今日頭條
官方微信
官方抖音
資訊頻道一、前言
高級可持續(xù)性攻擊,又稱APT攻擊,通常由國家背景的相關(guān)攻擊組織進(jìn)行攻擊的活動。APT攻擊常用于國家間的網(wǎng)絡(luò)攻擊行動。主要通過向目標(biāo)計(jì)算機(jī)投放特種木馬(俗稱特馬),實(shí)施竊取國家機(jī)密信息、重要企業(yè)的商業(yè)信息、破壞網(wǎng)絡(luò)基礎(chǔ)設(shè)施等活動,具有強(qiáng)烈的政治、經(jīng)濟(jì)目的。
隨著中國國際地位的不斷崛起,各種與中國有關(guān)的政治、經(jīng)濟(jì)、軍事、科技情報(bào)搜集對專業(yè)黑客組織有極大的吸引力,使中國成為全球APT攻擊的主要受害國之一,針對中國境內(nèi)的攻擊活動在2018年異常頻繁。多個(gè)境外攻擊組織輪番對中國境內(nèi)的政府、軍事、能源、科研、貿(mào)易、金融等機(jī)構(gòu)進(jìn)行了攻擊。活躍的攻擊組織包括海蓮花、蔓靈花、白象、DarkHotol等。不僅如此,中國周邊的國家以及中國的"一帶一路"國家,也成為APT組織重點(diǎn)關(guān)注的對象。
APT組織的高端攻擊技巧對普通網(wǎng)絡(luò)黑產(chǎn)從業(yè)者起到教科書般的指導(dǎo)示范作用,一些剛出現(xiàn)時(shí)的高端攻擊技巧,一段時(shí)間之后,會發(fā)現(xiàn)被普通黑產(chǎn)所采用。比如在精心構(gòu)造的魚叉釣魚郵件附件中使用帶漏洞攻擊或宏代碼攻擊的特殊文檔,利用高危漏洞入侵企業(yè)服務(wù)器系統(tǒng)等。針對企業(yè)的APT攻擊最終會殃及普通網(wǎng)民,2018年典型的攻擊案例之一是黑客團(tuán)伙對驅(qū)動人生公司的定向攻擊,通過控制、篡改服務(wù)器配置,利用正常軟件的升級通道大規(guī)模安裝云控木馬。
騰訊御見威脅情報(bào)中心高級持續(xù)性威脅(APT)研究小組在長期對全球范圍內(nèi)的APT組織進(jìn)行長期深入的跟蹤和分析,我們根據(jù)我們的研究成果以及各大安全廠商的APT攻擊報(bào)告,完成了該份2018年APT研究報(bào)告。
二、APT全球攻擊概況
為了掌握APT攻擊在全球的活動情況,騰訊御見威脅情報(bào)中心的研究團(tuán)隊(duì)針對全球所有安全團(tuán)隊(duì)的安全研究報(bào)告進(jìn)行研究,并提取了相關(guān)的指標(biāo)進(jìn)行持續(xù)的研究和跟蹤工作。我們發(fā)現(xiàn),在2018年全年,我們發(fā)現(xiàn)共有35個(gè)安全機(jī)構(gòu)發(fā)布了208篇APT相關(guān)的研究報(bào)告,涉及個(gè)58個(gè)APT組織。當(dāng)然由于安全公司眾多,監(jiān)測可能有所遺漏,敬請諒解。
經(jīng)過統(tǒng)計(jì),相關(guān)攻擊報(bào)告最多的幾個(gè)APT組織如下(只選取報(bào)告中有明確組織信息的):
針對被攻擊地區(qū)分布,相關(guān)的安全報(bào)告的統(tǒng)計(jì)如下(之選取報(bào)告中有明確的攻擊組織和對象):
由此可以看出,無論是攻擊組織和攻擊報(bào)告數(shù)量,東亞和東南亞都遙遙領(lǐng)先于世界其他地區(qū),是專業(yè)APT組織特別關(guān)注的敏感地域。而由于中東局勢的混亂,針對中東地區(qū)的APT攻擊和組織也相對較多。歐洲和北美則保持精英化的狀態(tài),雖然攻擊組織不多,但是都是實(shí)力雄厚的攻擊組織。
三、針對中國境內(nèi)的APT攻擊
