《奇安信:全球高級持續性威脅(APT)2022年中報告(72頁).pdf》由會員分享,可在線閱讀,更多相關《奇安信:全球高級持續性威脅(APT)2022年中報告(72頁).pdf(72頁珍藏版)》請在三個皮匠報告上搜索。
1、主要觀點/全球高級持續性威脅(APT)2022 年中報告2022 上半年全球范圍內,國防軍事相關的攻擊事件占比達到 21%,成為繼政府之后的第二大攻擊目標。另外,金融、能源行業相關攻擊事件也增長較多,占比分別為 13%、11%。俄烏沖突使得該地區成為 APT 攻擊的重災區,數據擦除軟件攻擊不斷出現。隨著沖突的升級,全球黑客也各自選邊站隊,卷入亂局。網絡信息輿論戰也成為網絡戰中的重要一環。針對我國國內的攻擊主要來自周邊地區的 APT 組織,攻擊主要集中在 5、6 月份。從受害行業來看,針對金融和互聯網科技的攻擊較去年有所增長。2022 上半年以來,0day 漏洞仍是攻擊者喜好的一大攻擊武器;在經
2、濟利益的驅使下,針對金融行業的攻擊加??;受俄烏沖突影響,國防軍事目標也成為攻擊熱點。2022 年上半年 0day 漏洞的攻擊使用整體趨于緩和,比之 2021 年有大幅下降,但同比 2020 年的0day 在野漏洞攻擊依然有所增加。以瀏覽器為核心的漏洞攻擊向量仍然是主流趨勢,其中大部分為沙箱逃逸漏洞,主要源自之前漏洞補丁繞過的變種。全球高級持續性威脅(APT)2022 年中報告主要觀點M A I N P O I N T S全球高級持續性威脅(APT)2022 年中報告摘要/全球高級持續性威脅(APT)2022 年中報告奇安信威脅情報中心使用奇安信威脅雷達對 2022 上半年境內的 APT 攻擊活
3、動進行了全方位遙感測繪。數據表明,河南是上半年以來 APT 組織的重點目標地區,經濟發達的北京、廣東及上海地區依然位為前列,其次是江蘇、福建、山東等沿海地區。針對我國目標進行高頻攻擊的 APT 組織主要為海蓮花、APT-Q-12、金眼狗等。攻擊者主要針對我國政府機構、金融、互聯網科技等行業進行攻擊。2022 上半年內,奇安信威脅情報中心收錄了高級持續性威脅相關公開報告總共 181 篇。其中,提及率最高的 5 個 APT 組織分別是:Gamaredon 6.8%,Lazarus 6.2%,Kimsuky 5.7%,C-Major 4.6%,海蓮花 4%。涉及政府的攻擊事件占比為 27%,其次國防
4、軍事相關事件占比為 21%,金融占比 13%、能源占比 11%。俄烏沖突中,多方勢力在網絡空間這個不見硝煙的戰場上進行著激烈較量,其中既有國家背景 APT組織的蹤跡,也有普通黑客團體的活躍身影,還有多國在網絡信息輿論戰上的對抗。在俄烏沖突背景下的網絡戰中常出現的攻擊手段有:數據擦除攻擊、分布式拒絕服務(DDoS)攻擊、以信息竊取為目的的 APT 攻擊,以及網絡信息輿論戰。2022 年上半年 0day 漏洞的攻擊使用整體趨于緩和,比之 2021 年有大幅下降,但同比 2020 年卻有所上升。奇安信威脅情報中心梳理發現,以瀏覽器為核心的漏洞攻擊向量依然是主流趨勢。其中Chrome,Firefox,
5、Safari 及對應平臺下 Windows,MacOS,IOS 的沙箱逃逸漏洞占所有漏洞近 7 成,這里面近 5 成漏洞源自之前漏洞補丁繞過的變種。摘 要ABSTRACT郵箱:ti_ 電話:95015 官網:https:/摘要/全球高級持續性威脅(APT)2022 年中報告關鍵字:俄烏沖突、高級持續性威脅、APT、0day、軍事第一章 俄烏沖突背景下的網絡戰一、奇安信威脅雷達境內遙測分析二、網絡戰特點三、由俄烏沖突引發的其他 APT 攻擊事件第二章 中國境內高級持續性威脅綜述 一、奇安信威脅雷達境內遙測分析二、2022 上半年針對我國的活躍組織三、2022 上半年境內受害行業分析第三章 全球高
