年終盤點:南亞APT組織“群魔亂舞”,鏈條化攻擊“環環相扣”

國際安全智庫發表於2019-12-27

​潛伏在大國政治與軍事博弈對壘間,它們作為網路攻擊的“最高武士”,長期枕戈待旦,只待一聲軍令下,便要踏平一國山與河。

【導讀】歲末之際,360安全大腦公佈了一份《南亞地區APT組織2019年度攻擊活動總結》,報告顯示:2019年間,南亞次大陸的APT組織不僅處在十分活躍的狀態,同時,它還呈現出強烈的地緣政治傾向、明顯的網路諜報特徵、有計劃有預謀的全鏈條攻擊以及“攻心為上”的喬裝戰術。值得注意是,軍工軍貿、政府機關、外交機構、基礎設施企業,這等重磅級單位企業成其火力全開地攻擊目標,而目目標所屬國度是:中國、巴基斯坦、孟加拉國和斯里蘭卡等。此外,本次報告還聚焦於五大“熱門”APT組織,並披露了這些APT以往從未公開的具體攻擊細節。


南亞——喜馬拉雅山中、西段以南及印度洋之間的廣大地區,印度、巴基斯坦、孟加拉、斯里蘭卡等國均位於此。由於政治及宗教等原因,這片大陸的局勢一直不太穩定。


最為典型的便是印度和巴基斯坦。1947年,印巴分治後,兩國關係一直處於複雜且敵對的狀態。2019年,印巴雙方爆發的一系列軍事衝突將雙方的關係推至冰點。


年終盤點:南亞APT組織“群魔亂舞”,鏈條化攻擊“環環相扣”

在軍事行動前,網路戰這一前鋒早已先行,國家級APT是它們的第一強軍。

然而,偵察與反偵察總是相伴相生。伴隨近年來,南亞APT組織逐步被披露,蔓靈花(BITTER)、摩訶草(HangOver)、響尾蛇(SideWinder)、DoNot(肚腦蟲)、Urpage也“榮登”各國安全機構的“黑名冊”。


2019年,360安全大腦發現源自南亞地區的APT組織又一次處在高頻活躍狀態。在進一步分析中發現:這些APT組織在攻擊原因、攻擊目標、攻擊策略以及攻擊戰術上呈現“環環相扣”四大特徵。此外,報告還聚焦於五大“熱門”APT組織,披露了它們以往從未公開的具體攻擊細節。


南亞APT組織來勢洶洶,四大特徵“環環相扣”?


(一)“起”於地緣政治,大國交鋒博弈推動南亞APT攻擊走向


作為網路攻擊的“黃金御用”手段,APT紅熱高發區也正是全球地緣政治衝突的敏感帶。


多年觀察,源於南亞地區的APT攻擊活動的重點為中國和巴基斯坦。然而,此次報告顯示,2019年,針對巴基斯坦的攻擊活動呈明顯上升趨勢。而今年,印巴炮火連天的政局引發了多方關注。

2018年2月,印度軍隊炮擊克什米爾實控線附近的巴基斯坦哨所,導致巴方人員傷亡。
2018年5月,印巴暫時停止交火,同意落實於2003年達成的停火協議。
2019年2月,印巴對彼此領土內的目標發動空襲。
2019年3月,印巴雙方在邊境地區互相開火炮擊,局勢升級。
2019年8月,印方撤銷克什米爾的特殊地位,印巴在邊境爭議地區再次交火。


(二)“落”於重磅諜報軍工軍貿、政府機關為其重點攻擊物件


當APT的攻擊,源於大國地緣政治上不可調和的矛盾時,其攻擊的具體目標就早已註定。報告顯示,南亞APT組織的攻擊具有明顯的網路諜報傾向,而且以收集軍工軍貿、政府機關、外交機構、基礎設施企業等敏感領域的相關資訊為首要任務。


這裡仍以巴基斯坦為例,其遭受攻擊的具體單位如下:

政府機構:國家反恐局、警察系統、巴基斯坦新聞廣播對外宣傳部、國家資料庫和管理局(NADRA)、巴基斯坦原子能委員會(PAEC)、巴基斯坦科學和工業研究理事會(PCSIR)、巴基斯坦證券交易委員會(SECP)
基礎設施企業:巴基斯坦國家煉油有限公司、巴基斯坦特別通訊組(SCO)、巴基斯坦移動公司(Mobilink)、巴基斯坦電信公司(PTCL)此外,五大APT組織針對目標國家及目標行業,整理如下:

年終盤點:南亞APT組織“群魔亂舞”,鏈條化攻擊“環環相扣”


(三)“始”於滴水不漏的策劃,流程化、鏈條化的攻擊步驟層層深入


對攻擊活動進一步分析發現:單從技術方面上講,這些源自南亞的APT組織好像並沒有什麼稀奇:沒有複雜的技術,沒有高質量的惡意程式碼編碼,同時,在惡意程式碼武器庫和攻擊手法上也沒有多大的改善。但研究員發現這些APT組織流程化、鏈條化、技術化的攻擊步驟,也令人歎為觀止。


“初始入侵、程式碼執行、持久化、命令和控制、任務活動”,這五大“熱門”APT組織在攻擊時,均沿著這一鏈條模式進行,從小心謹慎地層層深入到步步為營地滲透攻擊,每個APT組織都宛如一條潛伏已久、伺機而動的毒蛇,隨時發出致命一擊。每個APT組織在每階段攻擊行為中,所使用的具體攻擊手法總覽表如下:

年終盤點:南亞APT組織“群魔亂舞”,鏈條化攻擊“環環相扣”

然而,在攻擊鏈條中還有一個顯著的現象:攻擊者並未對相關組織機構進行直接的網路攻擊,而是採取了“針對某領域或組織機構下,相關個人進行定向攻擊”的手段。這也是智庫經常提的“迂迴”、“曲線型”攻擊方式。

年終盤點:南亞APT組織“群魔亂舞”,鏈條化攻擊“環環相扣”


(四)“落”於攝人心魄的行動,極擅用社會工程學偽裝誘敵


“偽裝”是軍事上一門重要課程,南亞APT組織可謂學到了其精髓。研究顯示:它們在入侵時,雖然技術有限,但嚴重依賴社會工程學(善於“偽裝釣魚”)。而且,漏洞文件的內容題材豐富多樣,尤其偏愛涉及時政新聞、軍事相關檔案、軍工企業單位等。


如:涉及克什米爾局勢的誘餌文件,內容大意為指責印度增兵克什米爾,這直接加劇了當地局勢緊張的程度。

年終盤點:南亞APT組織“群魔亂舞”,鏈條化攻擊“環環相扣”

再如,以2019年在中國武漢舉辦世界軍人運動會報名表為題材的誘餌文件。


年終盤點:南亞APT組織“群魔亂舞”,鏈條化攻擊“環環相扣”

以國防部國際軍事合作辦公室的名義,發往各國駐華使館武官處的誘餌文件。其他部分文件內容:

年終盤點:南亞APT組織“群魔亂舞”,鏈條化攻擊“環環相扣”


南亞APT組織“群魔共舞”,五大組織個個“凶惡毒辣”


憑藉四大“環環相扣”的特徵,南亞地區的APT組織持續侵擾周邊鄰國。然而,就在眾多共性之中,有五大APT組織憑藉其更為“凶惡毒辣”的特色脫穎而出,智庫將它們總結為“2019南亞APT組織‘邪惡五霸’”。以下我們將對其一一介紹,並逐步披露出市面上未曾公佈的一些攻擊細節。

(一)摩訶草:野火燒不盡的“惡性雜草”


