exe加载 Duser.dll，进一步解密同一文件夹下的” .tmp”文件并加载至内存运行，通过创建两个定时器从服务器接收指令并执行对应功能，从而达到窃取设备上敏感信息的目的。此外，我们还捕获到响尾蛇使用 C语言编写的 Downloader，通过从服务器或注册表下载 JavaScript脚本，反射加载 DLL。在其下发的 JavaScript脚本中，我们捕获到三个不同功能的组件。针对中国的APT攻击 PART 02 017 3C（APT-C-48） CNC组织是于 2019年新出现的组织，由于其使用的远程控制木马的 PDB包含了“ cnc_client“的字样，所以将该组织命名为 CNC。该组织主要攻击对象为我国军工和教育行业，并且在疫情爆发期间，通过伪造疫情相关的文档以及钓鱼网站对医疗行业发起攻击。仿冒卫健委相关诱饵文档针对中国的APT攻击 PART 02 017 通过文档加载恶意宏或 Shell.Explorer.1 OLE，从服务器下载专属远控程序到设备上。对设备进行远程控制。与其他南亚 APT组织不同的是，该组织使用的 CNC远控程序为 64位环境编译，且 CNC 组织擅长使用其他多种语言。有 pyinstaller打包的 py脚本，搜集目标设备上 Chrome、 360浏览器、 UC浏览器和 QQ浏览器的敏感信息，并上传到 Dropbox上。也有 go语言编写的远控程序，相关指令功能简单，具备了基本的持久化、键盘记录、窃取文件、屏幕截取等功能。 018 018 02 东亚 1.毒云藤（APT- C- 01）和蓝宝菇（APT-C-12） 2020年初，在新冠疫情给全球格局带来新的冲击影响下，境外 APT组织针对我国的攻击活动异常频繁。其中以毒云藤（ APT- C- 01）、蓝宝菇（ APT-C-12）为首的东亚地区 APT组织，相关攻击活动持续活跃。这两个组织均长期针对国内政府、军工、教育等领域的重要机构实施网络间谍攻击活动的东亚 APT团伙，毒云藤其最早的攻击活动可以追溯到 2007年，蓝宝菇可追溯到 2011年。 2020年初，在国内抗击疫情期间，毒云藤组织利用新型冠状肺炎进行了钓鱼攻击，主要用于窃取目标用户邮箱账号和密码。后续使用各类诱饵主题的鱼叉邮件，针对特定目标投递 lnk恶意附件安装后门程序等， 6月初该组织开始针对特定单一目标开始实施钓鱼攻击。相比较来看蓝宝菇组织的攻击并不频繁，但持续活跃而且今年 8月在针对国内某重点机构的两次攻击活动中，该组织进一步升级了技战术。毒云藤 11月有一次集中钓鱼攻击，这次目标依然主要围绕军工、高校相关企业单位。东亚 APT组织独有的战术特点是，相关攻击围绕军工行业周边相关单位进行迂回攻击，而较少直接针对具体军工单位发起正面攻击，但从 2020年开始这一作战策略也开始尝试升级，即基于原有的迂回战术之外，也开始尝试直接攻击具体军工单位。某博览会诱饵文档针对中国的APT攻击 PART 02 019 漏洞编号产品补丁时间 SRC-2020-281 国内某厂商 VPN 2020年 4月 7日 CVE-2020-0674 Internet Explorer 2020年 2月 11日 CVE-2019-17026 Firefox 2020年 1月 8日 2.Darkhotel（APT- C- 06） Darkhotel 组织是一个活跃十多年的 APT组织，于 2014年被卡巴斯基披露，攻击活动最早可追溯到 2010年。该组织因针对入住高档酒店的商贸高管和国家政要而得名，攻击目标范围涉及中国、朝鲜、日本、缅甸等，主要目的是窃取敏感数据信息。该组织擅长使用漏洞攻击，尤其在 0day漏洞储备方面非常丰富。利用多个0day漏洞年初，微软正式宣告 Windows 7系统停止更新。在这个关键的时间节点， APT- C- 06使用双星 0day浏览器漏洞对中国商贸相关的政府机构发起攻击 3 ，这两个 0day漏洞分别是 Internet Explorer浏览器漏洞（ CVE-2020-0674）， Firefox浏览器漏洞（ CVE-2019-17026）。此次攻击是利用 office漏洞文档、网页挂马和 WPAD本地提权的多种攻击方式进行的复杂组合攻击。