6、級持續性威脅綜述 一、全球高級威脅研究情況二、受害目標的行業與地域三、活躍高級威脅組織情況四、2022 上半年高級威脅活動特點第四章 APT 攻擊中的漏洞利用一、新興的瀏覽器巨頭:Lazarus二、進擊的向日葵三、IoT 路由淪為 APT 團伙攻擊的前哨站四、Driftingcloud:新興的 0day 團伙五、傳承:CVE-2022-30190全球高級持續性威脅(APT)2022 年中報告目錄/全球高級持續性威脅(APT)2022 年中報告目 錄01010507080811161717181819222323242425CATALOGUE第五章 地緣下的 APT 組織、活動和趨勢一、東亞地區
7、二、東南亞地區三、南亞地區四、東歐地區五、中東地區六、其他地區附表 1 俄烏沖突下的 APT 攻擊概要附表 2 俄烏沖突下的黑客組織概要附錄 1 全球主要 APT 組織列表附錄 2 奇安信威脅情報中心附錄 3 紅雨滴團隊(Red Drip Team)附錄 4 參考鏈接26273133374145485052565859郵箱:ti_ 電話:95015 官網:https:/目錄/全球高級持續性威脅(APT)2022 年中報告全球高級持續性威脅(APT)2022 年中報告1此次網絡戰中常出現的攻擊手段有:數據擦除攻擊、分布式拒絕服務(DDoS)攻擊、以信息竊取為目的的 APT 攻擊,以及網絡信息輿論
8、戰。俄烏沖突期間多款數據擦除型惡意軟件被發現,這些惡意軟件清除磁盤特定數據,或導致重要文件數據損毀,或直接使系統無法啟動,本章后面內容會對這些惡意軟件進行具體說明。DDoS 攻擊是一種門檻低但效果明顯的網絡攻擊手段,在各方勢力參與的網絡戰中,針對俄烏兩國的 DDoS 攻擊頻繁發生。在國家對抗的背景下,不乏 APT 組織的活動蹤跡,APT 攻擊以親俄背景組織為主,這些組織除了被發現與某些數據擦除惡意軟件有關,還不斷通過定向的網絡釣魚攻擊開展情報收集活動,奇安信根據公開報告以及內部數據整理了俄烏沖突背景下的 APT 攻擊活動(見附表 1)。網絡信息輿論戰,有別于直接的網第一章 俄烏沖突背景下的網絡
9、戰/全球高級持續性威脅(APT)2022 年中報告第一章 俄烏沖突背景下的網絡戰今年上半年 2 月 24 日俄烏戰爭打響,俄烏沖突與其他戰爭最顯著的不同在于全球眾多身處物理戰場之外的群體通過網絡也參與到對抗之中。戰前烏克蘭就遭受了一系列針對性的網絡攻擊,沖突爆發后針對性網絡攻擊更是常伴隨軍方的行動發生,網絡層面和物理層面的攻擊呈現出配合的態勢。針對烏克蘭的定向網絡攻擊除了有利用木馬后門進行信息竊取與情報收集,還包括借助數據擦除軟件癱瘓和破壞特定信息系統。而烏克蘭在歐美支持下取得全球范圍內網絡信息輿論戰的優勢,吸引了眾多黑客團體為其站隊。這些黑客團體在開戰后頻繁向俄羅斯重要組織機構發起攻擊,并將
10、攻擊得手后獲取的內部數據在網上公開。多方勢力在網絡空間這個不見硝煙的戰場上進行著激烈較量,其中既有國家背景 APT 組織的蹤跡,也有普通黑客團體的活躍身影,還有多國在網絡信息輿論戰上的對抗。本章將對這場網絡戰演進過程進行簡單梳理,并總結此次網絡戰呈現的一些特點。一、網絡戰演進過程奇安信威脅情報中心根據奇安信內部數據視野及互聯網公開渠道收集的網絡攻擊數據分析,網絡空間的交鋒早于戰爭率先開始,在正式進入軍事沖突后,雙方的網絡行動則以破壞性攻擊活動為主、網絡信息戰為輔。隨著烏克蘭局勢的不斷升級,多國圍繞烏克蘭問題的博弈也延伸到網絡領域,以美國為首的各國表面上并未參與實際的網絡戰,卻利用自身的互聯網優
11、勢引導全球黑客選邊站隊卷入亂局,導致網絡戰線全面拉開。(一)網絡戰攻擊手段與大事件郵箱:ti_ 電話:95015 官網:https:/2絡攻擊,是傳統輿論戰心理戰的升級版,通過網絡空間發布有利于己方和不利于對方的虛實信息,混淆視聽,或震懾對方心理,或影響判斷認知,達到在全球范圍內收割同情和支持的目的。俄烏戰爭爆發前后涉及兩國的網絡沖突重大事件如下圖所示。圖 1.1 俄烏沖突背景的網絡戰大事件全球高級持續性威脅(APT)2022 年中報告3第一章 俄烏沖突背景下的網絡戰/全球高級持續性威脅(APT)2022 年中報告圖 1.2 WhisperGate 損毀目標計算機的文件類型列表在俄羅斯特別軍事
