2019年上半年高階持續性威脅(APT)研究報告

騰訊電腦管家發表於2019-07-24

一、 前言

高階可持續性攻擊,又稱APT攻擊,通常由國家背景的相關攻擊組織進行攻擊的活動。APT攻擊常用於國家間的網路攻擊行動。主要通過向目標計算機投放特種木馬(俗稱特馬),實施竊取國家機密資訊、重要企業的商業資訊、破壞網路基礎設施等活動,具有強烈的政治、經濟目的。


整個2019年上半年,網路攻擊頻發,全球的網路安全形勢不容樂觀。騰訊安全御見威脅情報中心根據團隊自己的研究以及蒐集的國內外同行的攻擊報告,編寫了該份2019年上半年APT攻擊研究報告。根據研究結果,我們認為主要的結論如下:

1、 中國依然是APT攻擊的主要受害國,受到來自於東亞、東南亞、南亞、歐美等各個區域的網路威脅;


2、 網路攻擊形勢跟地域政治局勢有相當密切的關聯,地域安全形勢複雜的地區,往往是APT攻擊最為嚴重和複雜的地區;


3、 APT攻擊不再侷限於竊取敏感材料,攻擊目標開始跟民生相關,如阿根廷、委內瑞拉的大斷電等;


4、 大量的APT攻擊武器庫的洩露,使得網路安全形勢更加嚴峻,如軍用網路武器的民用化等,同時也給安全研究者的追蹤、溯源帶來了一定的困難。


二、 2019年上半年攻擊概覽

2019年上半年來,網路安全大事頻發,APT攻擊也持續高發,為了掌握APT攻擊在全球的活動情況,騰訊安全御見威脅情報中心針對全球所有安全團隊的安全研究報告進行研究,並提取了相關的指標進行持續的研究和跟蹤工作。同時,我們針對相關的研究報告進行了一個梳理和歸納,經過不完全統計,2019年上半年,全球共有42個安全廠商共計釋出了144篇APT攻擊報告,其中有7家中國的的安全廠商釋出了43篇攻擊報告,報告數量同步2018年增長了近5成。由於安全公司眾多,監測可能有所遺漏,敬請諒解。我們也只選取了有具體攻擊活動和明確組織資訊的報告做為統計和比對。

2019年上半年高階持續性威脅(APT)研究報告

國內外主要安全廠商披露APT數量


2019年上半年,國內共有7家安全廠商披露了43篇攻擊報告,共涉及APT攻擊組織26個,其中海蓮花被披露的次數最多,共計7次,其次為汙水(MuddyWater),共計5次。

2019年上半年高階持續性威脅(APT)研究報告

國內安全廠商披露的主要APT組織攻擊事件數量


從被攻擊地域分佈來看,根據騰訊安全御見威脅情報中心的統計顯示(不含港澳臺地區),2019年上半年中國大陸受APT攻擊最多的地區為廣西和北京,此外還有遼寧、雲南、海南、四川、廣東、上海等。詳見下圖(不含港澳臺地區)。

2019年上半年高階持續性威脅(APT)研究報告

2019年上半年中國大陸被APT攻擊的地區分佈圖


而從行業分佈來看,2019年上半年針對中國大陸的攻擊中,主要受攻擊物件包括政府部門、國有企業、科研機構等,具體分佈如下:

2019年上半年高階持續性威脅(APT)研究報告

國內被攻擊目標屬性分佈


三、 中國面臨的APT攻擊形勢

中國曆來都是APT攻擊的主要受害者,隨著中國經濟的快速發展,以及國際地位的不斷攀升,中國面臨的外部威脅形勢更加嚴峻。根據騰訊安全御見威脅情報中心的監測以及公開的報告和資料,我們將在2019年上半年對中國大陸有過攻擊的組織按疑似的地理位置分為東北亞方向、東亞方向、東南亞方向、南亞方向、其他方向。

2019年上半年高階持續性威脅(APT)研究報告

2019年上半年攻擊中國的APT組織地域分佈


3.1 東亞方向的威脅

東亞的威脅主要來自朝鮮半島等地區,此方向組織具有很強的政治背景,常攻擊我國政府、外貿、金融、能源等領域的公司、個人及相關科研單位,該方向黑客組織十分龐大,往往呈集團化運作。最典型的攻擊組織代表就是DarkHotel、Group123(APT37)、Lazarus、窮奇(毒雲藤)等。2019年以來,這幾個典型組織都比較活躍。


