年終盤點:南亞APT組織“群魔亂舞”,鏈條化攻擊“環環相扣”

不謀萬世者,不足謀一時;不謀全局者,不足謀一域。

?潛伏在大國政治與軍事博弈對壘間,它們作為網絡攻擊的“最高武士”,長期枕戈待旦,只待一聲軍令下,便要踏平一國山與河。

【導讀】歲末之際,360安全大腦公布了一份《南亞地區APT組織2019年度攻擊活動總結》,報告顯示:2019年間,南亞次大陸的APT組織不僅處在十分活躍的狀態,同時,它還呈現出強烈的地緣政治傾向、明顯的網絡諜報特征、有計劃有預謀的全鏈條攻擊以及“攻心為上”的喬裝戰術。值得注意是,軍工軍貿、政府機關、外交機構、基礎設施企業,這等重磅級單位企業成其火力全開地攻擊目標,而目目標所屬國度是:中國、巴基斯坦、孟加拉國和斯里蘭卡等。此外,本次報告還聚焦于五大“熱門”APT組織,并披露了這些APT以往從未公開的具體攻擊細節。

南亞——喜馬拉雅山中、西段以南及印度洋之間的廣大地區,印度、巴基斯坦、孟加拉、斯里蘭卡等國均位于此。由于政治及宗教等原因,這片大陸的局勢一直不太穩定。

最為典型的便是印度和巴基斯坦。1947年,印巴分治后,兩國關系一直處于復雜且敵對的狀態。2019年,印巴雙方爆發的一系列軍事沖突將雙方的關系推至冰點。

640?wx_fmt=png在軍事行動前,網絡戰這一前鋒早已先行,國家級APT是它們的第一強軍。

然而,偵察與反偵察總是相伴相生。伴隨近年來,南亞APT組織逐步被披露,蔓靈花(BITTER)、摩訶草(HangOver)、響尾蛇(SideWinder)、DoNot(肚腦蟲)、Urpage也“榮登”各國安全機構的“黑名冊”。

2019年,360安全大腦發現源自南亞地區的APT組織又一次處在高頻活躍狀態。在進一步分析中發現:這些APT組織在攻擊原因、攻擊目標、攻擊策略以及攻擊戰術上呈現“環環相扣”四大特征。此外,報告還聚焦于五大“熱門”APT組織,披露了它們以往從未公開的具體攻擊細節

南亞APT組織來勢洶洶,四大特征“環環相扣”?

(一)“起”于地緣政治,大國交鋒博弈推動南亞APT攻擊走向

作為網絡攻擊的“黃金御用”手段,APT紅熱高發區也正是全球地緣政治沖突的敏感帶。

多年觀察,源于南亞地區的APT攻擊活動的重點為中國和巴基斯坦。然而,此次報告顯示,2019年,針對巴基斯坦的攻擊活動呈明顯上升趨勢。而今年,印巴炮火連天的政局引發了多方關注。

2018年2月,印度軍隊炮擊克什米爾實控線附近的巴基斯坦哨所,導致巴方人員傷亡。

2018年5月,印巴暫時停止交火,同意落實于2003年達成的停火協議。

2019年2月,印巴對彼此領土內的目標發動空襲。

2019年3月,印巴雙方在邊境地區互相開火炮擊,局勢升級。

2019年8月,印方撤銷克什米爾的特殊地位,印巴在邊境爭議地區再次交火。

(二)“落”于重磅諜報軍工軍貿、政府機關為其重點攻擊對象

當APT的攻擊,源于大國地緣政治上不可調和的矛盾時,其攻擊的具體目標就早已注定。報告顯示,南亞APT組織的攻擊具有明顯的網絡諜報傾向,而且以收集軍工軍貿、政府機關、外交機構、基礎設施企業等敏感領域的相關信息為首要任務

這里仍以巴基斯坦為例,其遭受攻擊的具體單位如下:

政府機構國家反恐局、警察系統、巴基斯坦新聞廣播對外宣傳部、國家數據庫和管理局(NADRA)、巴基斯坦原子能委員會(PAEC)、巴基斯坦科學和工業研究理事會(PCSIR)、巴基斯坦證券交易委員會(SECP)

基礎設施企業巴基斯坦國家煉油有限公司、巴基斯坦特別通信組(SCO)、巴基斯坦移動公司(Mobilink)、巴基斯坦電信公司(PTCL)

此外,五大APT組織針對目標國家及目標行業,整理如下:  KEPRVMVJ4qkX4UBV.png!thumbnail

(三)“始”于滴水不漏的策劃,流程化、鏈條化的攻擊步驟層層深入

對攻擊活動進一步分析發現:單從技術方面上講,這些源自南亞的APT組織好像并沒有什么稀奇:沒有復雜的技術,沒有高質量的惡意代碼編碼,同時,在惡意代碼武器庫和攻擊手法上也沒有多大的改善。但研究員發現這些APT組織流程化、鏈條化、技術化的攻擊步驟,也令人嘆為觀止