隨著中國在全球化進(jìn)程中影響力的不斷增長,中國政府、企業(yè)及民間機(jī)構(gòu)與世界各國聯(lián)系的不斷增強(qiáng),中國已成為跨國APT組織的重點(diǎn)攻擊目標(biāo)。中國也是世界上受APT攻擊最嚴(yán)重的國家的之一。
1、針對中國境內(nèi)的APT組織分布
至2018年12月底,騰訊御見威脅情報(bào)中心已監(jiān)測到2018年針對中國境內(nèi)目標(biāo)發(fā)動攻擊的境內(nèi)外APT組織至少有7個(gè),且均處于高度活躍狀態(tài)。下表列出部分攻擊組織的相關(guān)活動情況:
2、針對中國境內(nèi)的攻擊的行業(yè)和地域分布
根據(jù)騰訊御見威脅情報(bào)中心的統(tǒng)計(jì)顯示(不含港澳臺地區(qū)):2018年,中國大陸受APT攻擊最多的地區(qū)是遼寧、北京和廣東,其次是湖南、四川、云南、江蘇、上海、浙江、福建等地。詳見下圖(不含港澳臺地區(qū))。
而從行業(yè)上的分布,政府部門依然是APT組織最為關(guān)注的目標(biāo),其次能源、通信、航空、軍工、核等基礎(chǔ)設(shè)施也是重要的攻擊目標(biāo)。而近些年來,金融、貿(mào)易、科研機(jī)構(gòu)、媒體等行業(yè)也逐漸的被一些APT組織列為了攻擊目標(biāo)。
3、針對中國境內(nèi)的重點(diǎn)攻擊活動盤點(diǎn)
1)海蓮花(OceanLotus、APT32)
海蓮花APT組織是一個(gè)長期針對中國及其他東亞、東南亞國家(地區(qū))政府、科研機(jī)構(gòu)、海運(yùn)企業(yè)等領(lǐng)域進(jìn)行攻擊的APT組織。該組織也是針對中國境內(nèi)的最活躍的APT組織之一。2018年該組織多次對中國境內(nèi)的目標(biāo)進(jìn)行了攻擊,騰訊御見威脅情報(bào)中心也多次發(fā)布了該組織的相關(guān)攻擊動向。
海蓮花攻擊組織擅長使用魚叉攻擊和水坑攻擊,NSA的武器庫曝光后,同樣還使用了永恒系列漏洞進(jìn)行了攻擊。除此,投遞的攻擊武器也是種類繁多,RAT包括Denis、CobaltStrike、PHOREAL、salgorea等。
白加黑攻擊
白加黑攻擊是海蓮花組織常用的攻擊方式之一,該組織在今年的攻擊活動中多次使用了該方式。白加黑組合包括dot1xtray.exe+ rastls.dll、SoftManager.exe+dbghelp.dll等。
腳本攻擊
使用bat生成加密的js:
最終在內(nèi)存中調(diào)用loader類,加載最終的由CobaltStrike生成的beacon.dll木馬:
2)DarkHotel(黑店)
DarkHotel(黑店)是一個(gè)被認(rèn)為來自韓國的APT組織(亦有研究團(tuán)隊(duì)認(rèn)為與朝鮮有關(guān)),該組織是近幾年來最活躍的APT組織之一,主要攻擊目標(biāo)為電子行業(yè)、通信行業(yè)的企業(yè)高管及有關(guān)國家政要人物,其攻擊范圍遍布中國、朝鮮、日本、緬甸、俄羅斯等多個(gè)國家。
該組織技術(shù)實(shí)力深厚,在多次攻擊行動中都使用了0day進(jìn)行攻擊,比如今年新曝光的CVE-2018-8174、CVE-2018-8373等。表明該組織實(shí)力雄厚,為達(dá)目標(biāo),不惜代價(jià)。在2018年,該組織也多次針對中國的目標(biāo)進(jìn)行了攻擊活動,如針對中朝貿(mào)易公司的高管、香港某貿(mào)易公司高管等。
該組織的一大特色是喜歡把木馬隱藏在開源的代碼中進(jìn)行偽裝,如putty、openssl、zlib等,把少量木馬代碼隱藏在大量的開源代碼中,從而實(shí)現(xiàn)躲避檢測的目的,因此將被稱為“寄生獸”。