3.1.1 DarkHotel

DarkHotel組織旗下的寄生獸長期對我國外貿公司進行持續性攻擊,在2019年上半年再次針對中國的外貿企業進行了攻擊活動。該組織具有強大的木馬開發能力和0day漏洞利用能力,持續與國內主流安全軟體進行安全對抗。新版的寄生獸木馬依然使用寄居在正常的檔案中疑似通過水坑來感染目標系統,與以往不同的是,以前是通過將大量開原始碼加入到木馬工程中編譯以實現隱藏惡意程式碼的目的,今年則出現通過替換正常的軟體檔案來實現劫持的目的,更加隱蔽和難以清理。

2019年上半年高階持續性威脅(APT)研究報告

捆綁有寄生獸木馬的網易郵箱大師程式


感染目標系統後,通過下發惡意外掛的方式,對被控機器進行永續性攻擊,外掛如下:

2019年上半年高階持續性威脅(APT)研究報告

寄生獸下發外掛的功能列表


3.1.2 Group123(APT37)

該組織疑似朝鮮半島某國政府背景,經常攻擊國內的外貿公司、在華外企高管,甚至政府部門。該組織最常使用魚叉釣魚郵件進行定向攻擊,使用Nday或者0day漏洞進行木馬捆綁和偽裝。在拿下目標及其後會嘗試橫向移動以及對根據系統資訊發現定製模組,常使用dropbox等公共網路資源作為C2、中轉、儲存等。2019該組織仍然十分活躍。

2019年上半年高階持續性威脅(APT)研究報告

Group123的攻擊誘餌


2019年上半年高階持續性威脅(APT)研究報告

Group123組織針對特定計算機下發的定製化模組


3.1.3 窮奇(毒雲藤)

窮奇組織是一個對我國持續攻擊時間長達數十年的老牌APT組織,該組織的攻擊活動在2015年左右達到高峰,之後的活動慢慢減少,2019年以來該組織活動減少了很多,攻擊頻次和攻擊範圍都大大縮小,但其依然保持活動,如今年3月份,該組織就使用編號為CVE-2018-20250的WinRAR ACE漏洞向中國大陸數十個重點目標投遞了多個RAT木馬。投遞的RAT木馬核心與3年前的版本相比除了配置資訊外並未發現新的功能性更新,由此也可印證該組織的活躍度確實在下降。

2019年上半年高階持續性威脅(APT)研究報告

窮奇組織的釣魚郵件


2019年上半年高階持續性威脅(APT)研究報告

帶有CVE-2018-20250漏洞的壓縮包附件


2019年上半年高階持續性威脅(APT)研究報告

解壓後釋放的惡意檔案


2019年上半年高階持續性威脅(APT)研究報告

解壓後的正常檔案


3.2 東南亞方向的威脅

東南亞方向的威脅,最典型的代表就是海蓮花(APT32、OceanLotus),該組織是近年來針對中國大陸攻擊最頻繁的組織,甚至沒有之一。其攻擊的目標眾多且廣泛,包括政府部門、大型國企、金融機構、科研機構以及部分重要的私營企業等。該組織攻擊人員非常熟悉我國,對我國的時事、新聞熱點、政府結構等都非常熟悉,如剛出個稅改革時候,就立馬使用個稅改革方案做為攻擊誘餌主題。此外釣魚主題還包括績效、薪酬、工作報告、總結報告等。


2019上半年以來海蓮花組織以更大規模對更廣領域進行持續攻擊,大量國內企業單位目標整個內網淪陷,攻擊方式依舊以使用電子郵件投遞誘餌的方式實施魚叉攻擊為主,投遞的誘餌型別則是多種多樣,有白加黑、lnk、chm、漏洞利用office檔案、WinRAR ACE漏洞檔案、文件圖示的exe等。一旦獲取到一臺機器控制許可權後,立即對整個內網進行掃描平移滲透攻擊。

2019年上半年高階持續性威脅(APT)研究報告

海蓮花的釣魚郵件


2019年上半年高階持續性威脅(APT)研究報告

海蓮花使用的攻擊誘餌


在安全對抗上,海蓮花也表現得十分活躍,其技術更新十分頻繁,且大量針對國內安全軟體。如在啟動方式上,上半年出現了通過修改doc、txt等文件檔案型別關聯程式的方式來實現開機自啟動;通過在資源中新增大量的垃圾資料,充大檔案體積來防檔案上傳;通過com元件來新增登錄檔從而繞過安全軟體主動防禦的技術。

