年 度 APT 觀 察
新冠疫情下的APT攻擊
2020年1月中旬,中國(guó)武漢爆發(fā)“COVID-19”新型冠狀病毒性肺炎,伴隨著春節(jié)而來(lái)的春運(yùn)流動(dòng)高峰,疫情迅速席卷全國(guó),并且對(duì)全球多數(shù)地區(qū)造成了巨大的影響。
作為百年一遇的重大公共衛(wèi)生危機(jī)事件,今年的新冠疫情對(duì)我們的沖擊,遠(yuǎn)遠(yuǎn)超出了我們的預(yù)料,它不僅僅引起了衛(wèi)生健康領(lǐng)域的關(guān)注,也加深了國(guó)家各個(gè)部門(mén)對(duì)國(guó)家治理、國(guó)際合作以及國(guó)際格局變化的理解。
隨著新冠病毒疫情(COVID-19)在全球蔓延,各個(gè)國(guó)家通過(guò)新冠為主題的網(wǎng)絡(luò)攻擊事件也在急劇增長(zhǎng)。從今年年初開(kāi)始,以中國(guó)、武漢為事件中心的網(wǎng)絡(luò)攻擊,逐漸演變成了國(guó)際間常用主題。各國(guó)之間一方面在聯(lián)合抗擊疫情,另外一方面又在積極地進(jìn)行著網(wǎng)絡(luò)間諜戰(zhàn)。
今年有關(guān)新冠病毒疫情的攻擊者大多以郵件欺騙的方式,構(gòu)造誘餌文件欺騙用戶點(diǎn)擊,惡意文件類型多種多樣,覆蓋EXE、MS Office宏文檔、漏洞文檔、lnk文件、VBS腳本等。而攻擊者也包括了具有國(guó)家背景的專業(yè)APT組織和普通的黑產(chǎn)組織。攻擊目標(biāo)從政府機(jī)構(gòu)逐漸擴(kuò)大到疫苗生產(chǎn)廠商,衛(wèi)生組織、醫(yī)療行業(yè)等等。同時(shí),利用新冠病毒疫情展開(kāi)攻擊的組織之多,事件之龐大,可謂前所未有。
針對(duì)移動(dòng)設(shè)備的攻擊長(zhǎng)足發(fā)展
今年的攻擊事件中,針對(duì)移動(dòng)設(shè)備的一些惡意軟件同樣有長(zhǎng)足的發(fā)展,不管是Donot的眾多偽裝性的惡意軟件,還是Lazarus的MATA框架,都有著較為重要的影響。明顯,移動(dòng)設(shè)備在APT攻擊中早已經(jīng)成為重要的攻擊目標(biāo)。
在以往的APT攻擊中,絕大多數(shù)的攻擊是基于Windows,然而現(xiàn)在移動(dòng)設(shè)備攻擊明顯有了一定的爆發(fā)趨勢(shì),攻擊者正在大力發(fā)展他們的移動(dòng)攻擊武器。不管是基于安卓還是IOS,可以預(yù)見(jiàn)利用IoT進(jìn)行的APT攻擊也會(huì)登上舞臺(tái)。
鑒于安卓、IOS設(shè)備、IoT設(shè)備等向前都可以追述到Linux/Unix,所以,移動(dòng)設(shè)備上惡意軟件的發(fā)展并沒(méi)有太大阻力,反而在向前的追溯過(guò)程當(dāng)中,可以找到古老的病毒軟件被重新挖掘出來(lái)用于當(dāng)今的攻擊。
關(guān)注遠(yuǎn)程辦公安全性
今年關(guān)于VPN服務(wù)的重大事件讓我們深感焦慮。VPN是一個(gè)重要的安全軟件,應(yīng)用范圍非常廣泛,并且在一個(gè)企業(yè)中是信息流動(dòng)的命脈。所以VPN的漏洞關(guān)聯(lián)著企業(yè)或者政府部門(mén)大量終端安全問(wèn)題,它的影響比其他終端的失陷更深遠(yuǎn)。
國(guó)內(nèi)知名廠商披露的重大VPN漏洞事件,影響巨大,成為今年利用單一的攻擊手段獲得最多成果的一次攻擊。日前,NordVPN公布了其賞金計(jì)劃,投入大量資金來(lái)保證其安全性,并且和第三方公司共同完成其從服務(wù)器到客戶端的安全審核。今年,對(duì)于VPN安全性的討論也引發(fā)熱潮。