摩訶草,一個至今已活躍9年有餘的APT組織,持續的曝光並沒有停止它攻擊的步伐,反而令其愈發的猖狂,可謂“野火燒不盡”。

報告顯示:目前摩訶草受害者均集中於巴基斯坦境內,其中包括:巴基斯坦空軍相關人員,內政部下屬的國家資料庫和管理局(NADRA)工作人員,核能相關的工作人員(PAEC 巴基斯坦原子能委員會), 科研人員(PCSIR 巴基斯坦科學和工業研究理事會),各類通訊公司和組織工作人員(SCO巴基斯坦特別通訊組、Mobilink巴基斯坦移動公司、PTCL巴基斯坦電信公司)等。其使用的攻擊流程,如下圖所示:

年終盤點:南亞APT組織“群魔亂舞”,鏈條化攻擊“環環相扣”

對其具體攻擊步驟,拆解而言,分為以下四點:


1. 使用題材涉及當前政治局勢的CVE-2017-11882的魚叉文件,誘敵深入。這裡仍以上述公開情報的樣本為例,該文件標題的內容大意為:“印度使克什米爾變成世界上最危險的地方”,這是一個模糊的圖片,圖片提示點選啟用巨集的話,會出現清晰的內容。

年終盤點:南亞APT組織“群魔亂舞”,鏈條化攻擊“環環相扣”

2. 當使用者點選之後,便迅速觸發漏洞,Shellcode將釋放執行Dropper程式。此時,Dropper程式將釋放出3個檔案,其路徑分別為:

年終盤點:南亞APT組織“群魔亂舞”,鏈條化攻擊“環環相扣”

與此同時,Dropper程式會將MsBuild.exe重新命名為MsBuild2.exe。

年終盤點:南亞APT組織“群魔亂舞”,鏈條化攻擊“環環相扣”

隨後啟動java-rmi.exe,其中java-rmi.exe 為正常的JAVA元件,帶有簽名:Oracle America, Inc.。

年終盤點:南亞APT組織“群魔亂舞”,鏈條化攻擊“環環相扣”

值得注意的是,此處java-rmi.exe會預設呼叫JLI.DLL,這種白利用DLL劫持技術與之前摩訶草使用的白利用技術相類似(Fake JLI),只是更新了白利用程式。
3. JLI.DLL為駐留安裝程式,所有的匯出函式最終都會跳轉到為木馬新增開啟啟動項的函式中,並在登錄檔項HKCU\Software\Microsoft\Windows\CurrentVersion\Run下新增項名為WindowsDefender Update的啟動項,路徑指向木馬檔案MsBuild2.exe。

4. 被新增到登錄檔啟動項的後門程式會隨開機自動啟動,該程式與去年360安全大腦報導的後門邏輯完全一致,依舊使用了Github和Feed43進行C&C地址的更新分發。感興趣的讀者可以點選如下連結,進一步閱讀:https://www.freebuf.com/vuls/157694.html。

年終盤點:南亞APT組織“群魔亂舞”,鏈條化攻擊“環環相扣”

(二)蔓靈花:一個堪比罌粟的APT組織


蔓靈花,雖名為花但身附巨毒,目標群體一旦被其誘惑,便會步入"劇毒羅網"之中。


報告顯示:2019年,蔓靈花再次將其毒手伸向中國、巴基斯坦以及印巴交界的克什米爾區域,精準滲透黨政幹部、軍工從業人員、赴巴基斯坦留學人員、企業客服人員等具有鮮明軍政背景人群。


該組織攻擊流程,如下圖所示:


年終盤點:南亞APT組織“群魔亂舞”,鏈條化攻擊“環環相扣”

具體而言,在載荷投遞過程中,蔓靈花主要採取以下方式:

1. 偽裝圖示的自解檔案,誘導目標使用者點選並執行自解壓命令。


年終盤點:南亞APT組織“群魔亂舞”,鏈條化攻擊“環環相扣”

年終盤點:南亞APT組織“群魔亂舞”,鏈條化攻擊“環環相扣”


2. 偽裝成CVE-2018-0798 Word漏洞文件,釋放下載器並執行。漏洞文件內容示意如下:


年終盤點:南亞APT組織“群魔亂舞”,鏈條化攻擊“環環相扣”

年終盤點:南亞APT組織“群魔亂舞”,鏈條化攻擊“環環相扣”