这不是 APT-C- 06第一次使用浏览器 0day漏洞， 2018年 360就披露过该组织利用“双杀”漏洞进行攻击活动，这些都表明该组织在漏洞方面深厚的技术储备。今年 3月疫情期间， 360安全大脑追踪发现 DarkHotel组织通过利用国内某 VPN软件 0day漏洞，对我国驻外、政府等机构发起大规模攻击。期间 DarkHotel使用了一个从未被披露过的全新后门框架 Thinmon。 2020年公开报告中 Darkhotel组织使用的 0day漏洞均由 360政企安全率先发现并预警防范。针对中国的APT攻击 PART 02 019 2020年公开披露的 DarkHotel组织 0day漏洞利用情况 020 020 Thinmon和Ramsay家族 2019年 6月，我们通过 Darkhotel自定义的加密算法关联到新的攻击框架，该框架在插件部分于之前发现的 lucker后门程序存在重叠，由于该框架的核心组件主要以 thinmon.dll、 wlbsctrl.dll以及其它一些文件名命名，因此我们将此次行动命名为 thinmon，这次行动从 2017年底一直活跃至今，今年 3月（疫情期间） Darkhotel利用 VPN供应链对国内实施大规模攻击，造成多个企事业单位近受影响。根据我们的研究发现，攻击者一般会通过内网环境的服务器（如， OA服务器、 VPN服务器、安全软件服务端）下发并执行恶意脚本和含有 thinmon组件的压缩包，恶意脚本会释放压缩包里的攻击组件并劫持相关服务，实现长期驻留。 Thinmon框架主要用来加载其他插件模块。插件以加密的的形式存放在临时目录，只有在需要是才会被加载，插件功能包括屏幕截图、文件窃取、键盘记录、远程监控。 Retro Ramsay 核心后门组件核心后门组件核心后门组件 xor 64字节的表相同的文件名和导出函数名 AccessDebugTracer AccessRetallTracer 演变插件插件 Lucker 截屏键盘记录 Thinmon thinmon.dll U盘窃取 msfte.dll msfte.dll Thinmon和 Ramsay家族针对中国的APT攻击 PART 02 021 3.Lazarus（APT- C-26） APT-C-26(Lazarus 音译拉撒路 )是从 2009年以来至今一直处于活跃的 APT组织，据国外安全公司调查显示，该组织最早的攻击可能和 2007年针对韩国政府网站大规模 DDOS攻击的 “ Operation Flame”行动相关，同时可能是 2014 年索尼影业遭黑客攻击事件， 2016年孟加拉国银行数据泄露事件和 2017年席卷全球的“ Wannacry”勒索病毒等著名攻击事件的幕后组织。自 2017年以来， Lazarus 组织将攻击目标不断扩大，日趋以经济利益为目的，从针对全球的传统金融机构银行系统进行攻击，开始转向于针对全球数字货币组织和相关机构以及个人进行攻击，尤其在近几年针对国内的攻击活动频繁活跃，多家数字货币交易平台已遭受攻击。 MATA框架是近期被卡巴斯基披露的一个多平台恶意软件框架，支持 Windows、 Linux和 MacOS等多个主流平台，并拥有多个不同功能的攻击组件。该恶意框架的受害者广泛分布在波兰，德国，土耳其，韩国，日本和印度等地区，可能与 Lazarus 组织存在关联。另外，今年五月份， ESET发布的研究报告 Ramsay: A cyber espionage toolkit tailored for air gapped networks 4 ，报告称他们发现了一个新型的网络间谍框架，并将其命名为 Ramsay。该框架专为收集和泄露敏感文档而构建，并且可以感染包括移动介质内的其他正常文件，因此突破隔离网络是另一个主要特征。此外，报告里还提到 Ramsay与 Retro存在诸多关联，例如相同的 Token、算法、文件名和技术等等。由于 Thinmon和 Ramsay都由 Retro关联而来，因此我们认为他们可能为同一家族，可能因为应用场景和针对的目标不同，产生了不同的变种。但是他们又有很多 Ramsay框架可以自身完成收集文件、与 C2服务器通信等功能，并且还能感染其他文件，而 Thinmon只能收集计算机基本信息、解密加载其他插件，没有通信、收集文件的功能，更不能感染其他文件。