本月发生多起 APT 攻击事件,受害者主要包含金融、加密货币、新闻媒体、 医疗、咨询、外贸、国企、科研、疫苗、政府、军工和军事等行业和机构,分布 在中国、美国、印度、哥伦比亚、阿塞拜疆、中亚和欧美等地。 金融行业相关,Lazarus 组织的 DreamJob 等攻击活动被曝光,微步 19 年独 立发现并命名的“危险密码”被发现与 Lazarus 存在较强关联,或属子组。 APT 攻击相关,本月有多个新的商业间谍组织被曝光,如 DeathStalker 和 RedCurl;俄罗斯背景的 APT28 和 APT29 持续活跃,分析 C2 服务器发现,我国 是 APT29 攻击的受害者。此外,DoH 已被伊朗背景的 OilRig 武器化。 在对全球 APT 组织和黑客团伙的持续追踪中,微步情报局发现具备印度和 越南等背景的组织持续攻击我国,微步在线本月发布了《越南国家背景 APT 组 织“海莲花”近期攻击手法的变化》和《“危险密码”APT 组织炎炎夏日再活跃》 等报告。
1、越南国家背景APT组织“海莲花”近期 攻击手法的变化
近期,微步情报局捕获到多个“海莲花”组织 样本,从 5 月至 7 月份期间该组织针对 越南地区的攻击手法来看,主要变化体现在投递的诱饵文件上面。涉及三种类型包括:白利 用 结合压缩包、(SFX)RAR 自解压文件和携带宏代码的 MIME 格式文档。除诱饵类型的 变化外,花指令、文件体积、ShellCode 存放方式、外壳加载层数也存在变化。
类型 1:攻击者将带数字签名的 Office组件和恶意 DLL 打包成压缩包,并且白文件后 缀名会携带较长的空格符号用于迷惑受害者;类型 2:攻击者将带数字签名的 iTunes组件、 恶意 DLL 和加密 ShellCode文件打包成 SFX 自解压程序;类型 3:攻击者将携带宏代码的 DOC 文档保存成 MIME 格式投递。
通过社会工程学诱导受害者点击执行,使用白利用方法绕过安全检测,最终加载的后门 包括:CobaltStrikeBeacon、DenesRAT 等。除诱饵类型的变化外,花指令(包括:跳转、无 意义运算等)、文件体积、ShellCode存放方式、外壳加载层数也存在变化。微步在线点评:
1、“海莲花”,又名 APT32 和 OceanLotus,是越南背景的黑客组织。该组织至少自 2012 年开始活跃,长期针对中国能源相业、海事机构、边防机构、卫生部门、海域建设部门、 科研院所和航运企业等进行网络攻击。除中国外,“海莲花”的目标还包含全球的政府、 军事机构和大型企业,以及本国的媒体、人权和公民社会等相关的组织和个人。在攻击过程中,“海莲花”一直在尝试不同方法以实现在目标系统上执行恶意代码和绕过安全检测。
2、 微步在线通过对相关样本、IP 和域名的溯源分析,覆盖该组织的相关 IOC,可用于威胁
情报检测。微步在线的威胁情报平台(TIP)、威胁检测平台(TDP)、API 等均已支持此
次攻击事件和团伙的检测。
3、涉台APT组织“绿斑”对境内政府、科 研等部门机构进行攻击
今年以来,涉台 APT 组织“绿斑”长期利用钓鱼邮件向攻击目标投送钓鱼网站链接或 者包含木马的附件,前者目的是获取攻击目标的邮件账号信息,用于后期的内部扩散和高信 誉钓鱼邮件攻击;后者是用于攻击后期的情报数据窃取。“绿斑”在不同的攻击目标和攻击 阶段会择机使用高效率的攻击方式展开钓鱼攻击。
据监控到情报信息显示,今年以来“绿斑”利用云文件中转下载、邮箱失窃等主题的仿 真钓鱼网站进行大规模欺骗性攻击,广泛采集邮箱登录凭证信息,然后利用采集到的邮箱对 高价值攻击目标继续发起高信誉的钓鱼攻击。在云文件中转下载主题的中,涉及到国防科研、 疫情应对、疫苗、集成电路、芯片研发等具有高战略价值的高新科研领域,也侧面说明“绿 斑”近期对境内目标展开攻击的战略指导目标也是集中于此。
1、“绿斑”是具有 APT 性质且涉台政府支持背景的组织,长期以来对境内政府、军事科 研、高新研发的部门/企业进行攻击,攻击最终目的都是以窃取政治情报和研究成果为目 的,具有较高的政治、科研、企业安全威胁。
2、微步在线长期对“绿斑”、“蓝宝菇”等涉台 APT 组织跟踪和监控,微步在线的威胁情 报产品(TDP、TIP、OneDNS)可及时为客户提供安全保障。
3、白象APT组织利用中印关系热点对华发 起攻击
2020 年 8 月 27 日,微步情报局监测发现白象 APT 组织对我国进行网络攻击的鱼叉网 络攻击样本。投递诱饵文件名为“中印边境争端.docx”,攻击载荷通过利用 CVE-2017-0261EPS 漏洞实现恶意软件释放执行,通过白利用侧加载、进程注入等技术之后执行 Badnews 后门特马,对目标用户进行窃密监听。与此同时,白象 APT 组织采用完全一致的攻击手法 对巴基斯坦相关军政单位发动定向网络攻击。
微步在线点评:
- 1、 白象 APT 组织,又名“Patchwork”、“摩诃草”、“TheDropping Elephant”,是一个具有印度国家背景的 APT 组织,该组织最早由 Norman安全公司于 2013 年曝光,主要针 对中国、巴基斯坦等亚洲地区国家进行网络间谍活动,其中以窃取敏感信息为主,相关 攻击活动最早可以追溯到 2009 年 11 月。
- 2、 微步在线通过对相关样本、IP 和域名的溯源分析,覆盖该组织的相关 IOC,可用于威胁情报检测。微步在线的威胁情报平台(TIP)、威胁检测平台(TDP)、API 等均已支持此次攻击事件和团伙的检测。