中国周边国家对华APT攻击情况

2019年是不平静的一年,网络空间对抗与博弈、国家背景的APT活动有着更加明显的网络战争趋势,呈现地缘政治特征的国家背景黑客组织发动的APT攻击,穿插在现实国家政治和军事博弈过程中,网络空间威胁或已成为各国情报机构和军事行动达到其情报获取或破坏目的所依赖的重要手段之一。境外APT组织对我国党政机关和关键基础设施攻击从未停止,对我国网络安全造成严重威胁。今年以来,以下周边国家和地区的APT组织疑似对中国发动网络攻击,我们对部分APT组织做出简析。

一、海莲花(APT32)

该组织多次被境内外网络安全公司披露疑似有越南背景,今年对中国发动的网络攻击频率最高,成功攻破多个中国重要部门的终端主机。海莲花攻击特点是擅长钓鱼邮件攻击,通过外交部邮箱账号为跳板,窃取重要部门的敏感信息。海莲花最初主要以中国政府、科研院所、海事机构等行业领域实施攻击,这也与当时的南海局势有关。但在近年来的攻击活动中,其目标地域延伸至柬埔寨、菲律宾、越南等东南亚其他国家,而其针对中国境内的APT攻击中,也出现了针对境内高校和金融投资机构的攻击活动。海莲花擅长与将定制化的公开攻击工具和技术和自定制恶意代码相结合,例如Cobalt Strike和fingerprintjs2是其常用的攻击武器之一。经过多年的发展,海莲花形成了非常成熟的攻击战术技术特征,并擅长于利用多层shellcode和脚本化语言混淆其攻击载荷来逃避终端威胁检测,往往能够达到较好的攻击效果。

公开资料显示,2019年上半年,国内某网络安全公司检测到海莲花针对中国大陆的政府、海事机构、商务部门、研究机构的攻击活动,且该组织还在不断地更新他们的攻击武器库,如钓鱼的诱饵形式、payload的加载、横向移动等。海莲花针对不同的机器下发不同的恶意模块,使得即便恶意文件被安全厂商捕捉到,也因为无相关机器特征而无法解密最终的payload,无法知晓后续的相关活动。

1. 技术分析

从攻击方式分析,海莲花恶意文件投递的方式依然是最常用的鱼叉攻击的方式,钓鱼关键字包括“干部培训”、“绩效”、“工作方向”、“纪检监察”等;从诱饵类型分析,2019年上半年海莲花投递的恶意诱饵类型众多,包括白加黑、lnk、doc文档、带有WinRAR ACE(CVE-2018-20250)漏洞的压缩包等;从恶意文件植入分析,海莲花会在所有的投递的压缩包里都存放一个恶意的lnk,但是所有的lnk文件都类似(执行的地址不同,但是内容一致),lnk文件的图标伪装成word图标;从下发文件分析,在攻击者攻陷机器后,还会持续对受控机进行攻击,例如会通过脚本释放新的与该机器绑定木马,此木马主要通过两种加载器实现只能在该机器上运行,加载器也是使用白加黑技术,如使用googleupdate.exe+goopdate.dll;从提权和横向移动分析,海莲花还会不断对被攻击的内网进行横向移动,以此来渗透到更多的机器,例如利用nbt.exe扫描内网网段,其可能通过收集凭据信息或暴力破解内网网络共享的用户和密码。

2. 攻击者分析

从攻击者的钓鱼邮件名称来看,攻击者均采用了免费邮箱126.com和163.com,邮件名格式都采用名字+数字的形式,名字存在一定的中国特色。再有,其注册的C&C域名,如cloud.360cn.info、chinaport.org、dns.chinanews.network等也带有明显的中国特色。由此可见,攻击者对中国的国情和相关信息也有非常多的了解。

二、蔓灵花(BITTER)、白象(摩诃草)

这些组织重点对我党政机关与“一带一路”建设有关的部门开展网络攻击,目标直指中国外交部等部门,中巴合作相关信息是其关注的重点,被怀疑有印度背景。蔓灵花和白象组织都是一个长期针对中国、巴基斯坦等国家进行攻击活动的APT组织,活跃程度很高。蔓灵花主要针对外交相关部门、军工、核能等企业进行攻击,窃取敏感资料,具有强烈的政治背景。从历史活动来看,其向重要人士投递钓鱼邮件、伪造敏感单位网页,甚至攻击政府网站并在政府网站上挂载木马,攻击手法多变,多以渗透配合钓鱼攻击为主;白象组织则针对政府机构、科研教育领域进行攻击,该组织的常用特马包括badnews、qrat等。这几年来这些组织所用工具和手法有相似和重叠的迹象,但也出现了分化,趋向于形成多个规模不大的小型攻击团伙的趋势,但它们具备一些共性:

1. 同时具备攻击PC和智能手机平台能力;

2. 中国和巴基斯坦是主要的攻击目标;

3. 政府、军事目标是其攻击的主要目标,并且投放的诱饵文档大多也围绕该类热点新闻,如克什米尔问题。

蔓灵花今年被发现疑似对中国发动网络攻击,国内网络安全公司于5月发现该组织冒充中华人民共和国外交部电子邮件服务的登录页面。当访问者尝试登录到欺诈页面时,会向他们显示一条弹出验证消息,要求用户关闭其窗口并继续浏览。类似的冒充网站大约还有40个,所有站点都疑似针对中国政府和中国的其他组织机构,主要是在线邮件登录或包含账号验证的主题网站。被发现的冒充网站有中航核进出口有限公司电子邮件登录系统、国家发展改革委互联网电子邮件登录系统和中华人民共和国商务部电子邮件登录系统等。

今年上半年,虽然白象频繁针对巴基斯坦、孟加拉等目标进行了攻击活动,但是针对中国大陆的攻击相对比较平静,国内网络安全公司发现白象旗下的badnews特马所使用的github等公共平台配置的C2在2019年进行了频繁的更新。分析发现,其载荷主要通过Github和Feed43获取加密的C&C配置,通过关联分析找到了更多被白象利用的Github地址,最早可以追溯到2018年7月,并且截至今年9月,相关账号依然在使用。今年6月还发现白象对我国两所高校实施窃密,两所高校的5个IP地址遭受攻击,部分本地文件疑似遭上传至境外。

三、TA505、FIN7

这些组织被境内外网络安全公司披露疑似有俄罗斯背景,最近对华攻击威胁有上升趋势,今年已经成功攻击我国多个金融和政府部门。TA505自2014年以来就一直保持活跃状态,在过去的几年里,该组织已经通过利用银行木马Dridex以及勒索软件Locky和Jaff作为攻击工具成功发起了多起大型的网络攻击活动,有着很强的经济目的。被发现的攻击手法钓鱼邮件有两种类型,一种是附件中含有恶意xls文档,另一种是附件中含有恶意doc文档,两者都会通过脚本下载运行病毒msi安装包,最终下载运行远控木马。TA505主要攻击手段是发动垃圾邮件攻击;FIN7自2015年以来一直活跃,自该组织成立以来,已经与全球数百家公司的攻击有关,经常使用常见的攻击媒介网络钓鱼,试图欺骗受害者下载和执行恶意软件,最近又被发现了一种新形势的恶意软件,能够在收到破坏的系统上删除和执行SQL脚本,不会像传统恶意软件那样留下痕迹,使得对跟踪黑客、取证和逆向工程变得更困难。

国内网络安全公司在最近发现TA505针对包括中国在内亚洲国家发动的攻击活动中,与以往不同的是,TA505主要使用了新型恶意软件Gelup和FlowerPippi。今年6月17日,国内网络安全人员截获了大量针对亚洲银行发动的垃圾邮件攻击活动,这些邮件使用“阿联酋航空NBD电子声明”或者“签证取消”等主题诱骗用户点击邮件附件,邮件附件是嵌入恶意程序的Excel文件。运行后,其会下载ServHelper加载器。随后6月20日,研究人员再次截获针对日本、菲律宾和阿根廷发动的垃圾邮件攻击活动,邮件附件同样是带有宏病毒的.doc和.xls文件,不同的是宏病毒最终会下载未公开的恶意软件FlowerPippi和Gelup。Gelup恶意软件使用C++编写,其与众不同之处是混淆技术和UAC绕过功能,可以有效阻止静态和动态调试分析。FlowerPippi则具有后门和下载功能。