注:2018年12月,大量機(jī)構(gòu)(其中不乏國家要害機(jī)構(gòu))的內(nèi)部系統(tǒng)因采用的某開源代碼設(shè)計(jì)了一個(gè)界面彩蛋而引發(fā)嚴(yán)重風(fēng)波,也證實(shí)許多機(jī)構(gòu)在使用開源代碼時(shí),并未仔細(xì)進(jìn)行代碼審計(jì),從而有可能在引入的開源系統(tǒng)中,混入的有害代碼不被察覺。
針對幾次攻擊活動,騰訊御見威脅情報(bào)中心也進(jìn)行了披露。
如使用msfte.dll和msTracer.dll,來進(jìn)行持久性攻擊,并把下發(fā)的shellcode隱藏在圖片文件中:
DarkHotel(黑店)APT組織用于隱藏惡意代碼的圖片之一
DarkHotel(黑店)APT組織用于隱藏惡意代碼的圖片之二
同時(shí)通過下發(fā)插件的方式,完成相關(guān)的任務(wù):
3)白象(摩訶草、Patchwork)
白象是一個(gè)來自于南亞地區(qū)的境外APT組織,組織主要針對中國、巴基斯坦等亞洲地區(qū)和國家的政府機(jī)構(gòu)、科研教育領(lǐng)域進(jìn)行攻擊。部分基礎(chǔ)設(shè)施和代碼和蔓靈花、孔子重合,這幾個(gè)組織間疑似有千絲萬縷的關(guān)系。
該組織在2018年同樣多次對中國的多個(gè)目標(biāo)進(jìn)行了攻擊活動。該組織同樣使用魚叉攻擊,誘餌文檔帶有強(qiáng)烈的政治意味:
白象APT組織使用的誘餌文檔之一
白象APT組織使用的誘餌文檔之二
最終釋放的特馬為開源的Quasar RAT:
4)蔓靈花(BITTER)
蔓靈花APT組織是一個(gè)長期針對中國、巴基斯坦等國家進(jìn)行攻擊活動的APT組織,該組織主要針對政府、軍工業(yè)、電力、核等單位進(jìn)行攻擊,竊取敏感資料,具有強(qiáng)烈的政治背景。
2018年,騰訊御見威脅情報(bào)中心多次捕捉到了該組織針對中國境內(nèi)多個(gè)目標(biāo)的攻擊活動, 并發(fā)布了分析報(bào)告《蔓靈花(BITTER)APT組織針對中國境內(nèi)政府、軍工、核能等敏感機(jī)構(gòu)的最新攻擊活動報(bào)告》。
該組織主要使用魚叉釣魚進(jìn)行攻擊,投遞偽裝成word圖標(biāo)的自解壓文件:
運(yùn)行后,除了會執(zhí)行惡意文件外,還會打開一個(gè)doc文檔,用于迷惑用戶,讓用戶以為打開的文件就是一個(gè)doc文檔。誘餌文檔內(nèi)容極盡誘惑力:
最終會下發(fā)鍵盤記錄、上傳文件、遠(yuǎn)控等插件,完成資料的竊取工作。
同時(shí)經(jīng)過關(guān)聯(lián)分析,我們還發(fā)現(xiàn)該組織疑似和白象、孔子(confucius)等組織也有千絲萬縷的關(guān)系。該組織的圖譜如下:
5)窮奇&藍(lán)寶菇
窮奇和藍(lán)寶菇疑似來自東亞某地區(qū)的攻擊組織,主要針對中國大陸的政府、軍事、核工業(yè)、科研等敏感機(jī)構(gòu)進(jìn)行攻擊活動。該兩個(gè)組織之間使用的攻擊武器庫有部分重疊,以至于很長一段時(shí)間我們都認(rèn)為是同一個(gè)組織。因此我們猜測,這兩個(gè)組織為同一攻擊團(tuán)隊(duì)的兩個(gè)小組。
藍(lán)寶菇在2018年多次對中國大陸的目標(biāo)進(jìn)行了攻擊,包括上海進(jìn)博會期間的攻擊。
藍(lán)寶菇APT組織使用的誘餌文檔之一
藍(lán)寶菇APT組織使用的誘餌文檔之二
最終的攻擊武器包括bfnet遠(yuǎn)控、竊取文件的powershell腳本等。
四、APT攻擊技術(shù)
1、攻擊方式
魚叉攻擊
2018年,魚叉攻擊依然是APT攻擊的最主要方式,使用魚叉結(jié)合社工類的方式,投遞帶有惡意文件的附件,誘使被攻擊者打開。雖然該方式攻擊成本極低,但是效果卻出人意料的好。這也進(jìn)一步體現(xiàn)了被攻擊目標(biāo)的人員的安全意識亟需加強(qiáng)。從曝光的APT活動來看,2018年使用魚叉攻擊的APT活動比例高達(dá)95%以上。