12、行動之前,烏克蘭便爆發了針對其政府機構等關鍵部門的數據擦除惡意軟件攻擊和大規模分布式拒絕服務(DDoS)攻擊。2022 年 1 月 13 日,數據擦除惡意軟件 WhisperGate 出現在烏克蘭多個組織的計算機系統中。2022 年 1 月,約 70 個烏克蘭政府網站由于遭到 DDoS 攻擊而暫時下線。2 月 14 日起,烏克蘭的軍事、政府、金融等部門的網絡系統再次遭到大規模 DDoS 攻擊。(三)戰爭爆發時的網絡攻擊(二)戰前網絡行動在俄烏兩國局勢緊張期間,烏克蘭除了遭受網絡攻擊,還受到多起網絡信息戰行動的影響。2022 年 1月 13 日,烏克蘭政府網站遭到篡改,修改后的網站頁面發布了旨在
13、散播恐慌的虛假信息。2 月 15 日,部分烏克蘭 Privatbank 銀行用戶收到銀行 ATM 機無法使用的虛假消息。烏克蘭有關部門還查封了一個擁有超過 18 萬個社交媒體賬號、用來散布假新聞的僵尸網絡。在俄烏戰爭爆發的時間點附近,又有兩種數據擦除惡意軟件出現在烏克蘭重要組織機構的信息系統中。2022 年 2 月 23 日,俄烏戰爭爆發前一天,一款被稱為 HermeticWiper 的新型數據擦除惡意軟件感染了至少五個烏克蘭組織的數百臺計算機。2 月 24 日,針對烏克蘭政府組織的第三種數據擦除惡意軟件IsaacWiper 在新一輪網絡攻擊中出現,值得注意的是,IsaacWiper 出現在未
14、受 HermeticWiper 影響的烏克蘭政府組織中。與此同時,親俄背景的 APT 組織也繼續利用網絡釣魚攻擊進行情報刺探。比如,烏克蘭國家特殊通信和信息保護局于 2 月 25 日披露了與 UNC1151 APT 組織相關的網絡釣魚郵件,郵件內容中涉及到 2 月 24郵箱:ti_ 電話:95015 官網:https:/4圖 1.3 烏克蘭官方披露的網絡釣魚郵件以美國為首的西方國家開始下場支持烏克蘭,烏克蘭方面對俄發動網絡攻擊,網絡戰進入拉鋸相持階段。在網絡信息輿論戰方面,美國和烏克蘭政客鼓動黑客對俄羅斯發起網絡攻擊,比如烏克蘭在戰爭打響后不久開始籌建 IT 志愿者大軍。同時,歐美的主流信息渠
15、道禁言俄羅斯。2 月 27 日,歐盟宣布禁止俄羅斯官方媒體“今日俄羅斯”(RT)和俄羅斯衛星通訊社(Sputnik)在歐盟境內傳播信息,隨后,主流社交平臺和跨國信息科技公司紛紛跟進。西方國家尤其是美國利用自己對全球主流媒體、社交平臺的掌控,以及誕生于美國的一批跨國信息科技公司在互聯網世界的資源主導權,不斷對俄羅斯的輿論發聲渠道進行圍追堵截。這一系列限制措施導致俄羅斯官方媒體被封而難以發聲,對俄羅斯的不利輿論呈一邊倒趨勢,俄羅斯在全球輿論戰場上已落于下風。在西方國家對國際輿論主導權的加持之下,美烏政客對網絡攻擊行為的鼓動引起更多黑客組織卷入俄烏紛爭,尤其是支持烏克蘭一方的組織數量大增。不過根據持
16、續追蹤發現,3 月中旬以后各黑客組織公布(四)西方國家下場,網絡戰拉鋸相持日這個日期。全球高級持續性威脅(APT)2022 年中報告5第一章 俄烏沖突背景下的網絡戰/全球高級持續性威脅(APT)2022 年中報告的消息逐漸減少。原因是一些黑客為蹭熱度而公布的數據“虛有其表”,導致其公信力下降。奇安信總結了自俄烏沖突升級后,各黑客組織參與網絡混戰的具體情況,詳情請參閱附表 2。開戰以后,針對俄烏兩國的 DDoS 攻擊頻發,攻擊對象經常是兩國的重要網站。在戰爭爆發后一個多月的時間里,奇安信監測到烏克蘭地區被DDoS攻擊事件40余起,俄羅斯地區被DDoS攻擊事件超100起。被DDoS攻擊的重要網站涉
17、及烏克蘭的政府機構、新聞媒體、高等院校,和俄羅斯的政府機構、新聞媒體、金融機構、社交平臺。同時,支持烏克蘭的黑客團體選擇俄羅斯重要機構發起網絡入侵,并導致被攻擊機構的數據泄露。攻擊團體以Anonymous(匿名者)、AgainstTheWest(ATW)、烏克蘭網絡部隊為首,目標包括俄羅斯政府機構、國有銀行、航天公司、原子能機構、天然氣石油公司、國家通訊監管機構、軍工企業、國家媒體機構等。另一方面,烏克蘭的關鍵基礎設施也成為網絡攻擊的重點目標。3 月 28 日,烏克蘭互聯網服務提供商Ukrtelecom 遭受網絡攻擊,導致烏克蘭發生俄烏戰爭以來最嚴重的流量中斷事件。4 月 12 日,烏克蘭政府