2019年上半年高階持續性威脅(APT)研究報告

在資源中新增大量垃圾資料


2019年上半年高階持續性威脅(APT)研究報告

新增大量垃圾資料後的檔案大小


而在受害機器上的持久化檔案,白加黑依然是海蓮花組織最喜歡用的方式之一,以下是近半年該組織最常用的“白加黑”組合:

2019年上半年高階持續性威脅(APT)研究報告

海蓮花常用的白加黑組合


2019上半年海蓮花出現的另一個顯著的新變化則是對常駐檔案進行機器繫結處理,實現木馬與受害機器繫結,即使用計算機名對木馬payload進行加密,這樣如果樣本被拷貝到其他機器,如分析取證人員的電腦,則無法解密出payload而無法分析樣本具體行為,對於最終的payload,Denis、Cobalt Strike、類gh0st依然是該組織最喜歡使用的RAT,且會根據目標的價值資訊,選擇不同的RAT組合。

2019年上半年高階持續性威脅(APT)研究報告

海蓮花特馬的payload加密結構


2019年上半年高階持續性威脅(APT)研究報告

海蓮花特馬的payload解密流程


3.3 南亞方向的威脅

南亞方向的攻擊組織對中國大陸的攻擊活動已經持續了近10年,代表組織有BITTER(蔓靈花)、白象(摩訶草、Patchwork、HangOver)、Gorgon Group等。而BITTER、白象等組織之間又存在某些相似和關聯,這一點在我們以往的報告中也有所提及。2019年上半年,該方向的組織依然活躍,持續有針對中國政府部門、軍工、核能企業以及外貿、鋼鐵行業進行攻擊的案例。


3.3.1 BITTER(蔓靈花)

BITTER(蔓靈花)也是對中國大陸進行攻擊的比較頻繁的一個攻擊組織,攻擊目標包括外交相關部門、軍工、核能等企業。騰訊安全御見威脅情報中心曾在2018年12月詳細的披露過該組織的攻擊活動和技術細節,以及和白象等組織的關聯關係。2019年上半年該組織的技術特點跟之前的類似,未發現有明顯的改進。

2019年上半年高階持續性威脅(APT)研究報告

蔓靈花的攻擊誘餌檔案


2019年上半年高階持續性威脅(APT)研究報告

蔓靈花的釣魚頁面


3.3.2 白象

白象組織,也叫摩訶草、Patchwork、HangOver,也是經常針對中國大陸進行攻擊的組織,除了中國大陸的目標外,巴基斯坦也是該組織的主要目標。該組織的攻擊活動以竊取敏感資訊為主,最早可以追溯到2009年11月,至今還非常活躍。在針對中國地區的攻擊中,該組織主要針對政府機構、科研教育領域進行攻擊。該組織的常用特馬包括badnews、qrat等。


2019年上半年,雖然該組織頻繁的針對巴基斯坦、孟加拉等目標進行了攻擊活動,但是針對中國大陸的攻擊相對比較平靜。但是我們也有發現該組織旗下的badnews特馬所使用的github等公共平臺的配置的C2在2019年也進行了頻繁的更新。

2019年上半年高階持續性威脅(APT)研究報告

白象的badnews特馬所配置C&C的頁面


可以看到,真正的C&C地址,使用的是拼音,很有中國特色:

2019年上半年高階持續性威脅(APT)研究報告

白象的badnews特馬C&C通訊包


2019年上半年高階持續性威脅(APT)研究報告

badnews特馬的命令號和功能


3.3.3 Gorgon Group

Gorgon Group是一個比較特殊的攻擊組織,該組織主要針對包括中國在內的全球外貿人士進行攻擊,行為類似於騰訊安全御見威脅情報中心多次披露的"商貿信"。但是特別的是,Gorgon Group還被發現有針對英國、西班牙、俄羅斯、美國等政治目標發起過定向攻擊。該組織最早在2018年8月份由Palo Alto的Unit42團隊進行了披露。


該組織主要的武器庫為一些公開的商用的RAT木馬,包括Azorult RAT、Revenge RAT、NjRAT、Lokibot等。同時該組織還喜歡使用Bitly短域名,以及使用公開的blog和臨時分享文字站點pastebin來儲存攻擊程式碼。