如DarkHotel(黑店)APT組織針對中國某行業(yè)精心設(shè)計(jì)的釣魚郵件:
水坑攻擊
水坑攻擊也是APT組織常用的攻擊手段,2018年,海蓮花、socketplayer等組織均使用過該攻擊方式。除了插惡意代碼外,攻擊者還會判斷訪問該頁面的訪問者的ip,只有當(dāng)訪問者在攻擊目標(biāo)的ip范圍內(nèi),也會進(jìn)行下一步的攻擊動作,依次來防止誤傷。
如某次海蓮花攻擊,該攻陷網(wǎng)站的某個(gè)js上插入了一段代碼,用于訪問惡意代碼:
遠(yuǎn)程可執(zhí)行漏洞和密碼爆破攻擊
除了魚叉和水坑攻擊,利用遠(yuǎn)程可執(zhí)行漏洞和服務(wù)器口令爆破進(jìn)行攻擊,也成為了一種可選的攻擊方式。如專業(yè)黑客組織針對驅(qū)動人生公司的攻擊,該黑客組織得手后已對普通網(wǎng)民產(chǎn)生極大威脅。
2、攻擊誘餌種類
APT攻擊中,攻擊誘餌種類也是紛繁復(fù)雜,包括如下幾類:
文檔類:主要是office文檔、pdf文檔
腳本類:js腳本、vbs腳本、powershell腳本等
可執(zhí)行文件:一般為經(jīng)過RLO處理過的可執(zhí)行文件、自解壓包
lnk:帶漏洞的(如震網(wǎng)漏洞)和執(zhí)行powershell、cmd等命令的快捷方式
網(wǎng)頁類:html、hta等
其中,以office文檔類誘餌為最多,占80%以上。而office文檔中,payload的加載方式也包括利用漏洞(0day和Nday)、宏、DDE、內(nèi)嵌OLE對象等
宏:在APT攻擊中,使用宏來進(jìn)行攻擊的誘餌,占所有攻擊的誘餌的50%左右
注意工具欄下的宏安全警告
漏洞:構(gòu)造的惡意誘餌中,使用漏洞占比也有40%左右
在office漏洞利用中,攻擊者最愛的依然還是公式編輯器的漏洞。包括CVE-2017-11882、CVE-2018-0802以及比較少見的CVE-2018-0798。此外IE漏洞CVE-2018-8174、CVE-2018-8373,和flash漏洞CVE-2018-4878、CVE-2018-5002、CVE-2018-15982也有APT組織使用,但是并未大規(guī)模使用開來。
DDE:DDE在2018年年初的時(shí)候有過一段火熱期
包括APT28、Gallmaker等APT組織都使用過DDE來進(jìn)行攻擊。
3、APT攻擊的技術(shù)趨勢
1)Fileless攻擊(無文件攻擊)越來越多
隨著各安全廠商對PE文件的檢測和防御能力不斷的增強(qiáng),APT攻擊者越來越多的開始使用無PE文件落地的攻擊方式進(jìn)行攻擊。其主要特點(diǎn)是沒有長期駐留在磁盤的文件、核心payload存放在網(wǎng)絡(luò)或者注冊表中,啟動后通過系統(tǒng)進(jìn)程拉取payload執(zhí)行。
該方式大大增加了客戶端安全軟件基于文件掃描的防御難度。海蓮花、污水(MuddyWater)、APT29、FIN7等攻擊組織都擅長使用該方式進(jìn)行攻擊。
如海蓮花組織事先的通過計(jì)劃任務(wù)執(zhí)行命令,全程無文件落地:
2)C&C存放在公開的社交網(wǎng)站上
通信跟數(shù)據(jù)回傳是APT攻擊鏈中非常重要的環(huán)節(jié),因此如何使得通信的C&C服務(wù)器被防火墻發(fā)現(xiàn)成為了攻擊者的難題。因此,除了注冊迷惑性極強(qiáng)的郁悶、使用DGA、隱蔽信道等方式外,攻擊者把目光集中到了公開的社交網(wǎng)絡(luò)上,如youtube、github、twitter等上。
如某次針對英國和瑞士的攻擊,C&C存放地址:
YouTube:
Twitter:
Wordpress博客:
Google plus:
3)公開或者開源工具的使用
往往,APT組織都有其自己研發(fā)的特定的攻擊武器庫,但是隨著安全廠商對APT組織研究的深入,APT組織開始使用一些公開或者開源的工具來進(jìn)行攻擊,以此來增加溯源以及被發(fā)現(xiàn)的難度。
如SYSCON/KONNI,使用開源的babyface木馬和無界面的teamview(著名遠(yuǎn)程控制工具)來進(jìn)行攻擊:
4)多平臺攻擊和跨平臺攻擊
移動互聯(lián)網(wǎng)的成熟,使得人們已經(jīng)很少在工作之余使用電腦里,因此使用移動端來進(jìn)行攻擊,也越來越被APT攻擊組織使用。此外Mac OS的流行,也是的APT攻擊者也開始對Mac OS平臺進(jìn)行攻擊。
如“人面馬”(APT34)、蔓靈花、Group123、雙尾蝎(APT-C-23)、黃金鼠(APT-C-27)等組織都擅長使用多平臺攻擊。此外黃金鼠(APT-C-27)還使用了在APK中打包了PE文件,運(yùn)行后釋放到移動端外置存儲設(shè)備中的圖片目錄下,從而實(shí)現(xiàn)跨平臺的攻擊:
而除了PC端和移動端,路由器平臺的也稱為了APT組織的攻擊對象,如VPNFilter,已經(jīng)攻擊了10多個(gè)國家的至少50萬臺的路由器設(shè)備。
五、2018年重要的攻擊活動和組織
1、2018年活躍境外APT組織盤點(diǎn)
1)中東
在中東地區(qū)活躍的APT組織包括APT33、APT34(人面馬)、MuddyWater(污水)、黃金鼠等。其中數(shù)MuddyWater(污水)最為活躍。騰訊御見威脅情報(bào)中心也多次曝光過該組織的攻擊活動。
如MuddyWater針對土耳其安全部門的攻擊活動:
該組織的最大特點(diǎn)就是使用了一個(gè)用powershell腳本寫的RAT,并且往往內(nèi)置多個(gè)C&C地址,某次內(nèi)置了500多個(gè)C&C地址。
2)歐洲
針對歐洲地區(qū),活躍的APT組織包括APT28、APT29、Fin7、Turla、Gamaredon Group、Gallmaker等,但其中數(shù)APT28最為活躍。APT28是活躍在歐洲地區(qū)乃至全球的最活躍的APT攻擊組織之一,該組織疑似與俄羅斯情報(bào)機(jī)構(gòu)GRU有關(guān)。
在2018年,該組織異常活躍,尤其是進(jìn)入9月份以來,APT28使用zebrocy特馬對烏克蘭、白俄羅斯、北約等目標(biāo)頻繁的進(jìn)行了攻擊。不僅攻擊頻繁,其特馬的版本也非常多樣,包括C#、delphi、C++、GO、AutoIt等均被使用過。而最終的第二階段特馬,除了之前常用的Xagent、Seduploader外,還出現(xiàn)了名為"Cannon"的特馬,而"Cannon"目前也已經(jīng)發(fā)現(xiàn)了delphi和C#兩個(gè)版本。
如針對白俄羅斯的魚叉攻擊:
3)東亞、東南亞
東亞、東南亞地區(qū)活躍的APT組織眾多,除了海蓮花、白象、蔓靈花、DarkHotel等,還包括Lazarus、Group123(APT37)、SideWinder、Donot Team等組織對朝鮮、韓國、巴基斯坦、印度、越南、柬埔寨、馬來西亞等國家進(jìn)行攻擊。如Group123,2018年針對韓國、日本、越南等國家進(jìn)行了攻擊活動。
4)北美
針對北美的攻擊,有APT28、APT29、Fin7、Lazarus 等,其中Lazarus APT組織是針對美國金融和政府進(jìn)行攻擊的活躍的APT組織。騰訊御見威脅情報(bào)中心也對相關(guān)活動進(jìn)行了披露,如使用Flash漏洞CVE-2018-4878進(jìn)行攻擊活動:
除此,2018年6月,美國司法部還對lazarus的組織成員進(jìn)行了起訴:
2、2018年新被披露的APT組織
1)響尾蛇(SideWinder)
響尾蛇(SideWinder)APT攻擊組織是一個(gè)疑似來自印度的攻擊組織,主要針對巴基斯坦等南亞國家的軍事目標(biāo)進(jìn)行攻擊。該組織的攻擊活多最早可追溯到2012年,但是該組織最早在2018年5月由騰訊御見威脅情報(bào)中心進(jìn)行了公開披露。
某次攻擊活動的攻擊流程圖:
最終會收集相關(guān)計(jì)算機(jī)信息,發(fā)送給C&C服務(wù)器:
2)White Company
該組織針對巴基斯坦的空軍進(jìn)行了代號為"沙欣行動"的APT攻擊活動,該行動和組織最早在2018年11月被cylance公司進(jìn)行了披露。
該組織有極強(qiáng)的技術(shù)能力,還有完善的攻擊武器利用平臺,可以根據(jù)目標(biāo)環(huán)境不同隨時(shí)研發(fā)客制化工具。
該組織所使用的惡意代碼能夠規(guī)避大多數(shù)主流殺毒軟件的檢測,包括Sophos、ESET、Kaspersky、BitDefender、Avira、Avast、AVG和Quickheal。另外,在這場間諜活動中被使用的惡意軟件實(shí)現(xiàn)了至少五種不同的打包技術(shù),為最終的有效載荷提供了極有效的保護(hù)。
3)WindShift
WindShift組織是一個(gè)針對中東地區(qū)的政府部門和關(guān)鍵基礎(chǔ)設(shè)施部門的特定工作人員進(jìn)行攻擊的APT組織,該組織可利用自定義URL Scheme來遠(yuǎn)程感染macOS目標(biāo)。該組織最早在2018年8月的新加坡HITB GSEC會議上由Dark Matter LLC公司的安全研究員進(jìn)行了披露。
該組織攻擊目標(biāo)均位于所謂的海灣合作委員會(GCC)地區(qū),即沙特阿拉伯,科威特,阿聯(lián)酋,卡塔爾,巴林和阿曼。這些目標(biāo)被發(fā)送包含黑客運(yùn)行的網(wǎng)站的鏈接的郵件。一旦目標(biāo)點(diǎn)擊鏈接,且受害者進(jìn)行了交互,則會下載被稱為 WindTale 和 WindTape 的惡意軟件并進(jìn)行感染。
4)Gallmaker
Gallmaker組織是一個(gè)以政府、軍事、國防部門及東歐國家的海外使館為攻擊目標(biāo)的APT組織,該組織至少自2017年12月開始運(yùn)營,最近一次的活動在2018年6月。該組織在在2018年10月由賽門鐵克進(jìn)行了曝光。
該組織最大的特點(diǎn)是使用公開的工具進(jìn)行攻擊,因此來隱藏自己的身份。
如某次攻擊活動:
攻擊成功后,他們就會使用下列公開的攻擊工具:
WindowsRoamingToolsTask:用于調(diào)度PowerShell腳本和任務(wù)
Metasploit的“reverse_tcp”:通過PowerShell來下載該反向shell
WinZip控制臺的合法版本:創(chuàng)建一個(gè)任務(wù)來執(zhí)行命令并與C&C通信,它也可能用于存檔數(shù)據(jù)或者過濾新
Rex PowerShell庫:github上開源的庫,該庫幫助創(chuàng)建和操作PowerShell腳本,以便于Metasploit漏洞一起運(yùn)行
5)Donot Team
Donot Team是針對巴基斯坦等南亞國家進(jìn)行攻擊的APT組織,該組織最早在2018年3月由NetScout公司的ASERT團(tuán)隊(duì)進(jìn)行了披露,隨后國內(nèi)的廠商360也進(jìn)行了披露。
該組織采用魚叉攻擊進(jìn)行攻擊,并且該組織有成熟的惡意代碼框架EHDevel和yty,目前已經(jīng)至少已經(jīng)更新到了4.0版本:
6)Gorgon Group
Gorgon Group是一個(gè)被認(rèn)為來自巴基斯坦的攻擊組織。該組織在8月份由Palo Alto的Unit42團(tuán)隊(duì)進(jìn)行了披露。和其他組織不同的是,該組織最常見的攻擊是針對全球的外貿(mào)人士進(jìn)行攻擊,同騰訊御見威脅情報(bào)中心多次披露的"商貿(mào)信",但是奇怪的是,該組織還發(fā)現(xiàn)針對英國、西班牙、俄羅斯、美國等政府目標(biāo)發(fā)起了攻擊。
針對撒網(wǎng)式的外貿(mào)目標(biāo),主要的文件名包括:
SWIFT {日期}.doc
SWIFT COPY.doc
PURCHASE ORDER {隨機(jī)數(shù)}.doc
DHL_RECEIPT {隨機(jī)數(shù)}.doc
SHIPPING RECEIPT {日期}.doc
Payment Detail.doc 等
而所用的武器庫均為一些商用的RAT,包括:
Azorult
NjRAT
RevengeRAT
LokiBot
RemcosRAT
NanoCoreRAT等
而針對政府的定向攻擊,主要使用一些政治意味強(qiáng)的文件名,如
Rigging in Pakistan Senate.doc
Raw Sect Vikram report on Pak Army Confidential.doc
Afghan Terrorist group report.doc等
3、2018年使用0day進(jìn)行攻擊的APT組織
1)DarkHotel
DarkHotel在2018年多次使用IE 0day漏洞對攻擊目標(biāo)進(jìn)行了攻擊。其中CVE-2018-8174,該漏洞由國內(nèi)的廠商360和國外的卡巴斯基進(jìn)行了披露,而另一個(gè)漏洞CVE-2018-8373則由趨勢科技進(jìn)行了披露。
2)Lazarus
Lazarus使用Flash漏洞CVE-2018-4878針對韓國的目標(biāo)進(jìn)行了攻擊。該在野0day最早被韓國CERT進(jìn)行了披露。
3)BlackTech
BlackTech使用office漏洞CVE-2018-0802針對相關(guān)目標(biāo)進(jìn)行了攻擊,該漏洞是公式編輯器的一個(gè)漏洞,如今已經(jīng)成為攻擊者最愛使用的office漏洞。該漏洞最早由騰訊御見威脅情報(bào)中心進(jìn)行了披露。
4)HackingTeam
HackingTeam在2018年也多次使用了Flash 0day漏洞對相關(guān)目標(biāo)進(jìn)行了攻擊。其中CVE-2018-5002由騰訊御見威脅情報(bào)中心和360以及國外廠商ICEBRG進(jìn)行了披露,另一個(gè)漏洞CVE-2018-15982則由國內(nèi)的廠商360和國外的廠商Gigamom進(jìn)行了披露。
如CVE-2018-5002的攻擊過程:
5)FruityArmor
FruityArmor組織在針對中東的目標(biāo)的時(shí)候也使用了一個(gè)0day CVE-2018-8453在野漏洞,所幸該漏洞只是提權(quán)漏洞,未像遠(yuǎn)程執(zhí)行漏洞一樣造成大的危害。該在野0day由卡巴斯基進(jìn)行了披露。
6)其他
在2018年,還發(fā)生了一件有意思的是,某個(gè)攻擊者在把攻擊樣本上傳到VT進(jìn)行測試的時(shí)候,無意中泄露了兩枚0day。包括pdf漏洞CVE-2018-4990和windows提權(quán)漏洞CVE-2018-8120。該野外0day被ESET進(jìn)行披露。該漏洞還未開始進(jìn)行正式的攻擊活動,就被捕獲并且修補(bǔ),實(shí)在是萬幸。
六、總結(jié)