18、表示針對烏克蘭電網的網絡攻擊已被成功阻止,攻擊的破壞行為原計劃于 4 月 8 日啟動,如果攻擊成功實施,將摧毀烏克蘭多個變電站和電網,影響范圍約為 200 萬人,此次攻擊行動被認為由 APT 組織 Sandworm 發起。二、網絡戰特點在此次網絡戰中,以數據擦除攻擊為代表的破壞性網絡攻擊不斷出現,雙方陣營盡其所能向著對方重要組織機構和關鍵基礎設施發起猛攻,同時雙方在網絡信息輿論戰上也展開了激烈較量。數據擦除軟件通過清除計算機上的重要文件數據或者直接讓計算機無法啟動,達到破壞或癱瘓相關信息系統的目的。目前已披露的與這場網絡戰相關的數據擦除型惡意軟件有下面幾種。(一)數據擦除軟件不斷出現名稱 披露
19、時間特點相關攻擊事件WhisperGate2022-01-15覆蓋磁盤的主引導記錄,覆蓋特定類型文件的數據2022 年 1 月 13 日針對烏克蘭多個組織。HermeticWiper2022-02-23覆蓋磁盤主引導記錄、主文件表,清除大部分系統文件2022 年 2 月 23 日在烏克蘭多個組織中觀察到該數據擦除軟件。郵箱:ti_ 電話:95015 官網:https:/6參與此次網絡戰的團體,無論采用何種攻擊手段,都更傾向于進攻對方的重要組織機構和關鍵基礎設施:烏克蘭遭受的破壞性網絡攻擊和 APT 攻擊直指相關組織機構和重要部門,針對兩國的 DDoS 攻擊常以重要機構的網站作為目標,普通黑客團
20、體也會拿對方的重要部門開刀發動網絡入侵。重要組織機構和關鍵基礎設施由于關系重大,導致其可用性、完整性、保密性一旦被破壞,將產生深刻的影響,因此在這場國家對抗背景下的網絡戰中變成了網絡攻擊者虎視眈眈的目標。這也提醒我們對關鍵基礎設施的保護片刻不能松懈。表 1.4 網絡戰中出現的數據擦除軟件名稱 披露時間特點相關攻擊事件IsaacWiper2022-03-01用隨機數據覆蓋每個磁盤前0 x10000 字節,并擦除磁盤上的文件數據在 2022 年 2 月 24 日至 26日針對烏克蘭的又一波網絡攻擊中出現。RURansom Wiper2022-03-08針對俄羅斯,加密磁盤上的文件,每個文件的加密密
21、鑰唯一且不會保存,導致加密過程不可逆在 2022 年 2 月 26 日至 3月 2 日安全廠商檢測到該軟件的不同版本。CaddyWiper2022-03-15清除磁盤上的用戶數據以及分區信息。借助域策略部署在受害者機器上,惡意軟件會避免清除域控主機的數據。2022 年 3 月 15 日在少數烏克蘭組織上發現。2022 年 4 月,Sandworm APT 組織計劃針對烏克蘭電網的破壞性攻擊行動中也使用了 CaddyWiper。DoubleZero2022-03-22使用兩種數據清零方法清除文件數據。首先銷毀所有磁盤上的一切非系統文件,然后按順序清除系統文件,最后銷毀 Windows 注冊表相關
22、數據。2022 年 3 月 17 日在針對烏克蘭企業的攻擊中被發現。AcidRain2022-03-31一種基于 MIPS 架構的 ELF格式惡意軟件,被用于擦除調制解調器和路由器上的數據。對 Linux 設備的文件系統和各種已知的存儲設備文件執行深度擦除。2022 年 2 月 24 日,一 次網絡攻擊使 Viasat KA-SAT調制解調器在烏克蘭無法運行,導致 Viasat 在烏克蘭的衛星通信服務中斷。(二)重要組織機構和關鍵基礎設施成為重點攻擊目標全球高級持續性威脅(APT)2022 年中報告7第一章 俄烏沖突背景下的網絡戰/全球高級持續性威脅(APT)2022 年中報告此次網絡信息戰中
23、網絡攻防和涉及信息輿論的認知控制戰相互交織,輿論戰成為網絡戰爭中的重要一環。在現代網絡出現之前,輿論戰已經是軍事戰爭中的常規手段,不過如今互聯網的觸手已經遍及每個人,這使得輿論戰的覆蓋面和影響度遠超從前。無論是沖突前期烏克蘭因為傳播的虛假信息而引發社會恐慌情緒,還是后面西方國家憑借對主流信息渠道的控制權創造出對俄輿論的壓倒性態勢,都可以看出在網絡攻防之外,左右民眾認知的網絡輿論戰也發揮著不容忽視的作用。表 1.5 以俄烏沖突為誘餌的攻擊組織(三)網絡信息輿論戰的攻心較量三、由俄烏沖突引發的其他 APT 攻擊事件俄烏沖突背后西方的介入,使得親俄背景的 APT 組織攻擊行動不只針對烏克蘭,攻擊目標