2019年上半年,該組織依然持續的對全球的外貿人士進行了攻擊,當然中國的外貿人士也包含在內。主題包括訂單、邀請函、快遞等等。

2019年上半年高階持續性威脅(APT)研究報告

使用pastebin儲存攻擊程式碼


2019年上半年高階持續性威脅(APT)研究報告

使用blogspot儲存攻擊程式碼


3.4 其他方向的威脅

其他方向的威脅主要來自歐美國家,典型代表如方程式、Turla等。其中方程式組織被曝光於2015年初,其活動時間最早可追溯至2001年,在2017年時,該組織被Shadow Brokers(影子經紀人)組織黑吃黑攻陷,幾乎全部資料外洩。從曝光的材料來看其擁有強大的漏洞利用能力,且多個0day漏洞已使用數年之久,包括後來被WannaCry木馬利用的“永恆之藍”漏洞都是出自該組織之手,根據曝光的資訊,中國有大量的重要目標被該組織貢獻,總數位列所有被攻擊國家之首。該組織的攻擊方式大多從重要目標防火牆、路由器等入手,通過漏洞層層植入木馬,技術手段十分高超,因此長時間未被發現。從方程式被曝光之後,該組織未被發現有新的活動跡象,可能是該組織另起爐灶,完全使用新的木馬進行攻擊,也可能是使用更先進的技術使得自己更加隱蔽,我們也在持續挖掘很跟進中。

可以看到,被方程式組織攻陷的目標,位於中國的最多:

2019年上半年高階持續性威脅(APT)研究報告

方程式攻擊目標釋出


而APT28、Turla組織被認為具有俄羅斯政府背景,其攻擊目標以政治目的為主,有攻擊國內目標的歷史,但是在2019年上半年未發現其針對我們的活動跡象。因此不再具體描述。


四、 國際APT攻擊形勢

高階持續性威脅(APT)被認為是地緣政治的延伸,甚至是戰爭和衝突的一部分,APT的活躍趨勢也跟地緣政治等全球熱點密切相關,全球APT攻擊高發區域也是全球地緣政治衝突的敏感地域。2019年以來,國際形勢瞬息萬變且複雜,好多地區甚至都在戰爭的邊緣,如美伊、印巴、委內瑞拉等。跟根據我們對2019年上半年APT攻擊活動的分析,這些高危地區也恰恰是APT攻擊活動的主要活躍地帶。從而可知,網路戰也慢慢變成國家間的政治博弈甚至是現代戰爭的重要部分。


跟之前的年度報告一樣,我們依然把針對全球的威脅根據攻擊組織的歸屬地,分幾個重點的區域來進行描述,具體如下:

2019年上半年高階持續性威脅(APT)研究報告

根據地域分佈的全球威脅概況


4.1 東亞地區

東亞地區的威脅主要來自朝鮮半島,雖然從2018年開始,半島關係開始緩和,但是網路攻擊並未停止腳步。主要的代表包括Hermit、Group123、Lazarus等。


4.1.1 Hermit和Kimsuky

Hermit攻擊活動主要針對區塊鏈、數字貨幣、金融目標等,但是我們也發現了同樣針對朝鮮相關的外交實體的一些攻擊活動。該組織的攻擊活動騰訊安全御見威脅情報中心曾在2018年下半年進行了詳細的披露,在2019年上半年我們同樣捕捉到了該組織的多次攻擊活動,同樣釋出了詳細的攻擊報告。


該組織旗下的特馬包括SYSCON/Sandy、KONNI等。而根據國外的安全公司ESTsecurity的報告,該組織跟另一個攻擊組織Kimsuky組織有一定的關聯。

2019年上半年高階持續性威脅(APT)研究報告

KONNI和Kimsuky的程式碼流程示意圖(引用自ESTsecurity報告)


該組織2019年上半年的新活動,跟之前的活動相比,技術手段類似,但是也有一定的更新,如通過下載新的doc文件來完成後續的攻擊以及使用AMADEY家族的木馬。而最終目標依然為執行開源的babyface遠控木馬。此外,傳統的Syscon/Sandy家族的後門木馬也依然活躍。

2019年上半年高階持續性威脅(APT)研究報告

2019年上半年Hermit活動的釣魚誘餌文件


2019年上半年高階持續性威脅(APT)研究報告

2019年上半年Hermit活動的釣魚誘餌文件


2019年上半年高階持續性威脅(APT)研究報告

2019年上半年Hermit活動所使用的後門AMADEY後臺


而同樣Kimsuky也是2019年上半年在半島地區活動異常頻繁的攻擊組織,該組織的攻擊物件主要是跟朝鮮相關的政治目標,而釣魚誘餌往往是當前的政治熱點內容。攻擊誘餌有很大一部分是hwp文件。