APT組織的威脅活動(dòng)
Lazarus(朝鮮)
Lazarus組織一直被認(rèn)為是來(lái)自朝鮮的APT組織,他的攻擊目標(biāo)非常廣范,最早的活動(dòng)事件可疑追溯到2007年。其涉及的目標(biāo)也非常多,包括國(guó)防、政府、金融、能源、虛擬貨幣交易、大型企業(yè)等等。
Lazarus組織今年一直對(duì)金融機(jī)構(gòu)、加密貨幣交易機(jī)構(gòu)進(jìn)行頻繁的攻擊。由于虛擬貨幣和加密貨幣具有難以追蹤的特性,所以Lazarus對(duì)金融相關(guān)業(yè)務(wù)異常感興趣。今年著名的AppleJeus攻擊活動(dòng)就是由Lazarus一手策劃的。
今年8月,該組織通過(guò)LinkedIn招聘廣告誘餌攻擊加密貨幣公司。9月,Lazarus組織洗錢(qián)方法被曝光,資料表示其通常會(huì)從交易所竊取加密貨幣資金,然后開(kāi)始使用“分層技術(shù)”通過(guò)多個(gè)交易所進(jìn)行交易,并雇傭協(xié)助者幫助洗錢(qián),使加密貨幣能夠在眾多地址之間轉(zhuǎn)移,以混淆資金來(lái)源,并可以把虛擬貨幣轉(zhuǎn)成合法的貨幣。攻擊目標(biāo)主要為中、日、韓三國(guó)。
Darkhotel(韓國(guó))
DarkHotel是由韓國(guó)政府支持的一個(gè)APT組織,利用了Firefox和Internet Explorer中漏洞針對(duì)中國(guó)和日本進(jìn)行了攻擊。之后又利用了國(guó)內(nèi)某知名廠商VPN服務(wù)器的0 Day漏洞,用于提供對(duì)企業(yè)和政府網(wǎng)絡(luò)的遠(yuǎn)程訪問(wèn)。奇虎360表示,他們發(fā)現(xiàn)了超過(guò)200臺(tái)VPN服務(wù)器,這些服務(wù)器已在此活動(dòng)中遭到黑客入侵。其中的174臺(tái)服務(wù)器位于北京和上海的政府機(jī)構(gòu)網(wǎng)絡(luò)中,其他位于中國(guó)以外的政府機(jī)構(gòu)中。
Darkhotel不僅僅攻擊了中國(guó)政府,也利用了COVID-19對(duì)世界衛(wèi)生組織進(jìn)行了攻擊。
海蓮花(越南)
海蓮花(APT32)是總部設(shè)在越南的高級(jí)持續(xù)威脅攻擊組織,他們經(jīng)常針對(duì)本地和國(guó)外的越南人權(quán)活動(dòng)家、老撾或柬埔寨的外國(guó)政府,攻擊范圍也涉及了其他的非政府組織,包括新聞機(jī)構(gòu)及許多涉及信息技術(shù)的酒店、企業(yè)、醫(yī)院、零售業(yè)、汽車行業(yè)和移動(dòng)服務(wù)等。
從2020年1月開(kāi)始,海蓮花就大面積地對(duì)中國(guó)的目標(biāo)進(jìn)行了入侵活動(dòng),以搜集有關(guān)新冠疫情的情報(bào)。安全研究人員發(fā)現(xiàn)的第一起攻擊是在2020年1月6日,攻擊者使用“辦公設(shè)備招標(biāo)第一季度結(jié)果報(bào)告”作為攻擊目標(biāo),向中國(guó)應(yīng)急管理部發(fā)送了文件。
今年,海蓮花架設(shè)了大量看起來(lái)是合法的越南語(yǔ)新聞網(wǎng)站,利用它們加載OceanLotus Web分析框架。各個(gè)站點(diǎn)的確切功能各不相同,但是這些框架的目標(biāo)都是收集有關(guān)站點(diǎn)訪問(wèn)者的信息,并在某些情況下傳播惡意軟件。
