大多来自邻国 2020年针对我国发起攻击的APT组织盘点

首页 / 业界 / 资讯 /  正文
作者:藏青
来源:安全419
发布于:2021-01-25
2020年,突然爆发的新冠疫情,让我国乃至全球都陷入了一场艰苦的战役。但在艰难抗击疫情的斗争中,一些针对我国的阴谋黑客攻击也从未停歇。许多攻击组织假借疫情之名对相关目标肆意进行攻击,利用新冠肺炎疫情相关话题传播谣言发起钓鱼攻击、窃取机密信息收集疫情相关情报、利用新型冠状病毒疫情相关题材投递攻击木马等行为层出不穷,这些攻击者中甚至不乏具有国家背景的黑客组织。
 
而纵观全年,除了疫情话题相关的APT攻击活动外,一些抱着更长远目的的攻击行动也在持续进行着。包括南亚、东南亚、朝鲜半岛、东欧、美国等某些国家和地区背景的威胁组织不断对我国境内进行活跃的网络攻击和试探,企图破坏我国经济、政治的发展以及社会的稳定。
 
1月13日,国家信息中心联合瑞星发布了《2020年中国网络安全报告》,报告对2020年部分活跃的APT攻击进行了揭露,安全419(anquan419.com)在此基础上结合2020年全国网络安全厂商发现和披露的APT攻击活动进行了梳理和补充,为各政企单位再次敲响警钟。

 
1.APT组织Lazarus(朝鲜)
 
“Lazarus” (APT-C-26),该组织被认为是一个朝鲜背景的APT组织,自2007年起,Lazarus组织一直活跃并至今,后续一系列因朝鲜而引发的全球性网络攻击事件均有其身影。其涉及的目标也非常多,包括国防、政府、金融、能源、虚拟货币交易、大型企业等等。与以往APT组织的关注点不同,Lazarus组织以获取经济利益为目的,自创立起便一直对金融机构、加密货币交易机构进行频繁的攻击。 
 
2020年9月,俄罗斯安全公司卡巴斯基披露了一个多平台恶意软件框架——MATA,发现了一类利用MATA框架针对加密货币行业相关人员的攻击活动。不管是攻击目标所属的数字金融业,还是攻击技术手法采取的后门程序攻击,都间接显示MATA框架和Lazarus 组织存在关联。
 
该组织通常会从交易所窃取加密货币资金,然后开始使用“分层技术”通过多个交易所进行交易,并雇佣协助者帮助洗钱,使加密货币能够在众多地址之间转移,以混淆资金来源,并可以把虚拟货币转成合法的货币。攻击目标主要为中、日、韩三国。
 
国内安全团队捕获的Lazarus组织攻击样本

 
2.APT组织OceanLotus海莲花(越南)
 
“OceanLotus”组织,又被称为:海莲花、APT 32、SeaLotus、APT-C-00、Ocean Buffalo等,是高度组织化、专业化的境外国家级黑客组织,全球最为活跃的APT组织之一。有证据表明,这是一个越南国家背景支持的APT组织,至少自2012年就开始进行网络攻击。其攻击目标包括但不限于中国、东盟、越南中持不同政见者和记者,目标行业多为能源、海事、政府和医疗等领域。
 
借用“社会热点”为诱饵,对受害方“设套”,是该组织的擅长手法。2020年瑞星研究团队捕获了多起海莲花组织针对中国的攻击样本,攻击手法主要有利用漏洞、Office宏以及带数签的正常程序加载恶意dll等。
 
从2020年1月开始,海莲花大面积地对中国目标进行了入侵活动,以搜集有关新冠疫情的情报。国内安全研究人员发现的第一起攻击是在2020年1月6日,攻击者使用“办公设备招标第一季度结果报告”作为攻击目标,向中国应急管理部发送了文件。
 
2020年2月,该APT组织针对中国大量投递了名为“中国正在追踪来自湖北的旅行者.exe”的攻击样本,利用正常的exe程序加载隐藏的dll以便释放诱饵文档迷惑目标,同时在内存中隐秘执行远控木马。
 
 
图:中国正在追踪来自湖北的旅行者.exe
 
 

 
图:诱饵文档

 
3.APT组织SideWinder响尾蛇(印度)
 
“SideWinder”APT组织,又称“响尾蛇”、T-APT-04,该组织至少从2012年就开始进行网络攻击,疑似具有南亚背景,来自印度。其长期针对中国和巴基斯坦等东南亚国家的政府,能源,军事,矿产等领域进行敏感信息窃取等攻击活动。
 
据瑞星2020年所捕获的攻击样本数据表明,该组织的大多数活动都集中在中国和巴基斯坦等国家,针对的目标行业大多数为医疗机构、政府和相关组织,攻击手法主要有利用投递“武汉旅行信息搜集申请表”等钓鱼邮件等方式投递带恶意对象,CVE-2017-11882漏洞的诱饵文档,投递利用远程模板技术下载恶意文档,或者投递带恶意链接的快捷方式文件等。
 