针对中国的APT攻击 PART 02 021 022 图 1 定制化调查文档 022 今年 9月，我们披露了暴风行动 - Lazarus(APT- C-26)利用 MATA框架针对数字货币行业的攻击活动揭秘 5 。在 MATA框架被披露后， 360高级威胁研究院依靠 360安全大脑针对 MATA框架的攻击活动进行了追踪溯源，进而发现一类利用 MATA框架针对加密货币行业相关人员的攻击活动。众所周知， Lazarus组织近年来常以金融、数字货币等行业人员为攻击目标展开 APT行动。从攻击目标的行业属性看，这次攻击活动所涉及的目标行业，也同样是 Lazarus组织所感兴趣的。从攻击技术手法看， Lazarus组织近年针对数字货币行业的攻击，擅长改造相关行业所常使用的开源软件植入后门程序进行社会工程学攻击，而此次的活动也使用了类似的手法。这些现象都间接显示 MATA框架可能和 Lazarus 组织存在关联。图 2 伪装成 alticgo交易软件网站图 2 图 1 针对中国的APT攻击 PART 02 023 步骤1 ：利用鱼叉邮件或 IM社交工具定向攻击数字货币从业人员；步骤2 ：进一步会投递伪装的交易软件或诱饵文档，伪装的交易软件有： alticgo、 Celas Trade Pro、 Worldbit-bot、 Union Crypto Trade、 QtBitcoinTrader；步骤3 ：进一步捆绑的软件或诱饵文档最终会释放相关后门木马（ 12个家族），其中有代表性的主要是 manuscrypt、 HTTPBackdoor和 MATA；步骤4 ：从 Lazarus历史其他攻击活动技战术分析等，攻击者在获得单一目标权限后，并不能马上获得相关目标数据或密钥，还需进一步渗透拓展才能完全和持续掌控。但由于我们暂未发现具体的横向移动攻击行为，所以初步判定疑似相关攻击并且存在的可能性很高；步骤5 ： Lazarus主要目标是窃取相应交易所热钱包私钥，由此达到窃取相应数字货币的目标，但从相关后门功能分析，完全具备窃取如浏览器敏感信息或文档数据等功能。以及 Lazarus历史其他攻击活动分析，其攻击意图除经济犯罪以外，还会涉及很多政治目的。通过对受影响用户初步分析，其中大部是数字货币交易所人员，也有少量进行数字货币交易的普通用户。其中交易所主要涉及： OKEX、多比（ Dobitrade）、中币 (ZB)、富比特 (FUBT)、 D网数字（ DAEX）等交易所。进一步基于鱼叉邮件、捆绑后门软件等分析，相关人员角色既有交易所管理层，也有具体开发运维等人员。 Lazarus组织窃取数字货币主要攻击流程针对中国的APT攻击 PART 02 023 024 4.旺刺（APT-C-47） 360高级威胁研究院今年 12月披露了“旺刺” 6 组织，该组织利用钓鱼邮件投递 ClickOnce恶意程序的攻击行动。经过深入研判分析，发现这是一起来自朝鲜半岛地区未被披露 APT组织的攻击行动，受害者涉及与半岛地区有关联的实体机构和个人，该组织的攻击行动可以追溯到 2018年。由于此次攻击活动属于 360全球首次捕获披露，我们根据该组织擅长攻击技术的谐音，将其命名为“旺刺”组织，并为其分配了新编号 APT- C-47。 ClickOnce是近年来微软发布的一种软件部署技术，它可以创建基于 Windows的自更新应用程序，让这些应用程序可以在用户交互最少的情况下安装和运行。 2019年的美国 Blackhat大会上，美国国土安全部所属 CISA局的攻防专家曾公布了利用最新的 ClickOnce扩展文件（ .appref- ms）进行恶意攻击的技术原理 7 。该攻击方式区别于常规的恶意软件植入，由于微软设计的安装交互方式，使其非常容易被用于诱导安装恶意软件。攻击流程分析该组织通过向受害者投递包含伪装的安全插件升级钓鱼邮件实施攻击，当受害者点击伪装的升级钓鱼链接后会通过 ClickOnce安装方式植入后门程序。完整的攻击流程如下图所示： “点杀行动”主要攻击流程 024 *.appref-ms 恶意邮件下载执行点击邮件中的链接 clickonce.exe 随 clickOnce.exe下载的资源 banner_M.jpg 解密加载木马安装下载执行用户针对中国的APT攻击 PART 02 025 恶意的 ClickOnce程序安装完毕后，会欺骗用户安全模块更新完成。