2019年上半年高階持續性威脅(APT)研究報告

Kimsuky的攻擊誘餌資訊(引用自ESTsecurity報告)


2019年上半年高階持續性威脅(APT)研究報告

Kimsuky某次攻擊活動的攻擊流程圖(引用自ESTsecurity報告)


4.1.2 Lazarus

Lazarus組織被認為是朝鮮最著名的攻擊組織,該組織被認為是攻擊索尼公司、孟加拉國銀行等攻擊活動的幕後黑手,甚至連震驚全球的Wanacry勒索病毒事件也被認為是該組織所為。


近些年來,該組織主要目標包括金融公司、虛擬貨幣交易所等目標。而在2019年上半年,該組織就對新加坡的DragonEx交易所、OKEX交易所等目標進行了攻擊活動。

2019年上半年高階持續性威脅(APT)研究報告

GragonEX交易所釋出的攻擊公告


4.2 南亞地區

南亞地區的威脅,主要集中在印巴之間。而印巴之間的關係一直以來都比較緊張,在過去的多年,圍繞克什米爾地區,衝突不斷。進入2019年來,衝突持續升級。


隨著政治上的關係惡化,該地區的網路戰在同時期也進入了一個高潮。代表組織主要有BITTER(蔓靈花)、白象、Donot(肚腦蟲)、SideWinder(響尾蛇)、TransparentTribe等。


4.2.1 SideWinder(響尾蛇)

SideWinder(響尾蛇)為疑似來自印度的 APT 攻擊組織,該組織持續針對巴基斯坦等南亞國家的軍事目標進行了定向攻擊。該組織最早被騰訊安全御見威脅情報中心在2018年進行了披露,而根據騰訊安全御見威脅情報中心對該組織的攻擊溯源結果來看,該組織的最早的攻擊活動可以追溯到 2012 年。而在2019年2月,騰訊安全御見威脅情報中心再次詳細披露了該組織的一些攻擊活動。


在2019年上半年,該組織的攻擊活動也並未停止,相反還比較活躍。但是技術上並未有太大的改變,相關的攻擊技術細節可以參考騰訊安全御見威脅情報中心之前的詳細分析報告。

2019年上半年高階持續性威脅(APT)研究報告

SideWinder的釣魚郵件


2019年上半年高階持續性威脅(APT)研究報告

SideWinder的釣魚誘餌內容


該組織的特馬主要採用VB編寫,後門功能包括收集使用者資訊、記錄鍵盤和滑鼠的操作等。並且使用白加黑的手段來進行載入。如常用的:

2019年上半年高階持續性威脅(APT)研究報告

SideWinder組織常用的白加黑組合


2019年上半年高階持續性威脅(APT)研究報告

SideWinder組織常用的VB後門程式碼框架


4.2.2 白象

白象主要攻擊巴基斯坦的政府部門、科研機構等。2019年上半年頻繁的針對巴基斯坦的目標進行了攻擊。騰訊安全御見威脅情報中心也披露了白象的攻擊活動。

2019年上半年高階持續性威脅(APT)研究報告

白象的攻擊誘餌


2019年上半年高階持續性威脅(APT)研究報告

白象的攻擊誘餌內容翻譯


2019年上半年高階持續性威脅(APT)研究報告

儲存受害者資訊的FTP地址


此外,白象還頻繁的使用badnews後門對巴基斯坦的目標進行了攻擊活動:

2019年上半年高階持續性威脅(APT)研究報告

白象的攻擊誘餌


2019年上半年高階持續性威脅(APT)研究報告

白象的攻擊誘餌


2019年上半年高階持續性威脅(APT)研究報告

github上儲存C&C資訊的頁面


4.2.3 Donot(肚腦蟲)

Donot Team是2018年被曝光的APT攻擊組織,最早在2018年3月由NetScout公司的ASERT團隊進行了披露,隨後國內的廠商360也進行了披露。該組織主要針對巴基斯坦進行攻擊活動。


2019年上半年該組織也相當活躍,對巴基斯坦的目標進行了多次的攻擊活動:

2019年上半年高階持續性威脅(APT)研究報告

Donot Team的攻擊誘餌


2019年上半年高階持續性威脅(APT)研究報告

Donot Team的攻擊誘餌執行的bat內容


除了擁有PC端上的攻擊能力,該組織同樣擁有移動端的攻擊能力:

2019年上半年高階持續性威脅(APT)研究報告

Donot Team的安卓木馬的流程(引用自奇安信部落格的分析)


4.2.4 TransparentTribe

TransparentTribe APT組織,又稱ProjectM、C-Major,是一個來自巴基斯坦的APT攻擊組織,主要目標是針對印度政府、軍事目標等。該組織的活動最早可以追溯到2012年。該組織的相關活動在2016年3月被proofpoint披露,趨勢科技隨後也跟進進行了相關活動的披露。


2019年上半年,該組織也對相關目標進行了多次攻擊活動:

2019年上半年高階持續性威脅(APT)研究報告

TransparentTribe的攻擊誘餌


2019年上半年高階持續性威脅(APT)研究報告

TransparentTribe組織的TTPs整理


而經過騰訊安全御見威脅情報中心的資料溯源,該組織疑似跟巴基斯坦另外一個組織Gorgon Group有一定的關聯:

2019年上半年高階持續性威脅(APT)研究報告

TransparentTribe和Gorgon關聯示意圖


4.3 中東地區

中東地區向來是世界局勢的火藥桶,該地區是世界上政治最複雜的地區。此外,大量的恐怖襲擊、區域性衝突等也在此地區大量的出現。隨之而來的是,該區域的網路安全形勢也非常複雜和嚴峻,是整個2019年上半年,網路攻擊最頻繁、最為熱鬧的地區。


該地區的攻擊組織力量主要以伊朗的攻擊組織為主,包括MuddyWater、APT34、DarkHydrus等。


4.3.1 MuddyWater

MuddyWater(汙水)APT組織是2019年上半年曝光度最高的APT組織,也是2019年上半年全球最活躍的APT攻擊組織,國內外多家安全公司都曝光過該組織的一些攻擊行動,安全社群裡也有大量的安全研究人員討論該組織攻擊活動。騰訊安全御見威脅情報中心也多次曝光過MuddyWater組織的攻擊活動。


MuddyWater組織是一個疑似來自伊朗的攻擊組織,該組織的攻擊目標主要集中在中東地區以及包括塔吉克、白俄羅斯等在內的前蘇聯國家,攻擊的物件主要集中在外交部、國防部等政府部門。


MuddyWater組織偏愛使用採用模糊顯示以及巨集程式碼載入的誘餌檔案。並在2019年更新了其攻擊TTPs,如巨集程式碼拼接內建硬編碼字串寫入VBE;利用登錄檔,自啟動資料夾啟動VBE等,此外在受害者選擇上也更為精確,通過第一階段後門反饋的受害者資訊挑選目標進行下一步持久化等。

2019年上半年高階持續性威脅(APT)研究報告

MuddyWater針對塔吉克攻擊的誘餌文件


2019年上半年高階持續性威脅(APT)研究報告

MuddyWater組織的BlackWater的攻擊活動


2019年上半年高階持續性威脅(APT)研究報告

MuddyWater組織使用的powershell後門


而令人意外的是,2019年5月初,有人在telegram上售賣MuddyWater早期的C&C服務端的程式碼,隨後被洩露。而該資訊跟2019年4月趨勢科技關於MuddyWater的報告中提到的他們監控到該組織在telegram洩露了C&C服務端原始碼和受害者資訊相吻合。

2019年上半年高階持續性威脅(APT)研究報告

在telegram上售賣的MuddyWater服務端原始碼


2019年上半年高階持續性威脅(APT)研究報告

MuddyWater服務端執行後介面


4.3.2 APT34

APT34,又被成為OilRig,同樣是被認為是來自伊朗的APT攻擊組織。跟MuddyWater一樣,在2019年上半年,APT34所使用的攻擊工具,也被黑客洩露。該洩露事件雖然未引起像之前Shadow Brokers(影子經紀人)洩露NSA工具包那樣來的轟動,但是也在安全界引起了不少的關注和討論。

2019年上半年高階持續性威脅(APT)研究報告

APT34的工具包的完整檔案目錄


可以看到,裡面的被攻擊目標包括阿聯酋、科威特、約旦等。此外工具包裡還包括了一份webshell列表,其中也包括多箇中國網站的webshell:

2019年上半年高階持續性威脅(APT)研究報告

APT34的工具包裡洩露的webshell列表


4.4 歐洲地區

該地區主要以東歐的攻擊組織為代表,如APT28、Turla、Gamaredon等。而2019年上半年,這些攻擊組織也主要圍繞以烏克蘭為主的東歐地區開展了網路攻擊活動。