 “初始入侵、代碼執行、持久化、命令和控制、任務活動”,這五大“熱門”APT組織在攻擊時,均沿著這一鏈條模式進行,從小心謹慎地層層深入到步步為營地滲透攻擊,每個APT組織都宛如一條潛伏已久、伺機而動的毒蛇,隨時發出致命一擊。 每個APT組織在每階段攻擊行為中,所使用的具體攻擊手法總覽表如下:

mLK95D2l290epiQI.png!thumbnail然而,在攻擊鏈條中還有一個顯著的現象:攻擊者并未對相關組織機構進行直接的網絡攻擊,而是采取了“針對某領域或組織機構下,相關個人進行定向攻擊”的手段。這也是智庫經常提的“迂回”、“曲線型”攻擊方式。 Qivz6B3g6x8FshE2.png!thumbnail

(四)“落”于攝人心魄的行動,極擅用社會工程學偽裝誘敵

“偽裝”是軍事上一門重要課程,南亞APT組織可謂學到了其精髓。研究顯示:它們在入侵時,雖然技術有限,但嚴重依賴社會工程學(善于“偽裝釣魚”)。而且,漏洞文檔的內容題材豐富多樣,尤其偏愛涉及時政新聞、軍事相關文件、軍工企業單位等

如:涉及克什米爾局勢的誘餌文檔,內容大意為指責印度增兵克什米爾,這直接加劇了當地局勢緊張的程度。

rqBgJfeGB3UrjLgN.png!thumbnail

再如,以2019年在中國武漢舉辦世界軍人運動會報名表為題材的誘餌文檔。

wnX1k6KkYbICxnrh.png!thumbnail

以國防部國際軍事合作辦公室的名義,發往各國駐華使館武官處的誘餌文檔。其他部分文檔內容:

FrQPkJ1QXCkHVrwB.png!thumbnail

南亞APT組織“群魔共舞”,五大組織個個“兇惡毒辣”

憑借四大“環環相扣”的特征,南亞地區的APT組織持續侵擾周邊鄰國。然而,就在眾多共性之中,有五大APT組織憑借其更為“兇惡毒辣”的特色脫穎而出,智庫將它們總結為“2019南亞APT組織‘邪惡五霸’”

以下我們將對其一一介紹,并逐步披露出市面上未曾公布的一些攻擊細節。

(一)摩訶草:野火燒不盡的“惡性雜草”

摩訶草,一個至今已活躍9年有余的APT組織,持續的曝光并沒有停止它攻擊的步伐,反而令其愈發的猖狂,可謂“野火燒不盡”。

報告顯示:目前摩訶草受害者均集中于巴基斯坦境內,其中包括:巴基斯坦空軍相關人員,內政部下屬的國家數據庫和管理局(NADRA)工作人員,核能相關的工作人員(PAEC 巴基斯坦原子能委員會), 科研人員(PCSIR 巴基斯坦科學和工業研究理事會),各類通信公司和組織工作人員(SCO巴基斯坦特別通信組、Mobilink巴基斯坦移動公司、PTCL巴基斯坦電信公司)等。

其使用的攻擊流程,如下圖所示: JBVr1763uU4rCXbP.png!thumbnail

對其具體攻擊步驟,拆解而言,分為以下四點:

1. 使用題材涉及當前政治局勢的CVE-2017-11882的魚叉文檔,誘敵深入。這里仍以上述公開情報的樣本為例,該文檔標題的內容大意為:“印度使克什米爾變成世界上最危險的地方”,這是一個模糊的圖片,圖片提示點擊啟用宏的話,會出現清晰的內容。 4mF1N4DTWx48eWIG.png!thumbnail2. 當用戶點擊之后,便迅速觸發漏洞,Shellcode將釋放執行Dropper程序。此時,Dropper程序將釋放出3個文件,其路徑分別為: uUIMDfT9N6sq2K2S.png!thumbnail與此同時,Dropper程序會將MsBuild.exe重命名為MsBuild2.exe。

kE39ua49dRQ7qRz5.png!thumbnail隨后啟動java-rmi.exe,其中java-rmi.exe 為正常的JAVA組件,帶有簽名:Oracle America, Inc.。

k6BaSQKTa9s2rA0g.png!thumbnail值得注意的是,此處java-rmi.exe會默認調用JLI.DLL,這種白利用DLL劫持技術與之前摩訶草使用的白利用技術相類似(Fake JLI),只是更新了白利用程序。