攻击者分别针对网易、新浪和 outlook三类邮箱系统定制了伪装的安全模块部署网页。钓鱼域名和 appref-ms文件对应，我们捕获发现最终下载的诱饵附件文件，是加密的 word文档，名字和内容并不具有吸引力，所以攻击者钓鱼攻击的重点还是放在了伪装安全模块的诱导安装部分。钓鱼邮件分析该组织伪装成某邮箱的安全团队向受害者发送邮件，诱导受害者升级邮箱安全插件。受害者进入伪装的插件网页点击安装链接，会下载 ClickOnce程序的部署文件（ *.appref-ms）， appref- ms文件设置包含了恶意的 ClickOnce程序地址。邮箱钓鱼页面针对中国的APT攻击 PART 02 025 026 026 03 东南亚 1.海莲花（APT- C- 0 0）海莲花（ OceanLotus）组织，是一个有政府背景的境外黑客组织，攻击目标主要是东亚国家的企业和政府部门，从 2011年中国就遭受到了海莲花组织的网络攻击，自 2015年 360曝光海莲花以来，该组织仍未停止过对我国的攻击。 2020年海莲花是针对我国攻击中最活跃的组织，主要涉及到我国政府、 IT和教育行业。今年该组织攻击技战术有明显提升，尤其基于供应链攻击成为今年主要的攻击手法之一，从 3月开始针对我国多个大型 IT供应商发起定向攻击，相关供应商的客户主要涉及国内教育、通信和政府行业等。图片探针今年 2月海莲花在针对我国医疗机构的攻击活动中，初始攻击针对相关目标的大量邮箱发送了含有图片探针的探测邮件，用以探测攻击目标邮箱是否真实存在。用户打开邮箱后在显示一张 1X1像素不可见的图片后，会发送 HTTP请求至海莲花的服务器，攻击者在服务端根据请求参数里的邮件地址，判断邮件是否被打开，以确定邮箱是否处于活跃使用状态。图 1 图 2 图 1 钓鱼探测邮件图 2 图片探针在探测确定邮箱活跃后，海莲花再通过白文件压缩包形式投递诱饵文档攻击用户，用户再打开压缩包点击白文件 exe后，会加载同目录下的恶意文件。该攻击手法是海莲花组织惯用的白利用手法，白文件是某国产办公软件的主程序 wps.exe，白文件 wps.exe启动后会加载同目录下的 krpt.dll文件执行。针对中国的APT攻击 PART 02 027针对中国的APT攻击 PART 02 027 横向移动海莲花在攻入企业内部后会进行较复杂的横向移动攻击，根据 360安全大脑观测到的数据我们将海莲花的 2020年核心的横向移动攻击技战术进行了梳理，主要攻击如下：远程建立服务：海莲花通过攻陷机器与被攻击机器 windows管理共享建立连接 ,拷贝文件到受害者机器 , 通过 RPC调用远程建立服务来执行 CMD命令；远程调用WMI服务：海莲花通过攻陷机器调用被攻击机器的 WMI服务，通过 WMI服务间接执行命令；控制内网安全软件服务端下发指令：海莲花在多次攻击活动中，疑似控制了内网安全软件的管理后台，通过对内网安装有安全软件的终端直接下发指令，执行命令安装后门程序。海莲花横向移动攻击流程 028 028 白利用 DLL旁路加载技术是海莲花打造恶意荷载的核心攻击技术。下图被利用的白文件统计 TOP20，利用最为频繁的是安博士程序。安博士程序 V3MEDIC.EXE 趋势程序 PtLauncher.exe 罗技蓝牙程序 lbtwiz.exe steam错误报告程序 steamerrorreporter.exe 微软启动程序 applaunch.exe 谷歌工具条 GoogleToolbarNotifier.exe 任务管理器 Task Explorer.exe 调试查看工具 dbgview.exe 赛门铁克反病毒程序 ldvpreg.exe 瑞星程序 sharemgr.exe WPS 程序 wps.exe 腾讯电脑管家 qmbsrv.exe 腾讯浏览服务组件 qbclient.exe 网易云音乐 cloudmusic.exe 趋势程序 PtUserSessionWrapper.exe 爱奇艺升级模块 QyUpdate.exe 迅捷 PDF编辑器 XunjiePDFEditor.exe 360图片查看器 360kantu.exe 江民程序 KvHistory 酷狗音乐 KuGou.exe TOP 1 TOP 2 TOP 3 TOP 4 TOP 5 TOP 6 TOP 7 TOP 8 TOP 9 TOP 10 TOP 11 TOP 12 TOP 13 TOP 14 TOP 15 TOP 16 TOP 17 TOP 18 TOP 19 TOP 20 海莲花白利用 TOP20 针对中国的APT攻击 PART 02 029 图 1 图 2 图 1 APT28组织所使用的 ARJ格式小众压缩包图 2 APT28组织诱饵文件涉及军事公告（新冠疫情下波兰边境军队活动的指示） 04. 