4.4.1 Gamaredon

Gamaredon group是2017年第一次被披露的一個疑似俄羅斯政府背景的黑客組織,其活動最早可追溯至2013年。該組織常年攻擊烏克蘭政府、國防、軍隊等單位。2019年以來,我們又陸續發現了大量針對烏克蘭政府部門的魚叉攻擊惡意郵件,誘餌檔案內容主要包括烏克蘭議會、法院調查檔案、克里米亞等時政熱點問題。

2019年上半年高階持續性威脅(APT)研究報告

Gamaredon組織的釣魚攻擊郵件


2019年上半年高階持續性威脅(APT)研究報告

Gamaredon組織的釣魚攻擊誘餌內容


4.4.2 APT28

我們在2018年的年終報告裡提到了APT28是2018年最為活躍的攻擊組織。而在2019年上半年,該組織的攻擊活動相比2018年有所減少,但是依然相當活躍,併發起了多次的攻擊活動。如2019年3月,該組織使用0day漏洞攻擊了烏克蘭政府,疑似試圖干預烏克蘭大選。

2019年上半年高階持續性威脅(APT)研究報告

APT28組織所使用的攻擊誘餌文件


而該組織的攻擊武器庫也非常強大,使用的語言也非常豐富,包括delphi、C#、C++、GO語言等。

4.4.3 Turla

Turla,又名Snake,Uroburos,Waterbug,被認為是來自俄羅斯的APT攻擊組織,該組織從2007年開始活躍至今。該組織的攻擊目標包括歐盟的一些政府目標,如外交實體,也包括一些私營企業。


在2019年上半年,國外安全公司ESET曝光率該組織使用新的powershell武器針對東歐的外交實體進行了攻擊活動。

2019年上半年高階持續性威脅(APT)研究報告

Turla的攻擊目標(引用ESET關於Turla的報告)


2019年上半年高階持續性威脅(APT)研究報告

Turla的攻擊流程示意圖(引用ESET關於Turla的報告)


五、 威脅變化趨勢及未來預測

5.1 網路攻擊民生化

隨著基礎設施的智慧化,給了通過網路攻擊破壞電力、交通、能源等領域的能力。而2017年的烏克蘭大停電被烏克蘭安全部門確認為是一起針對電力公司的網路惡意攻擊事件,攻擊者是APT組織BlackEnergy。而2019年南美洲的委內瑞拉大停電也被認為可能是黑客攻擊導致,近期南美洲的阿根廷、烏拉圭也相繼發生全國性大規模停電,其背後可能也與電力公司遭遇網路攻擊相關。隨著數字化智慧化的普及,未來在交通、能源、通訊等各個領域都可能遭遇APT攻擊威脅,影響大規模民生的系統都應在網路安全上早做防備。


5.2 網路攻擊軍事化

伊朗擊落無人機,美伊網路戰,近日,中東局勢的惡化,美國無人機在偵查時被伊朗導彈擊落,隨後美國發動網路攻擊進行報復,據悉網路攻擊由美國網路司令部發起,伊朗的導彈控制系統也成為美方攻擊的目標,這些攻擊意在迴應針對油輪的攻擊以及美國無人機被擊落的事件,隨著戰場無人化的發展,可以預見的未來網路攻擊的軍事屬性會越來越強。


5.3 APT武器民用化

席捲全球的 Wannacry 勒索軟體事件還記憶猶新,該木馬最核心的部分為當年洩漏不久的網路核武庫“永恆之藍”漏洞,該漏洞原本由方程式組織使用多年,但因為方程式組織被Shadow Brokers組織攻擊導致包括多個0day漏洞在內的資料全部外洩,從而導致原本軍工級的網路武器被被用於攻擊平民,造成了嚴重的危害,而這種事情一直都在發生:

2019年上半年高階持續性威脅(APT)研究報告

近些年來的APT武器庫的洩露情況


而APT攻擊武器的洩露,也導致了APT武器的民用化,如大量的殭屍網路使用“永恆之藍”漏洞進行傳播。


5.4 攻擊溯源複雜化

APT組織之間互相偽裝,通過程式碼和基礎設施都難以確定組織歸屬,部分組織尤其是朝鮮半島的APT組織之間互相偽裝,特意在自己的程式碼中加入對方木馬的特徵,以迷惑對方及安全分析人員,而公共基礎設施的利用,如SYSCON使用免費FTP作為C&C伺服器,Group123組織使用dropbox作為C&C伺服器,而使用CDN作為C&C流量中轉的攻擊也已經出現。