3. JLI.DLL為駐留安裝程序,所有的導出函數最終都會跳轉到為木馬添加開啟啟動項的函數中,并在注冊表項HKCU\Software\Microsoft\Windows\CurrentVersion\Run下添加項名為WindowsDefender Update的啟動項,路徑指向木馬文件MsBuild2.exe。

4. 被添加到注冊表啟動項的后門程序會隨開機自動啟動,該程序與去年360安全大腦報道的后門邏輯完全一致,依舊使用了Github和Feed43進行C&C地址的更新分發。感興趣的讀者可以點擊如下鏈接,進一步閱讀:http://www.wlgjgoct.cn/vuls/157694.html

640?wx_fmt=png

(二)蔓靈花:一個堪比罌粟的APT組織

蔓靈花,雖名為花但身附巨毒,目標群體一旦被其誘惑,便會步入”劇毒羅網”之中。

報告顯示:2019年,蔓靈花再次將其毒手伸向中國、巴基斯坦以及印巴交界的克什米爾區域,精準滲透黨政干部、軍工從業人員、赴巴基斯坦留學人員、企業客服人員等具有鮮明軍政背景人群

該組織攻擊流程,如下圖所示:

cbZLWX5jJO49jRo9.png!thumbnail

具體而言,在載荷投遞過程中,蔓靈花主要采取以下方式:

1. 偽裝圖標的自解文件,誘導目標用戶點擊并執行自解壓命令。

nx8gebmeOUwIHqh0.png!thumbnail

8NIEbin4wTUY6HUG.png!thumbnail

2. 偽裝成CVE-2018-0798 Word漏洞文檔,釋放下載器并執行。漏洞文檔內容示意如下:

qF2nTxiOLeIHxrsR.png!thumbnail

xzjrzf0TLGk4QTWB.png!thumbnail

此外,除Windows平臺的惡意程序,蔓靈花還使用了Android 平臺的惡意程序。它主要通過圖標偽裝成正常的APP來誘導用戶下載安裝。目前發現有:偽裝成聊天工具、圖片查看器,還有偽裝成殺軟的惡意程序。值得關注的是,部分Android平臺的受害者身份與Windows平臺的受害者身份重合。 

(三)肚腦蟲:竊取心、大腦的“寄生蟲”

肚腦蟲,它是一只潛伏在政府機構中的“寄生蟲”,專門吸取并竊走“宿主”的核心敏感信息,同時,它也是一個能PC端、移動端雙管齊下的APT組織。 360安全大腦2019年監測到:“肚腦蟲”APT組織的目標對象主要分布在巴基斯坦和斯里蘭卡。就在11月份時,阿富汗駐中國的大使館也被攻擊,其中包括:巴基斯坦新聞廣播對外宣傳部,斯里蘭卡軍方相關人員。 其攻擊流程圖,如下: tEsFLQZBwfIOIOu8.png!thumbnail

南亞APT組織的具體操作行為有些類似,詳情請看文末的報告原文,這里不再多贅述。 需提一句的是,本次攻擊使用的惡意代碼工具與之前曝光的yty框架基本一致,兩者類比如下表: vpZNXp0W6Oof9mKv.png!thumbnail

(四)響尾蛇:“蛻皮”進化最快的APT組織

響尾蛇,其攻擊手法是這些組織中進化非常快的一個。潛伏已長達17年之久,擅長使用office漏洞、HTA腳本、白加黑、VB木馬等技術發動攻擊,其“毒液”通殺office2003到2016的所有版本,且只需一個制作好的word文檔,只要用戶點開,響尾蛇APT組織便可將其一招致命。

 響尾蛇重點攻擊對象,包括:各國駐華使館(如約旦大使館,阿聯酋大使館等),我國某大型央企集團,孟加拉軍方人員,巴基斯坦政府機構,巴基斯坦證券交易委員會等。 2019年,響尾蛇組織攻擊流程圖,如下: 8H0XhkTFazQpxQ7Y.png!thumbnail

 (五)Urpage:與多個APT相關聯的“四不像”

Urpage,這是一個特別的南亞APT組織,它的身上有著其他組織的影子。

研究顯示,Urpage與Bahamut使用的部分惡意Android樣本重疊、使用與Confucius相同的Delphi文件竊取程序、還和Patchwork是使用了同樣的Delphi文件竊取程序,且其C&C服務器與Patchwork小組的常用名稱注冊模式相匹配。