每個(gè)網(wǎng)站都是由OceanLotus創(chuàng)建和運(yùn)營(yíng)。每個(gè)網(wǎng)站的主題,內(nèi)容,甚至自定義圖像和標(biāo)語(yǔ)都有很多變化。這些網(wǎng)站都聲稱自己是新聞網(wǎng)站,并且包含大量?jī)?yōu)良內(nèi)容,在包括主索引頁(yè)面在內(nèi)的絕大多數(shù)頁(yè)面上都沒(méi)有惡意重定向或分析。相反,一般而言,每個(gè)站點(diǎn)中只有少數(shù)特定文章包含惡意內(nèi)容。這些網(wǎng)站的主題各不相同,其中一些專注于越南新聞,而另一些則關(guān)注其他東南亞國(guó)家/地區(qū)的新聞主題。
蔓靈花(南亞)
蔓靈花(APT-C-08)是一個(gè)擁有南亞地區(qū)政府背景的APT組織,近幾年來(lái)持續(xù)對(duì)南亞周邊國(guó)家進(jìn)行APT攻擊,攻擊目標(biāo)涉及政府、軍工、高校和駐外機(jī)構(gòu)等企事業(yè)單位組織,是目前較活躍的針對(duì)我國(guó)境內(nèi)目標(biāo)進(jìn)行攻擊的境外APT組織之一。
同樣,蔓靈花也大量利用了新冠病毒疫情,對(duì)我國(guó)進(jìn)行網(wǎng)絡(luò)攻擊。從年初開(kāi)始,蔓靈花是一個(gè)攻擊異常積極的組織。7月間,蔓靈花組織針對(duì)南亞地區(qū)發(fā)起了大規(guī)模的釣魚(yú)竊密攻擊活動(dòng),攻擊目標(biāo)包括我國(guó)和巴基斯坦在內(nèi)的多個(gè)單位組織、政府機(jī)構(gòu),攻擊活動(dòng)一直持續(xù)活躍至今。
在本年度的攻擊當(dāng)中,蔓靈花的主要戰(zhàn)術(shù)仍然是使用假冒的郵箱系統(tǒng)發(fā)送釣魚(yú)郵件,并且其目標(biāo)和攻擊的頻率明顯增加,對(duì)于重點(diǎn)的目標(biāo),會(huì)采取更多的手段,利用偽裝的會(huì)議文件和軟件來(lái)釋放病毒軟件。
Donot(印度)
Donot“肚腦蟲(chóng)”(APT-C-35)是疑似具有南亞背景的APT組織,其主要以周邊國(guó)家的政府機(jī)構(gòu)為目標(biāo)進(jìn)行網(wǎng)絡(luò)攻擊活動(dòng),通常以竊取敏感信息為目的。該組織具備針對(duì)Windows與Android雙平臺(tái)的攻擊能力。
在今年Donot的攻擊中,大量地使用了嵌入了Excel流、宏文件的RTF文檔。在文檔的單元格中寫(xiě)入異常長(zhǎng)度的語(yǔ)句,通過(guò)宏代碼從語(yǔ)句中拼接遠(yuǎn)程服務(wù)器地址。同時(shí)Donot還大量利用無(wú)文件技術(shù),避免殺軟的檢測(cè)。
Donot在移動(dòng)端也有較為先進(jìn)的攻擊技術(shù),他們把APP偽裝成系統(tǒng)工具、應(yīng)用商店、游戲等等。
摩訶草(印度)
摩訶草是大家熟知的APT組織,今年1月份,摩訶草利用新冠疫情的熱點(diǎn)事件進(jìn)行APT攻擊,被熟稱為“白象三代”的代表性事件。
盡管“白象三代”使用的攻擊策略沒(méi)有太大變化,但攻擊武器做了改進(jìn)。在被發(fā)現(xiàn)的惡意文檔中,其使用的VBA宏腳本采用了高級(jí)的免殺技巧,并且下載后的木馬和其他模塊均使用了高級(jí)免殺技巧。
其使用的誘餌文件的名稱大多為:申請(qǐng)表格。xlsm、武漢旅行信息收集申請(qǐng)表。xlsm、收集健康準(zhǔn)備信息的申請(qǐng)表。xlsm、新型冠狀病毒感染引起的肺炎的診斷和預(yù)防措施。xlsm、衛(wèi)生部指令。docx等等。
其他