今年“火眼”发现一些新型内存内恶意软件Dropper的样本可以加载多个有效负载,这些样本被称为BOOSTWRITE,可加载多个载荷,其中就包括与FIN7黑客组织有关联的Carbanak后门。在BOOSTWRITE加载程序使用启动时从其运算符接收到的加密密钥对嵌入式有效载荷进行解密之后,新识别的“RDFSNIFFER”RAT会到达受感染计算机。BOOSTWRITE使用了一个DLL搜索顺序劫持技术将自己的恶意DLL加载到受感染系统的内存之中,可让其下载初始矢量(IV)以及所需的解密密钥来解密内置载荷。一旦密钥和初始矢量得到下载,恶意软件会解密内置载荷,并对结果进行健全性测试。如测试通过,则载荷会是PE32.DLL,无需触碰文件系统便能加载内存。在分析其中一个BOOSTWRITE样本时,研究人员发现这个加载程序是用来放置两个载荷的:Carbanak后门和新发现的RDFSNIFFER模型。尽管大多数样本未签名,但其中一个样本恢复出来的签名是由MANGO ENTERPRISE LIMITED所签发,在VirusTotal杀毒引擎中被发现。通过不断利用代码证书,FIN7增加了绕过多个安全控制的概率并成功感染系统。尽管一些FIN7成员去年已经被捕,但该组织仍旧保持活跃状态,并从此改用其他恶意软件。FIN7的典型和长期使用的工具如CARBANAK和BABYMETAL,但新工具和技术的引入更能证明FIN7还在持续进化。

四、方程式组织

该组织为世界上最尖端的网络攻击组织之一,同震网(Stuxnet)和火焰(Flame)病毒的制造者紧密合作且在幕后操作。公开披露资料显示,方程式组织被认为与北美情报机构有关,且曾被中国外交部发言人回应网络安全空间安全问题时点名。2018年和2019年的美国国防部网络战略情报报告中,都将中国和俄罗斯作为其重要的战略对手。在2018年的网络空间战略摘要中提到了“Defend forward”概念,旨在从源头上破坏或制止恶意网络空间活动,并且同年美国政府取消了第20号总统政策指令,取消了针对美国对手的进攻性网络攻击批准程序的一些限制。这些都表明美国作为超级网络强国正在积极进入网络空间的备战状态。而在近期《纽约时报》也报道了美国正在加强针对俄罗斯电网的网络入侵,展示了其在网络空间攻防中采取了更加主动积极的姿态。今年6月,中国某大型通讯公司疑似遭到美国高端木马攻击,国内网络安全公司发现该木马程序以前从未发现,疑似与美国国家安全局(NSA)有关联。

该组织的攻击方式大多从重要目标防火墙、路由器等入手,通过漏洞层层植入木马,技术手段十分高超,因此长时间未被发现。从方程式被曝光之后,该组织未被发现有明显证据的最新活动迹象,可能是该组织另起炉灶,完全使用新的木马进行攻击,也可能是使用更先进的技术使得自己更加隐蔽。

五、隐士(KONNI)

该组织主要针对中国和朝鲜发起攻击,被怀疑有韩国背景,其主要攻击目标为区块链、数字货币、金融、外交实体等领域,今年已经成功对中国某大型国企发起攻击,造成了数据泄露。该组织攻击手段为最常用的鱼叉钓鱼攻击,通过发送带有恶意文档的邮件针对相应的目标进行攻击。执行恶意文档后,需要用户执行宏后,触发恶意软件。

今年国内网络安全公司发现该组织的活动技术手段类似,但是也有一定的更新,如通过下载新的doc文档来完成后续的攻击以及使用AMADEY家族的木马,而最终的目标依然为运行开源的babyface远控木马。此外,传统的Syscon/Sandy家族的后门木马也依然活跃。根据今年最新的攻击案例分析发现,隐士此次攻击使用的诱饵内容同俄罗斯TA505的诱饵类似,且前段时间TA505同样使用AMADEY家族的木马进行传播,但暂未发现更多的证据证明TA505同隐士的关系。

六、蓝宝菇(APT-C-12)

从2011年开始至今,该组织对我国政府、军工、科研、金融等重点单位和部门进行了持续的网络间谍活动,多次被我国网络安全公司披露疑似有台湾地区背景。核工业和科研等相关行业信息是该组织的重点窃取目标。蓝宝菇主要采用鱼叉邮件携带二进制可执行文件的攻击方法:即攻击者向受害者发送仿冒官方邮件,诱导受害者点击邮件所携带的恶意附件,在文件伪装方面下足了功夫,所采用的鱼叉邮件更加逼真,受害者往往被安装后门却毫不觉察。蓝宝菇投放的文件主要是RLO伪装成文档的可执行文件或LNK格式文件。该组织主要使用动态域名或IDC IP作为其控制基础设施,后续也常使用公共云服务作为其上传和托管窃取的数据。其常使用的恶意程序包括Poison Ivy、Bfnet远控、窃取文件的PowerShell脚本等。去年较有影响的是上海世博会期间的网络攻击。

今年4月,发现我国社科领域部门内部主机疑似遭蓝宝菇攻击;今年6月,发现境内有21个IP地址疑似被蓝宝菇攻击并控制,其中包含大学教育网址4个。(宋汀

(本文刊登于《中国信息安全》杂志2019年第12期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。