其他针对我国攻击活跃的 APT组织，还有来自东欧地区的 APT28（ APT- C-20）、魔鼠（ APT- C-42）。中东地区的蓝色魔眼（ APT- C-41）组织。其中以魔鼠和蓝色魔眼相关攻击活动最为频繁。针对中国的APT攻击 PART 02 029 1. APT28（APT- C-20） 2020年 APT28组织针对我国的攻击活动中，以外交、政府相关重要机构为主要目标。利用多个语言，例如 nim， delphi， go等版本的 zebrocy downloader进行初始攻击，同时也在积极的利用不同的手法规避安全研究员的视线，在疑似针对北约组织目标的攻击活动中，依然使用压缩包附件形式的诱饵，但此次攻击使用了 ARJ格式的小众压缩包格式，压缩包中包含一个 nim zebrocy downloader和诱饵文档。压缩包的打包时间是 2020年 08月 5号。同时在 2020年的 7月到 8月我们捕获到了 APT28的多个 nim zebrocy downloader测试版本。 030 蓝色魔眼攻击流程 030 2.蓝色魔眼（APT-C-41）蓝色魔眼（ APT-C-41），又被称为 Promethium、 StrongPity，该 APT组织最早的攻击活动可以追溯到 2012年。该组织主要针对意大利、土耳其、欧洲等地区和国家进行攻击活动。 360安全大脑监测到该组织在 2020年 1月首次针对中国进行了攻击活动，并捕获到了该组织最新 V4版本的攻击组件。经过 360高级威胁研究院的深入分析研判，此次攻击的针对性极强，是该组织罕见地针对我国相关重要机构发起的首起定向攻击行动 8 。从历史攻击活动看，蓝色魔眼组织的攻击战备资源充足，具备 0day漏洞作战能力，拥有一套复杂的模块化攻击武器库，并长期持续迭代更新。该组织的基础网络资源丰富，足以在每次攻击活动中有多套备用资源以便迅速更新持续对抗。早期该组织曾使用过 0day漏洞发起攻击活动。而后被披露针对目标用户进行水坑攻击，伪装成用户常合法软件或仿冒相关应用官方网站，从早期伪装 WinRAR、 TrueCrypt、 Opera浏览器等软件，扩展到伪装 TeamViewer、 WhatsApp等应用软件。同时该组织还曾被发现一些 ISP级别的网络劫持攻击活动迹象。该组织的攻击组件从 2016年至今在不断进行升级改进，基于 360安全大脑遥测数据来看，该组织的攻击组件至少已经有 4次较大的更新迭代，今年活跃的主要是 V3和 V4两个版本。 Comti.dll Kltgtr.dll Ingwyztn.dll Loader 解密加载解密加载读取读取加载 wtsapi32.dll(MiniLoader) 注册表Skype update service scpctr.dll whtnwfc.dll 针对中国的APT攻击 PART 02 031 3.魔鼠（APT-C-42） 2019年， 360高级威胁研究院捕获发现了一系列 WellMess(APT-C-42)组织针对我国政府、通信 IT行业、教育科研行业的 APT攻击行动，并针对核心基础设施的供应链目标进行了渗透。因 Golang语言的吉祥物为地鼠，与此同时“ Mess”谐音 “ Mice”， 360安全大脑将这例新 APT 组织命名为“魔鼠”。今年 7月我们对该组织的攻击行动进行对外披露 9 。魔鼠组织的攻击活动最早开始于 2017年 12月，持续活跃至今。该组织不仅在中国进行攻击活动，还有日本等国家也成为其攻击目标 10 。我们捕获到的攻击活动具备以下特点：攻击对目标的针对性极强，对目标进行了较长时间的控制攻击进行了周密的筹划，针对目

展开阅读全文