響尾蛇(又稱SideWinder,印度)是疑似具有南亞背景的APT組織,其攻擊活動(dòng)最早可追溯到2012年,主要針對(duì)其周邊國(guó)家政府、軍事、能源等領(lǐng)域開(kāi)展攻擊活動(dòng),以竊取敏感信息為攻擊目的。響尾蛇利用假冒網(wǎng)站,類似“健康委員會(huì)”、“武漢旅行信息搜集申請(qǐng)表”等惡意LNK文件,對(duì)我國(guó)發(fā)起APT攻擊。
Gorgon Group(巴基斯坦)組織在中亞、南亞進(jìn)行了大量的攻擊活動(dòng),利用郵件發(fā)送“訂單、付款收據(jù)、分析報(bào)告”等類型的PPT文件,對(duì)大量政府及企業(yè)進(jìn)行攻擊。
SWEED(尼日利亞)以“裝船通知單”、“裝箱交貨價(jià)單”、“緊急運(yùn)輸文件”等主題郵件作為誘餌向攻擊目標(biāo)植入信息竊密木馬(Agent Tesla、Formbook、Lokibot)和遠(yuǎn)程控制程序(NanoCore、Remcos)。該組織利用了最近異常活躍的病毒Guloader,Guloader具有很強(qiáng)的免殺能力,具備沙箱逃逸、代碼混淆、反調(diào)試、C&C/URL加密和有效載荷加密等多種能力。
攻擊趨勢(shì)
東巽科技2046Lab團(tuán)隊(duì)根據(jù)2020年全年國(guó)內(nèi)外公開(kāi)披露的APT攻擊事件,對(duì)近一年APT攻擊活動(dòng)行業(yè)布局進(jìn)行統(tǒng)計(jì)分析。
根據(jù)統(tǒng)計(jì)可以看出政府還是被攻擊的主要對(duì)象。在新冠疫情大流行之后,世界各國(guó)都采取了封鎖措施,疫情對(duì)世界的影響是難以想象的。于此同時(shí),各國(guó)攻擊者也利用人們對(duì)疫情不同的心理活動(dòng),采取了各種各樣的攻擊方法。其中大部分攻擊者仍然期望從政府組織中獲取保密信息,同時(shí)醫(yī)療衛(wèi)生組織在今年的特殊情況下明顯受到攻擊者格外的青睞。
隨著抗擊疫情的發(fā)展,眾多醫(yī)藥企業(yè)都在積極的研發(fā)抗病毒藥物,因此,為了獲取企業(yè)的最近資料,醫(yī)藥企業(yè)在今年下半年也紛紛成了被攻擊的對(duì)象。疫情是今年攻擊的主線,在疫情仍然肆虐的明年,利用疫情的攻擊仍然會(huì)大量存在。
同時(shí),我們對(duì)各APT組織的活躍度也做了統(tǒng)計(jì)。
Lazarus的攻擊活動(dòng)看起來(lái)最為活躍的,不管從其活動(dòng)的次數(shù)還是廣泛程度來(lái)看,都遠(yuǎn)遠(yuǎn)超過(guò)了其他的組織。同時(shí)Lazarus使用的攻擊技術(shù)近來(lái)也得到了較為迅速的發(fā)展,無(wú)論是WEB攻擊、還是Windows的各種漏洞利用,其隱藏技巧都能令人匪夷所思,同時(shí)Lazarus在移動(dòng)工具上的發(fā)展也較其他組織更為先進(jìn)。
同樣我們熟知的響尾蛇、蔓靈花、海蓮花等APT組織也和往年一樣活躍??傮w上看,我國(guó)受到的主要攻擊,多數(shù)是從政治層面出發(fā)。不難看出,隨著中國(guó)經(jīng)濟(jì)、科技、政治崛起,網(wǎng)絡(luò)空間這個(gè)沒(méi)有硝煙的戰(zhàn)場(chǎng)也是水深火熱。
編輯觀點(diǎn):2021年馬上到來(lái)了,但是新冠疫情還沒(méi)有退去,新的一年針對(duì)新冠疫情的APT攻擊、遠(yuǎn)程辦公攻擊等仍舊會(huì)是主線,并且近年來(lái)個(gè)人數(shù)據(jù)泄露越發(fā)嚴(yán)重,新的一年還要加強(qiáng)安全意識(shí),對(duì)一切奇怪的、不熟悉的文件、app、網(wǎng)址保持警惕。