雖然和平與安全是當(dāng)今世界的主題,但是當(dāng)前全球競爭態(tài)勢下各類沖突不斷發(fā)生,國家間的APT攻擊活動有愈演愈烈之勢。此外也有部分APT組織已經(jīng)開始以經(jīng)濟(jì)利益針對不同的目標(biāo)進(jìn)行了攻擊。
雖然隨著國內(nèi)外各大安全廠商對APT攻擊活動披露的越來越多,也使得之前各大APT組織的相關(guān)攻擊武器失效,攻擊的成本也越來越高,但是,只要存在利益,APT攻擊就不會停止,因此各相關(guān)部門、相關(guān)單位和企業(yè)且不可掉以輕心,必須時(shí)刻以最高的安全意識,應(yīng)對各種不同的網(wǎng)絡(luò)風(fēng)險(xiǎn)和攻擊。
另外,由于APT組織高超的攻擊技巧對普通網(wǎng)絡(luò)黑產(chǎn)起到教科書般的示范作用。剛剛被發(fā)現(xiàn)時(shí)所采用的攻擊技巧一段時(shí)間之后會被普通黑產(chǎn)所采用,從最初針對政府機(jī)關(guān)、高精尖企業(yè)、科研機(jī)構(gòu)的攻擊,演變?yōu)獒槍σ话闫髽I(yè)的網(wǎng)絡(luò)攻擊,對整個(gè)互聯(lián)網(wǎng)的安全體系建設(shè)構(gòu)成新的挑戰(zhàn)。
七、安全建議
1、各大機(jī)關(guān)和企業(yè),以及個(gè)人用戶,及時(shí)修補(bǔ)系統(tǒng)補(bǔ)丁和重要軟件的補(bǔ)丁;
2、提升安全意識,不要打開來歷不明的郵件的附件;除非文檔來源可靠,用途明確,否則不要輕易啟用Office的宏代碼。
3、使用殺毒軟件防御可能得病毒木馬攻擊,對于企業(yè)用戶,推薦使用騰訊御點(diǎn)終端安全管理系統(tǒng)。騰訊御點(diǎn)內(nèi)置全網(wǎng)漏洞修復(fù)和病毒防御功能,可幫助企業(yè)用戶降低病毒木馬入侵風(fēng)險(xiǎn);
4、使用騰訊御界高級威脅檢測系統(tǒng)。御界高級威脅檢測系統(tǒng),是基于騰訊反病毒實(shí)驗(yàn)室的安全能力、依托騰訊在云和端的海量數(shù)據(jù),研發(fā)出的獨(dú)特威脅情報(bào)和惡意檢測模型系統(tǒng)。
八、參考鏈接
1、https://www.symantec.com/blogs/threat-intelligence/gallmaker-attack-group
2、https://unit42.paloaltonetworks.com/unit42-gorgon-group-slithering-nation-state-cybercrime/
3、https://www.welivesecurity.com/2018/11/20/oceanlotus-new-watering-hole-attack-southeast-asia/
4、https://gsec.hitb.org/materials/sg2018/D1%20COMMSEC%20-%20In%20the%20Trails%20of%20WINDSHIFT%20APT%20-%20Taha%20Karim.pdf
5、https://gsec.hitb.org/materials/sg2018/D1%20COMMSEC%20-%20In%20the%20Trails%20of%20WINDSHIFT%20APT%20-%20Taha%20Karim.pdf
6、https://www.welivesecurity.com/2018/05/15/tale-two-zero-days/
7、https://blog.trendmicro.com/trendlabs-security-intelligence/new-cve-2018-8373-exploit-spotted/
來源:騰訊御見
北京市公安局海淀分局備案號:11010802023656號