24、也覆蓋到一些西方國家。自 2022 年 1 月中旬開始,APT29 組織就開展了針對歐洲多國外交機構的網絡釣魚活動。俄烏戰爭爆發后,UNC1151 APT 組織向歐洲政府發起網絡攻擊,收集有關烏克蘭難民管理的相關情報。2022 年 3 月,烏克蘭計算機應急響應小組(CERT-UA)發現了 Gamaredon 組織發送給拉脫維亞政府機構的釣魚郵件。Turla 組織也被觀察到針對波羅的海國防學院等目標的攻擊行動。此外,APT 組織往往會利用時事新聞作為攻擊誘餌,而俄烏沖突作為 2022 年的一大熱點事件,便成為了攻擊者制作誘餌的素材。國外友商在一篇報告中就披露了以俄烏沖突相關事件為誘餌的組織,這些
25、組織分布于拉丁美洲、中東和亞洲,并不局限于特定地區。組織名稱組織起源目標部門目標國家El Machete西班牙語國家金融、政府尼加拉瓜、委內瑞拉Lyceum伊朗能源以色列、沙特阿拉伯SideWinder疑似印度未知巴基斯坦郵箱:ti_ 電話:95015 官網:https:/8一、奇安信威脅雷達境內遙測分析奇安信威脅雷達是奇安信威脅情報中心基于奇安信大網數據和威脅情報中心失陷檢測(IOC)庫,用于監控全境范圍內疑似被 APT 組織、各類僵木蠕控制的網絡資產的一款威脅情報 SaaS 應用。通過整合奇安信的高、中位威脅情報能力,發現指定區域內疑似被不同攻擊組織或惡意軟件控制的主機 IP,了解不同威脅
26、類型的比例及被控主機數量趨勢等,可進一步協助排查重點資產相關的 APT 攻擊線索。圖 2.1 奇安信威脅雷達境內受害者數據分析第二章 中國境內高級持續性威脅綜述/全球高級持續性威脅(APT)2022 年中報告第二章 中國境內高級持續性威脅綜述基于中國境內海量 DNS 域名解析和奇安信威脅情報中心失陷檢測(IOC)庫的碰撞分析(奇安信威脅雷達),是了解我國境內 APT 攻擊活動及高級持續性威脅發展趨勢的重要手段。2021 年,奇安信威脅情報中心首次在全球高級持續性威脅(APT)2021 年度報告中使用奇安信威脅雷達對境內的 APT 攻擊活動進行了全方位遙感測繪。本報告繼續使用奇安信威脅雷達對 2
27、022 年上半年境內 APT 攻擊活動進行遙感測繪,結合奇安信紅雨滴團隊在客戶現場處置排查的真實 APT 攻擊事件以及使用奇安信威脅情報的全線產品告警數據,整理與分析后得出本章內容及結論。全球高級持續性威脅(APT)2022 年中報告9 第二章 中國境內高級持續性威脅綜述/全球高級持續性威脅(APT)2022 年中報告圖 2.2 2022 上半年中國境內每月新增疑似受控 IP 數量變化趨勢基于奇安信威脅雷達境內的遙測分析,我們從受控 IP 數量和趨勢、受害目標區域分布、APT 組織資產分布三方面對我國境內疑似遭受的 APT 攻擊進行分析和統計。奇安信威脅情報中心基于威脅雷達在 2022 上半年
28、監測到我國境內 IP 地址與多個境外 APT 組織 C2 服務器(Command&Control Server,遠控服務器)發生通信行為。其中還存在個別 APT 組織通過多個 C2服務器與同一 IP 通信的情況。2022 上半年中國境內每月新增疑似被境外 APT 組織控制的 IP 地址數量變化趨勢如圖 2.2 所示。下圖為2022上半年中國境內疑似連接過境外APT組織C2服務器的IP地址數量較多的前10個省份地域。從圖中可以看出,河南是上半年以來 APT 組織攻擊的重點目標地區,經濟發達的北京、廣東及上海地區依然位為前列,其次是江蘇、福建、山東等沿海地區。(一)受控 IP 數量和趨勢(二)受害
29、目標區域分布郵箱:ti_ 電話:95015 官網:https:/10奇安信威脅雷達檢測到 2022 上半年內有數十個境外 APT 組織對我國境內 IP 地址發生過非法連接,下圖分別展示了上半年內針對我國境內目標攻擊的主要幾個境外 APT 組織具體占比情況以及對應組織疑似使用過的 C2 服務器數量分布。(三)APT 組織資產分布圖 2.3 2022 上半年中國境內疑似受控 IP 地址地域分布圖 2.4 2022 上半年 APT 組織控制境內 IP 地址數量占比及 C2 服務器所屬團伙數量分布全球高級持續性威脅(APT)2022 年中報告11 第二章 中國境內高級持續性威脅綜述/全球高級持續性威脅