此外,除Windows平臺的惡意程式,蔓靈花還使用了Android 平臺的惡意程式。它主要通過圖示偽裝成正常的APP來誘導使用者下載安裝。目前發現有:偽裝成聊天工具、圖片檢視器,還有偽裝成殺軟的惡意程式。值得關注的是,部分Android平臺的受害者身份與Windows平臺的受害者身份重合。


(三)肚腦蟲:竊取心臟大腦的“寄生蟲”


肚腦蟲,它是一隻潛伏在政府機構中的“寄生蟲”,專門吸取並竊走“宿主”的核心敏感資訊,同時,它也是一個能PC端、移動端雙管齊下的APT組織。360安全大腦2019年監測到:“肚腦蟲”APT組織的目標物件主要分佈在巴基斯坦和斯里蘭卡。就在11月份時,阿富汗駐中國的大使館也被攻擊,其中包括:巴基斯坦新聞廣播對外宣傳部,斯里蘭卡軍方相關人員。其攻擊流程圖,如下:

年終盤點:南亞APT組織“群魔亂舞”,鏈條化攻擊“環環相扣”

南亞APT組織的具體操作行為有些類似,詳情請看文末的報告原文,這裡不再多贅述。需提一句的是,本次攻擊使用的惡意程式碼工具與之前曝光的yty框架基本一致,兩者類比如下表:

年終盤點:南亞APT組織“群魔亂舞”,鏈條化攻擊“環環相扣”


(四)響尾蛇:“蛻皮”進化最快的APT組織


響尾蛇,其攻擊手法是這些組織中進化非常快的一個。潛伏已長達17年之久,擅長使用office漏洞、HTA指令碼、白加黑、VB木馬等技術發動攻擊,其“毒液”通殺office2003到2016的所有版本,且只需一個製作好的word文件,只要使用者點開,響尾蛇APT組織便可將其一招致命。


響尾蛇重點攻擊物件,包括:各國駐華使館(如約旦大使館,阿聯酋大使館等),我國某大型央企集團,孟加拉軍方人員,巴基斯坦政府機構,巴基斯坦證券交易委員會等。2019年,響尾蛇組織攻擊流程圖,如下:

年終盤點:南亞APT組織“群魔亂舞”,鏈條化攻擊“環環相扣”

(五)Urpage:與多個APT相關聯的“四不像”


Urpage,這是一個特別的南亞APT組織,它的身上有著其他組織的影子。


研究顯示,Urpage與Bahamut使用的部分惡意Android樣本重疊、使用與Confucius相同的Delphi檔案竊取程式、還和Patchwork是使用了同樣的Delphi檔案竊取程式,且其C&C伺服器與Patchwork小組的常用名稱註冊模式相匹配。


可以說,Urpage和以上南亞APT組織既相似,又不同,如同“四不像”一樣。2019年,360安全大腦發現一起針對巴基斯坦反恐局(Counter Terrorism Department - CTD)的攻擊行動,其攻擊時間從6月初延續到9月底,此次攻擊正是UrpageAPT組織所為。在該行動中,“Urpage”依舊使用了釣魚Office文件的攻擊方式,使用的漏洞為CVE-2017-11882。與此同時,它使用了兩種語言編寫的Downloader程式,第一類為Delphi編寫的Downloader程式,後一類為VB編寫。Delphi編寫的Downloader程式會在%appdata%\Templets\路徑下建立檔案imhosts.ini,並隨機寫入長度為16的字串。

年終盤點:南亞APT組織“群魔亂舞”,鏈條化攻擊“環環相扣”

該字串之後會被髮往伺服器,並作為RC4 Key來解密伺服器返回的資料。

年終盤點:南亞APT組織“群魔亂舞”,鏈條化攻擊“環環相扣”

隨即,木馬向解密出來的C&C: cyroonline.com/Convenience/indertysduy.php傳送請求,並解密返回的資料。在測試過程中,木馬返回的資料解密後為:juscheck.doc。木馬將接收到的資料與字元%appdata%\Templets拼接,得到路徑%appdata%\Templetsjuscheck.doc。之後,木馬再次傳送請求,解密返回資料並將資料寫入到%appdata%\Templetsjuscheck.doc,然後將字尾名從doc改為exe,通過ShellExecute執行下載的檔案。