例如:其投递和亚洲组织ASPAC有关的诱饵文档“Nominal Roll for BMAC Journal 2020.doc”,攻击手法主要是在诱饵文档中嵌入恶意hta代码,利用CVE-2017-11882漏洞执行hta代码达到窃密远控目的。
 
 

图:Nominal Roll for BMAC Journal 2020.doc
 
在其所投递的与巴基斯坦政府相关的攻击样本“Pak Army Deployed in Country in Fight Against Coronavirus.pdf.lnk”和投递的涉及中国政府攻击样本“OIMC News Letter.pdf.lnk”中,都是利用恶意快捷方式调用mshta.exe远程下载执行恶意文件,后续进行窃密远控等操作。
 

图:Pak Army Deployed in Country in Fight Against Coronavirus.pdf.lnk
 
图:OIMC News Letter.pdf.lnk
 
2020年6月中印边境冲突特殊时期,该APT组织曾对我国某高校、政府部门及其他相关单位发起攻击。
 
2020年11月,该组织还曾以“第二届一带一路能源合作伙伴关系论坛参会回执”为内容的恶意Doc文档,对第二届“一带一路”参会单位和相关人员进行定点精准攻击。

 
4.APT组织Darkhotel(韩国)
 
“Darkhotel”是一个活跃近10年的老牌APT组织,又被称为寄生兽、Dubnium、Nemim、Tapaoux、APT-C-06和T-APT-02等多个别名。该组织为东亚背景,疑似来自韩国。攻击目标范围涉及中国、朝鲜、日本、缅甸、印度以及少数欧洲国家。该组织涉及的行业有国防、能源、政府、医疗保健、非政府组织、制药、研究与技术等。
 
在2020年微软宣告Windows 7系统停止更新第二日,“Darkhotel”就被披露,利用CVE-2019-17026(火狐浏览器)和CVE-2020-0674(IE浏览器)这两个漏洞对我国商贸相关的政府机构进行了攻击。
 
并且在疫情期间,其劫持深信服VPN设备下发恶意程序SangforUD.exe,SangforUD.exe带有伪冒的深信服数签,当受害者执行SangforUD.exe后,其会联网下发恶意代码。据国内安全厂商研究,全国共发现了超过200台VPN服务器,这些服务器都曾在此活动中遭到黑客入侵。其中的174台服务器位于北京和上海的政府机构网络中。
 

图:恶意程序(SangforUD.exe)仿造深信服数签
 
图:SangforUD.exe联网下发恶意程序

 
5.APT组织Patchwork摩诃草(印度)
 
“Patchwork”APT组织疑似来自印度,这个APT组织有很多别称:“摩诃草”、白象、Operation Hangover、Viceroy Tiger、Dropping Elephant、Monsoon、APT-C-09 或Chinastrats等。自2012年以来该组织持续针对中国、巴基斯坦等国进行网络攻击,长期窃取目标国家的科研、军事资料。与其他组织不同的是,该组织非常擅长根据不同的攻击目标伪造不同版本的相关军事、政治信息,以进行下一步的攻击渗透。
 
据瑞星2020年所捕获的攻击样本数据统计发现,该组织的大多数的活动都集中在中国、巴基斯坦等亚洲国家,针对的目标行业大多数为医疗机构、政府和政府相关组织,攻击手法有投递恶意宏文档,利用钓鱼网站和使用esp漏洞(CVE-2017-0261)等。               
 
其使用的诱饵文件的名称大多为:申请表格.xlsm、武汉旅行信息收集申请表.xlsm、收集健康准备信息的申请表.xlsm、新型冠状病毒感染引起的肺炎的诊断和预防措施.xlsm、卫生部指令.docx等等,主要使用的攻击手法是投递带恶意宏的文档,通过宏代码去远程加载恶意文件下载远控木马。
 

图:武汉旅行信息收集申请表.xlsm
 

图:申请表格xlsm
 
在其所投递的和巴基斯坦相关的攻击样本“National_Network_Security.docx.”中,主要利用esp漏洞去下发后门和收集信息,样本内容提及了巴中国家网络安全相关信息。
 

图:National_Network_Security.docx

 
6.蔓灵花(南亚地区)
 
蔓灵花,又称为T-APT-17、BITTER,是一个长期针对中国、巴基斯坦等国家进行攻击活动的APT组织,该APT组织为目前活跃的针对境内目标进行攻击的境外APT组织之一。该组织主要针对政府、军工业、电力、核等单位进行攻击,窃取敏感资料,具有强烈的政治背景。
 
2020年年初,蔓灵花同样也大量利用了新冠病毒疫情,对我国进行网络攻击。2020年7月份,蔓灵花组织发起了大规模的钓鱼窃密攻击活动,攻击目标包括我国和巴基斯坦在内的多个单位组织、政府机构,攻击活动一直持续活跃至今。
 