隨著各國對網路安全越來越重視,未來攻擊者可能會花費更多的精力在自己身份的隱藏和偽裝上,這樣會給威脅溯源增加更大的困難。


5.5 APT威脅往移動端擴散

隨著移動網際網路的普及,越來越多的機密載體轉移到了移動裝置中,2019年,多個APT組織的移動端木馬相繼被發現和披露,包括海蓮花、donot Team都已經使用了Android的惡意程式等。高階持續威脅不再限於計算機,未來如智慧路由等可能陸續成為APT攻擊的目標和持久化的宿主。


六、 總結

2019年被稱作5G元年,我們的網路正朝著多元化、寬頻化、綜合化、智慧化的方向發展,越來越多的裝置、越來越多的資訊接入到了網際網路中,即將開啟一個萬物互聯的大時代,國家之間的APT與反APT的無硝煙戰爭將會更加頻繁,更加激烈。沒有網路安全就沒有國家安全將會體現得淋漓盡致。


七、 安全建議

1、 各大機關和企業,以及個人使用者,及時修補系統補丁和重要軟體的補丁,尤其是最新APT常用漏洞CVE-2018-20250以及最近高危漏洞CVE-2019-0708漏洞補丁;


2、 提升安全意識,不要開啟來歷不明的郵件的附件;除非文件來源可靠,用途明確,否則不要輕易啟用Office的巨集程式碼;


3、 使用防毒軟體防禦可能得病毒木馬攻擊,對於企業使用者,推薦使用騰訊御點終端安全管理系統。騰訊御點內建全網漏洞修復和病毒防禦功能,可幫助企業使用者降低病毒木馬入侵風險;

2019年上半年高階持續性威脅(APT)研究報告

騰訊御點終端安全產品圖


4、 使用網路防火牆等產品,推薦使用騰訊御界高階威脅檢測系統。御界高階威脅檢測系統,是基於騰訊反病毒實驗室的安全能力、依託騰訊在雲和端的海量資料,研發出的獨特威脅情報和惡意檢測模型系統,可快速檢測、發現可疑APT組織的攻擊行動。

2019年上半年高階持續性威脅(APT)研究報告

騰訊御界高階威脅監測系統介面


八、 附錄

8.1 附錄1:騰訊安全御見威脅情報中心

騰訊安全御見威脅情報中心,是一個涵蓋全球多維資料的情報分析、威脅預警分析平臺。依託騰訊安全在海量安全大資料上的優勢,通過機器學習、頂尖安全專家團隊支撐等方法,產生包括高階持續性攻擊(APT)在內的大量安全威脅情報,幫助安全分析人員快速、準確對可疑事件進行預警、溯源分析。


騰訊安全御見威脅情報中心公眾號自開號以來,釋出了大量的威脅分析報告,包括不定期公開的針對中國大陸目標的APT攻擊報告,無論是分析報告的數量上還是分析報告的質量上,都處於業界領先水平,受到了大量客戶和安全專家的好評,同時釋出的情報也經常被政府機關做為安全預警進行公告。


以下是騰訊安全御見威脅情報中心公眾號的二維碼,關注請掃描二維碼:

2019年上半年高階持續性威脅(APT)研究報告


8.2 附錄2:參考連結

1、 https://blog.alyac.co.kr/2347?category=957259

2、 https://blog.alyac.co.kr/2243?category=957259

3、 https://www.secrss.com/articles/9511

4、 https://mp.weixin.qq.com/s/K3Uts9Cb65L-2scf2XoFcg

5、 https://ti.qianxin.com/blog/articles/stealjob-new-android-malware-used-by-donot-apt-group/

6、 https://documents.trendmicro.com/assets/white_papers/wp_new_muddywater_findings_uncovered.pdf

7、 https://www.welivesecurity.com/wp-content/uploads/2019/05/ESET-LightNeuron.pdf

8、 https://blog.talosintelligence.com/2019/05/recent-muddywater-associated-blackwater.html

9、 https://blog.yoroi.company/research/the-russian-shadow-in-eastern-europe-a-month-later/

10、 https://unit42.paloaltonetworks.com/new-babyshark-malware-targets-u-s-national-security-think-tanks/

11、 https://securelist.com/cryptocurrency-businesses-still-being-targeted-by-lazarus/90019/

相關文章