可以說,Urpage和以上南亞APT組織既相似,又不同,如同“四不像”一樣。 2019年,360安全大腦發現一起針對巴基斯坦反恐局(Counter Terrorism Department – CTD)的攻擊行動,其攻擊時間從6月初延續到9月底,此次攻擊正是UrpageAPT組織所為。 在該行動中,“Urpage”依舊使用了釣魚Office文檔的攻擊方式,使用的漏洞為CVE-2017-11882。與此同時,它使用了兩種語言編寫的Downloader程序,第一類為Delphi編寫的Downloader程序,后一類為VB編寫。 Delphi編寫的Downloader程序會在%appdata%\Templets\路徑下創建文件imhosts.ini,并隨機寫入長度為16的字符串。 HQXKvSnDd1wPlsOi.png!thumbnail該字符串之后會被發往服務器,并作為Rivest Cipher 4 Key來解密服務器返回的數據。 7zSeKY3hyWohmA7Q.png!thumbnail隨即,木馬向解密出來的C&C: cyroonline.com/Convenience/indertysduy.php發送請求,并解密返回的數據。在測試過程中,木馬返回的數據解密后為:juscheck.doc。木馬將接收到的數據與字符%appdata%\Templets拼接,得到路徑%appdata%\Templetsjuscheck.doc。 之后,木馬再次發送請求,解密返回數據并將數據寫入到%appdata%\Templetsjuscheck.doc,然后將后綴名從doc改為exe,通過ShellExecute執行下載的文件。 QMeOpRbC1uA9nRB5.png!thumbnail在分析的過程中Delphi Downloader下載執行了VB Downloader。VB downloader與Delphi Downloader相比多了對受害者系統信息的收集功能,攻擊者可以根據收集到的信息來判斷是否需要下發后續惡意程序。  
2019年,全球APT威脅與攻防日趨白熱化,全球安全報告頻繁披露各APT組織攻擊行動就是有力實證。然而,知曉APT組織只是其一,而重點在于其二通過這些研究報道,我們能看出什么?在以后的網絡攻防能中,又有哪些有利的價值信息能為我們所用。 透過這份詳盡的《報告》以及歸納的四大特征、五大APT組織,智庫預判:

1. 既然APT組織伴隨地緣政治而起,那么未來,這些攻擊行動還會繼續在相關地域和群體中持續保持活躍狀態;

2. 雖然報告中APT組織當下使用的攻擊技術較為簡單,但我們也發現攻擊者在部分攻擊環節提高技術能力的一些努力,如尋找新的白利用手段、使用JavaScript腳本在內存加載.Net、嘗試對原有惡意代碼武器庫進行改進。所以,在未來,面對這些攻擊者我們仍不能掉以輕心;

3. 諸多案例已經表明,APT組織善用社會工程學這等方式騙取目標對象的信任,同時,它們還采取“迂回”、“曲線”的攻擊方式,通過對“薄弱”環節下手,所以,針對互聯網安全防范措施和意識較差的用戶群體或地區,即使是簡單的攻擊行動仍是有效的;這就警戒我們,安全并不是孤立開來的絕對的安全,在萬物互聯的時代下,應以大全觀、全面、動態、相對的視野來看網絡安全。

正所謂,不謀萬世者,不足謀一時;不謀全局者,不足謀一域。守護好網絡空間這片星辰大海,應是國家、企業、個人共同聯動的責任。

其他資料補充:

關于印巴2019年軍事沖突:2月26日,印度空軍的12架幻影2000戰斗機飛越克什米爾印巴停火線,對巴基斯坦進行空襲。印度宣稱空襲為報復兩星期前的普爾瓦馬襲擊。27日,雙方在克什米爾地區展開空戰,巴基斯坦方面表示,巴基斯坦空軍在軍事行動中擊落了兩架印軍戰機,兩機分別墜毀在克什米爾巴控區和印控區,并俘虜了一名印度飛行員。印方其后確認,印軍1架米格-21戰斗機被巴方擊落,1名飛行員被巴軍俘虜,另有1架戰機在克什米爾印控區墜毀。3月4日上午,印巴雙方在邊境地區互相開火炮擊,局勢再次升級。 

關于360高級威脅應對團隊(360 ATA Team):

專注于APT攻擊、0day漏洞等高級威脅攻擊的應急響應團隊,團隊主要技術領域包括高級威脅沙盒、0day漏洞探針技術和基于大數據的高級威脅攻擊追蹤溯源。在全球范圍內率先發現捕獲了包括雙殺、噩夢公式、毒針等在內的數十個在野0day漏洞攻擊,獨家披露了多個針對中國的APT組織的高級行動,團隊多人上榜微軟TOP100白帽黑客榜,樹立了360在威脅情報、0day漏洞發現、防御和處置領域的核心競爭力。 

《南亞地區APT組織2019年度攻擊活動總結》

報告鏈接:http://zt.#/1101061855.php?dtid=1101062514&did=610401913,請點擊閱讀原文獲取詳細報告。

取消
Loading...

填寫個人信息

姓名
電話
郵箱
公司
行業
職位
css.php 微信上那些说赚钱是真的吗