该APT组织的主要战术是使用假冒的邮箱系统发送钓鱼邮件,并且其目标和攻击的频率明显增加,对于重点的目标,会采取更多的手段,利用伪装的会议文件和软件来释放病毒软件。

蔓灵花组织在疫情期间投递的钓鱼邮件

 
7.钓鱼组织SWEED(尼日利亚)
 
SWEED是一个发现于2020年5月的钓鱼攻击黑客组织,该组织自 2017 年开始长期利用钓鱼邮件传播木马(AgentTesla等)对我国制造业、航运、能源以及部分政府部门发起定向攻击,通过窃取被攻击目标用户和单位敏感信息进行 CEO 诈骗(BEC)攻击,以牟取暴利,目前该组织已经导致国内很多企业遭受巨大的经济损失或信息被窃。
 
据国内安全研究团队发现,SWEED黑客组织至少已经成功入侵个人主机 450 台,受害者遍布美国、俄罗斯、中国、印度、巴基斯坦、沙特、韩国、伊朗等近 50 个国家。“SWEED”团伙在控制企业员工主机后会进行长期监控,并在目标与客户发起交易时实施中间人攻击,诱使财务人员将款项转至指定账户,是一个典型的尼日利亚诈骗团伙。
 
2020年6月,上海某航运集团与一家国外物流公司进行合作交易往来过程中,被该钓鱼组织攻击,险些蒙受5万多美元的经济损失。
 
图:仿冒航运方对企业进行钓鱼邮件诈骗

 
8.APT组织UNC2452(俄罗斯)
 
UNC2452是2020年底新出现的APT组织,由美国安全公司FireEye命名。1月11日,俄罗斯安全公司卡巴斯基发布报告称,SolarWinds供应链攻击事件中的Sunburst后门代码与俄罗斯APT组织常用木马Kazuar后门存在代码重叠,具备极高的相似性,美国政府称俄罗斯国家级APT组织极有可能是本次攻击事件的元凶。
 
该组织在2020年12月的时候攻陷软件提供商SolarWinds,并将具有传输文件、执行文件、分析系统、重启机器和禁用系统服务等能力的Sunburst后门,插入到该企业旗下Orion网络管理软件中带SolarWinds数字签名的组件SolarWinds.Orion.Core.BusinessLayer.dll中。导致美国多家企业及政府单位网络受到感染,但根据软件装机量来看,该事件对国内影响较小。
 
SolarWinds公司客户遍布全球,覆盖了政府、军事、教育等大量重要机构和超过九成的世界500强企业。此次APT组织UNC2452利用SolarWinds供应链进行攻击的事件影响甚广,造成了极恶劣的影响,FireEye称已在全球多个地区检测到攻击活动,受害者包括北美、欧洲、亚洲和中东的政府、咨询、技术、电信和采掘等实体企业。
 
此次攻击事件中APT组织通过篡改文件SolarWinds.Orion.Core.BusinessLayer.dll,在此DLL文件中增添了Sunburst后门,因此使得Sunburst后门带有有效的数字签名:Solarwinds Worldwide,LLC。
 
图:Sunburst数字签名
 
较原来正常的SolarWinds.Orion.Core.BusinessLayer.dll文件相比,恶意DLL文件中Sunburst后门代码存于新增的OrionImprovementBusinessLayer类中,Sunburst后门可以执行禁用杀软、盗取数据、下发和执行文件等恶意操作。
 
图:新增类
 
图:部分Sunburst后门代码
 
 
更多的APT组织、APT攻击行动仍潜伏在冰山之下
 
从攻击目标和攻击时间上来看,政府单位、重要关键信息基础设施单位等仍然是APT组织发起攻击的主要对象。而随着新冠疫情的广泛传播,医疗行业也成为了境外黑客组织“重点关照”的关键目标之一。  Lazarus、响尾蛇、海莲花等多个组织都曾试图在疫情期间,以及中印边境冲突、“一带一路”等重大国家会议和外事活动的特殊时期对我国发起攻击。
 
而从攻击技术上来看,事实上各个APT组织的攻击手段十分常见,通常是通过0day漏洞来将木马或病毒植入目标设备中,或是通过社会工程学、钓鱼邮件等方式潜伏至目标周围,之后在很长的一段时间内以更加隐秘的方式来盗取重要资料、破坏目标设备,或是达到更深远的目的,围绕商业和政治目标展开长期的经营和策划。
 
APT组织UNC2452发起的SolarWinds供应链攻击事件就足以说明这一点,就连微软、思科、火眼这样拥有世界顶级网络安全技术水平的企业都难以发现其隐秘的攻击行为。
 
随着中国国力的强盛,接下来全球APT组织针对能源、交通、金融等关键信息基础设施行业,以及针对政府机构的攻势也将会越来越猛烈。我们无法预知下一次“solarwinds”会发生在哪个行业,会发生在是什么时间,但不难猜想到,还有更多藏在冰山下面的大规模APT攻击活动正在持续进行着。因此,每个人都应为下一次“solarwinds”的爆发做好心理预期,努力将风险降至最低。