年終盤點：南亞APT組織“群魔亂舞”，鏈條化攻擊“環環相扣”

(二)“落”於重磅諜報軍工軍貿、政府機關為其重點攻擊物件

當APT的攻擊，源於大國地緣政治上不可調和的矛盾時，其攻擊的具體目標就早已註定。報告顯示，南亞APT組織的攻擊具有明顯的網路諜報傾向，而且以收集軍工軍貿、政府機關、外交機構、基礎設施企業等敏感領域的相關資訊為首要任務。

(三)“始”於滴水不漏的策劃，流程化、鏈條化的攻擊步驟層層深入

對攻擊活動進一步分析發現：單從技術方面上講，這些源自南亞的APT組織好像並沒有什麼稀奇：沒有複雜的技術，沒有高質量的惡意程式碼編碼，同時，在惡意程式碼武器庫和攻擊手法上也沒有多大的改善。但研究員發現這些APT組織流程化、鏈條化、技術化的攻擊步驟，也令人歎為觀止。

(四）“落”於攝人心魄的行動，極擅用社會工程學偽裝誘敵

“偽裝”是軍事上一門重要課程，南亞APT組織可謂學到了其精髓。研究顯示：它們在入侵時，雖然技術有限，但嚴重依賴社會工程學（善於“偽裝釣魚”）。而且，漏洞文件的內容題材豐富多樣，尤其偏愛涉及時政新聞、軍事相關檔案、軍工企業單位等。

再如，以2019年在中國武漢舉辦世界軍人運動會報名表為題材的誘餌文件。

南亞APT組織“群魔共舞”，五大組織個個“兇惡毒辣”

（一）摩訶草：野火燒不盡的“惡性雜草”

對其具體攻擊步驟，拆解而言，分為以下四點：

（二）蔓靈花：一個堪比罌粟的APT組織

蔓靈花，雖名為花但身附巨毒，目標群體一旦被其誘惑，便會步入"劇毒羅網"之中。

報告顯示：2019年，蔓靈花再次將其毒手伸向中國、巴基斯坦以及印巴交界的克什米爾區域，精準滲透黨政幹部、軍工從業人員、赴巴基斯坦留學人員、企業客服人員等具有鮮明軍政背景人群。

該組織攻擊流程，如下圖所示：

1. 偽裝圖示的自解檔案，誘導目標使用者點選並執行自解壓命令。

2. 偽裝成CVE-2018-0798 Word漏洞文件，釋放下載器並執行。漏洞文件內容示意如下：

（三）肚腦蟲：竊取心臟大腦的“寄生蟲”

（四）響尾蛇：“蛻皮”進化最快的APT組織

響尾蛇，其攻擊手法是這些組織中進化非常快的一個。潛伏已長達17年之久，擅長使用office漏洞、HTA指令碼、白加黑、VB木馬等技術發動攻擊，其“毒液”通殺office2003到2016的所有版本，且只需一個製作好的word文件，只要使用者點開，響尾蛇APT組織便可將其一招致命。

（五）Urpage：與多個APT相關聯的“四不像”

Urpage，這是一個特別的南亞APT組織，它的身上有著其他組織的影子。

研究顯示，Urpage與Bahamut使用的部分惡意Android樣本重疊、使用與Confucius相同的Delphi檔案竊取程式、還和Patchwork是使用了同樣的Delphi檔案竊取程式，且其C＆C伺服器與Patchwork小組的常用名稱註冊模式相匹配。

1. 既然APT組織伴隨地緣政治而起，那麼未來，這些攻擊行動還會繼續在相關地域和群體中持續保持活躍狀態；

2. 雖然報告中APT組織當下使用的攻擊技術較為簡單，但我們也發現攻擊者在部分攻擊環節提高技術能力的一些努力，如尋找新的白利用手段、使用JavaScript指令碼在記憶體載入.Net、嘗試對原有惡意程式碼武器庫進行改進。所以，在未來，面對這些攻擊者我們仍不能掉以輕心；

3. 諸多案例已經表明，APT組織善用社會工程學這等方式騙取目標物件的信任，同時，它們還採取“迂迴”、“曲線”的攻擊方式，透過對“薄弱”環節下手，所以，針對網際網路安全防範措施和意識較差的使用者群體或地區，即使是簡單的攻擊行動仍是有效的；這就警戒我們，安全並不是孤立開來的絕對的安全，在萬物互聯的時代下，應以大全觀、全面、動態、相對的視野來看網路安全。

正所謂，不謀萬世者，不足謀一時；不謀全域性者，不足謀一域。守護好網路空間這片星辰大海，應是國家、企業、個人共同聯動的責任。

其他資料補充：

關於360高階威脅應對團隊(360 ATA Team)：

《南亞地區APT組織2019年度攻擊活動總結》

報告連結：http://zt.360.cn/1101061855.php?dtid=1101062514&did=610401913，請點選連結獲取詳細報告。

本文為國際安全智庫作品 （微信公眾號：guoji-anquanzhiku）

如需轉載，請標註文章來源於：國際安全智庫