年終盤點:南亞APT組織“群魔亂舞”,鏈條化攻擊“環環相扣”

在分析的過程中Delphi Downloader下載執行了VB Downloader。VB downloader與Delphi Downloader相比多了對受害者系統資訊的收集功能,攻擊者可以根據收集到的資訊來判斷是否需要下發後續惡意程式。

2019年,全球APT威脅與攻防日趨白熱化,全球安全報告頻繁披露各APT組織攻擊行動就是有力實證。然而,知曉APT組織只是其一,而重點在於其二:通過這些研究報導,我們能看出什麼?在以後的網路攻防能中,又有哪些有利的價值資訊能為我們所用。透過這份詳盡的《報告》以及歸納的四大特徵、五大APT組織,智庫預判:

1. 既然APT組織伴隨地緣政治而起,那麼未來,這些攻擊行動還會繼續在相關地域和群體中持續保持活躍狀態;

2. 雖然報告中APT組織當下使用的攻擊技術較為簡單,但我們也發現攻擊者在部分攻擊環節提高技術能力的一些努力,如尋找新的白利用手段、使用JavaScript指令碼在記憶體載入.Net、嘗試對原有惡意程式碼武器庫進行改進。所以,在未來,面對這些攻擊者我們仍不能掉以輕心;

3. 諸多案例已經表明,APT組織善用社會工程學這等方式騙取目標物件的信任,同時,它們還採取“迂迴”、“曲線”的攻擊方式,通過對“薄弱”環節下手,所以,針對網際網路安全防範措施和意識較差的使用者群體或地區,即使是簡單的攻擊行動仍是有效的;這就警戒我們,安全並不是孤立開來的絕對的安全,在萬物互聯的時代下,應以大全觀、全面、動態、相對的視野來看網路安全。


正所謂,不謀萬世者,不足謀一時;不謀全域性者,不足謀一域。守護好網路空間這片星辰大海,應是國家、企業、個人共同聯動的責任。


其他資料補充:


關於印巴2019年軍事衝突:2月26日,印度空軍的12架幻影2000戰鬥機飛越克什米爾印巴停火線,對巴基斯坦進行空襲。印度宣稱空襲為報復兩星期前的普爾瓦馬襲擊。27日,雙方在克什米爾地區展開空戰,巴基斯坦方面表示,巴基斯坦空軍在軍事行動中擊落了兩架印軍戰機,兩機分別墜毀在克什米爾巴控區和印控區,並俘虜了一名印度飛行員。印方其後確認,印軍1架米格-21戰鬥機被巴方擊落,1名飛行員被巴軍俘虜,另有1架戰機在克什米爾印控區墜毀。3月4日上午,印巴雙方在邊境地區互相開火炮擊,局勢再次升級。

關於360高階威脅應對團隊(360 ATA Team):

專注於APT攻擊、0day漏洞等高階威脅攻擊的應急響應團隊,團隊主要技術領域包括高階威脅沙盒、0day漏洞探針技術和基於大資料的高階威脅攻擊追蹤溯源。在全球範圍內率先發現捕獲了包括雙殺、噩夢公式、毒針等在內的數十個在野0day漏洞攻擊,獨家披露了多個針對中國的APT組織的高階行動,團隊多人上榜微軟TOP100白帽黑客榜,樹立了360在威脅情報、0day漏洞發現、防禦和處置領域的核心競爭力。

《南亞地區APT組織2019年度攻擊活動總結》

報告連結:http://zt.360.cn/1101061855.php?dtid=1101062514&did=610401913,請點選連結獲取詳細報告。



本文為國際安全智庫作品 (微信公眾號:guoji-anquanzhiku)

如需轉載,請標註文章來源於:國際安全智庫


年終盤點:南亞APT組織“群魔亂舞”,鏈條化攻擊“環環相扣”

相關文章