30、(APT)2022 年中報告上圖數據表明2022上半年內我國境內大部分IP地址主要被我國周邊東亞、東南亞地區的APT組織控制,其次是南亞和中東地區。東亞地區攻擊我國境內目標的主要是毒云藤組織,該組織長期針對我國,擅于通過模仿正常域名來實施釣魚攻擊。在近期針對國內多個重點單位的釣魚活動中,毒云藤組織將目標域名嵌入其釣魚域名中以達到迷惑作用,目標涵蓋了教育、科研、政府、航空等領域。海蓮花是另一個長期以我國為主要攻擊對象的 APT 組織,其控制我國境內 IP 地址數量與 C2 服務器數量占比相對一致,說明海蓮花組織會在不同攻擊活動中使用不同的 C2 服務器。關鍵詞:跳板、國產化系統、Nday 漏洞海
31、蓮花在 2022 年利用測繪平臺使用 Nday 漏洞對我國境內資產進行撒網式攻擊,受害者中竟存在色情網站,海蓮花拿到權限后從中挑出高價值的目標進行內網滲透,剩下的則作為跳板或者代理用來掃描和攻擊。最近我們觀察到海蓮花開始針對中國臺灣、中國香港等地區的 IoT 設備進行批量入侵并將其當作跳板攻擊中國大陸重要基礎設施。攻擊者在攻擊過程中嘗試上傳 busybox 和 Dropbear 等軟件包,最終在 IoT設備上運行端口轉發工具 tinyPortMapper,將特定端口的流量轉發到自己的 Cobalt Strike 服務器,同時我們在這些受控的 IoT 設備上發現了海蓮花最新的 Arm 架構的木馬
32、。在代碼層面,海蓮花使用 msbuild.exe 編譯源碼的方式規避殺軟查殺,執行 Loader 程序最終內存加載Cobalt Strike,除此之外還會使用 github 上最新出現的免殺 loader 來加載后續木馬,例如 shhhloader和 Mortar Loader。在有些攻擊事件中海蓮花僅使用由 Golang 編寫的隧道木馬來實現遠程控制。二、2022 上半年針對我國的活躍組織基于奇安信紅雨滴團隊和奇安信安服在客戶現場處置排查的真實 APT 攻擊事件,結合使用威脅情報的全線產品產生的告警數據,分析可知針對我國目標進行高頻攻擊的 APT 組織主要為海蓮花、APT-Q-12、金眼狗等
33、。奇安信威脅情報中心整理了以上三個組織的真實 APT 攻擊處置案例,由此來分析 2022 上半年內針對我國的全球 APT 組織。(一)APT-Q-31(海蓮花)郵箱:ti_ 電話:95015 官網:https:/12經過研判,海蓮花在 2022 年 5 月份針對國產化系統進行了定向攻擊,我們拿到了海蓮花首個針對 mips架構的木馬程序,其代碼邏輯和通信協議與 Arm 架構的木馬相同,我們將其命名為“Caja”。奇安信威脅情報中心會在 2022 年下半年擇機披露該組織最新的攻擊活動。圖 2.5 Caja 木馬執行流程關鍵詞:魚叉、駐韓使館、芯片制造業、風投公司(二)APT-Q-12(偽獵者)全球
34、高級持續性威脅(APT)2022 年中報告13 第二章 中國境內高級持續性威脅綜述/全球高級持續性威脅(APT)2022 年中報告由于朝韓地區的 APT 組織通常會給攻擊目標的個人郵箱賬號投遞魚叉郵件,受害 IP 多為家庭寬帶,這加大了我們對該方向的監控難度。APT-Q-12 團伙在今年上半年活動非常猖獗,該團伙將目標瞄準為芯片制造業和風投公司,向上述行業的 HR 投遞釣魚郵件,郵件內容如下:郵件附件包含一個 LNK 木馬,執行流程與我們去年披露的報告一致,不同的是我們獲取到了最終的遠控木馬和下發的鍵盤記錄插件。圖 2.6 APT-Q-12 投遞的郵件內容郵箱:ti_ 電話:95015 官網:
35、https:/14在年中時我們發現 APT-Q-12 開始投遞 hlp 類型的樣本,雙擊運行后會執行惡意 js 代碼向遠程服務器下載 bmp 圖片并解密出第一階段的木馬,將本機信息和文件目錄加密打包發送到遠程服務器,并等待后續階段木馬的下發。奇安信威脅情報中心會在 2022 年下半年擇機披露該組織最新的攻擊活動。金眼狗早披露于 2019 年,起初我們認為該團伙投遞模式較為單一,但隨著數據的積累我們發現該團伙整體水平非常高,其設計的攻擊鏈刻意對 EDR 監控流程進行了規避,這是目前主流 APT 團伙都不曾達到的技術水平。圖 2.7 鍵盤記錄模塊加密邏輯(三)APT-Q-27(金眼狗)關鍵詞:通訊
36、軟件 0day、博彩、金融全球高級持續性威脅(APT)2022 年中報告15 第二章 中國境內高級持續性威脅綜述/全球高級持續性威脅(APT)2022 年中報告在 2022 年我們捕獲到的 APT-Q-27 最新 0day 攻擊活動中,EXP 利用鏈設計得非常簡練,且全過程沒有惡意代碼落地。金眼狗在竊取文件時設計了兩種執行流程:第一種使用 EXP 執行命令將桌面和相關目錄的文檔上傳到云盤;第二種則是借助 Chrome Nday 漏洞實現“白加黑”,在 Chrome 進程中加載Cobalt Strike 遠控木馬來竊取文件。我們在其中一個云盤上發現了高達 300G 的博彩從業人員數據,并且推測攻
37、擊者用于接收文件數據的云盤和服務器共有 5-10 個,受害面之廣超乎想象。0day 漏洞利用截圖如下:根據奇安信大數據遙測,APT-Q-27 在 2015 年-2022 年使用了多個通訊軟件 0day 漏洞進行攻擊,我們捕獲到的時間線如下:1、2015 年使用知名聊天軟件的 XX 秀漏洞對博彩行業進行攻擊2、2017 年使用某通訊軟件對博彩行業進行攻擊3、2021-2022 年使用某通訊軟件對博彩行業進行攻擊這些年來,我們僅捕獲到該團伙的三個 0day 漏洞利用,可能只是其攻擊活動的冰山一角。奇安信威脅情報中心會在未來擇機披露該組織過去的攻擊活動。圖 2.8 通訊軟件 0day 漏洞利用截圖郵
38、箱:ti_ 電話:95015 官網:https:/16三、2022 上半年境內受害行業分析從整體上對奇安信紅雨滴團隊和奇安信安服在客戶現場處置排查的真實 APT 攻擊事件及威脅情報的全線產品告警數據進行分析,得到2022上半年境內受害行業分布情況:攻擊者主要針對我國政府機構、金融、互聯網科技等行業進行攻擊。詳情如下圖所示。圖 2.9 2022 上半年高級威脅事件涉及境內行業分布情況全球高級持續性威脅(APT)2022 年中報告17圖 3.1 2022 上半年全球公開的高級威脅報告數量月度統計第三章 全球高級持續性威脅綜述/全球高級持續性威脅(APT)2022 年中報告第三章 全球高級持續性威脅
39、綜述公開來源的 APT 情報(以下簡稱“開源情報”)分析是了解全球網絡安全研究機構安全關注,認知全球高級持續性威脅發展趨勢的重要手段之一。2022 上半年,奇安信威脅情報中心對全球 200 多個主要的APT 類情報來源進行了持續監測,監測內容包括但不限于 APT 攻擊組織報告、APT 攻擊行動報告、疑似APT 的定向攻擊事件、APT 攻擊相關的惡意代碼和漏洞分析,以及我們認為需要關注的網絡犯罪組織及其相關活動。本章內容及結論主要基于對上述開源情報以及內部威脅雷達數據的整理與分析。一、全球高級威脅研究情況奇安信威脅情報中心在 2022 上半年監測到的高級持續性威脅相關公開報告總共 181 篇。各
40、月監測數據如圖 3.1 所示郵箱:ti_ 電話:95015 官網:https:/18二、受害目標的行業與地域2022 年,在俄烏沖突的影響下,網絡攻擊發生巨大變化。通過開源情報數據顯示:在全球 2022 上半年披露的 APT 相關活動報告中,涉及政府(包括外交、政黨、選舉相關)的攻擊事件占比為 27%,其次國防等軍事相關事件占比為 21%、金融占比 13%、能源占比 11%。其中,政府機構仍是主要攻擊目標,涉及國防、金融、能源相關的事件增長較多。2022 上半年高級威脅事件涉及行業分布情況如下圖所示。三、活躍高級威脅組織情況本次報告對開源情報中所提及的所有 APT 組織及相關行動進行了分析和整
41、理。其中,提及率最高的 5 個APT 組織分別是:Gamaredon 6.8%,Lazarus 6.2%,Kimsuky 5.7%,C-Major 4.6%,海蓮花 4%。圖 3.2 2022 上半年全球高級威脅事件涉及行業分布全球高級持續性威脅(APT)2022 年中報告19第三章 全球高級持續性威脅綜述/全球高級持續性威脅(APT)2022 年中報告在新冠疫情和俄烏沖突的雙重沖擊之下,經濟形勢受影響,2022 上半年以來發生了多起針對金融行業的攻擊活動,主要通過竊取加密貨幣獲取經濟利益。據公開報告披露,Lazarus 組織多次盯上加密貨幣公司,同時其目標也包括區塊鏈、投資公司等金融機構。3
42、 月,google 研究人員發現 Lazarus 組織利用 CVE-2022-0609 遠程代碼執行漏洞開展 Operation Dream Job 和 Operation AppleJeus 活動,其中 Operation AppleJeus 活動針對加密貨幣和金融科技行業的目標用戶,受害者數量超過 85 名。Bluenoroff group 被認為是 Lazarus 組織的分支。2022 年 1 月,卡巴斯基披露該組織針對與加密貨幣及智能合約、DeFi、區塊鏈和金融科技行業有關的各種公司,受害者來自俄羅斯、波蘭、斯洛文尼亞、烏克蘭、捷克共和國、中國、印度、美國、香港、新加坡、阿聯酋和越南。
43、與 Lazarus 一樣,具有朝鮮背景的 Kimsuky,在 2022 年上半年也被披露使用包含加密貨幣信息的Word 文檔作為誘餌,針對加密貨幣公司發起攻擊。圖 3.3 2022 上半年全球活躍高級威脅組織四、2022 上半年高級威脅活動特點(一)受經濟利益驅使,金融行業的攻擊加劇郵箱:ti_ 電話:95015 官網:https:/20(二)國防軍事目標成為眾矢之的除了加密貨幣,國外安全廠商還披露了一個從拉丁美洲地區的金融企業中竊取資金的組織,并將其稱為“Elephant Beetle”或TG2003。該團伙通過在常規活動中進行隱藏的欺詐交易,最終竊取了數百萬美元。此外,我們在Operati
44、on Dragon Breath(APT-Q-27):針對博彩行業的降維打擊一文中披露了金眼狗團伙所在的 Miuuti Group 組織針對博彩、金融行業的定向攻擊活動,其通過“黑吃黑”的方式將賭資轉移到自己的錢包中,實現財富自由。在俄烏沖突的大背景下,不僅東歐地區針對國防軍事目標的攻擊活動激增,南亞、中東等地區以國防軍事部門為目標的攻擊活動也頻頻發生,國防軍事相關目標成為熱點攻擊對象。東歐方向的相關攻擊組織包括 Turla、Gamaredon、APT28、LOREC53 等,攻擊者除了瞄準烏克蘭的軍事目標,同時也針對其他西方國家目標,比如美國國防承包商、波羅的海國防學院等。南亞地區老牌 AP
45、T 組織摩訶草、肚腦蟲、Sidewinder、C-Major、蔓靈花均被多次披露向國防軍事目標發起攻擊。我們新發現一個疑似具有南亞背景的組織金剛象(VajraEleph),專注于對軍方目標展開間諜情報活動,已經觀察到的受害人員主要為巴基斯坦國家的邊防軍(FC)和特種部隊(SSG),尤其是俾路支省邊防軍(FC BLN),此外還包含少量的聯邦調查局(FIA)和警察(Police)。公開情報披露的攻擊國防軍事目標的組織還包括MuddyWater、TunnelVision、雙尾蝎以及Lazarus組織,相關攻擊事件詳見下表。事件名稱披露時間披露廠商蔓靈花以“Datails of bill”為誘餌攻擊軍
46、工企業2022.1.10360 Patchwork 借“住房登記”為由針對巴基斯坦國防官員2022.1.10安恒Donot 組織持續攻擊南亞政府和軍事組織2022.1.18ESETAPT28 利用 CVE-2021-40444 針對高級官員及國防工業的間諜活動2022.1.25trelixGamaredon 針對烏克蘭政府和軍隊在內的多個目標2022.2.4MicrosoftLOREC53 針對烏克蘭國防、醫療等多個關鍵機構的大規模網絡攻擊2022.2.17綠盟APT28 瞄準美國國防承包商發起攻擊2022.2.17CISAC-Major 和 SideCopy 模仿軍事國防組織的域名進行釣魚2
47、022.2.18奇安信全球高級持續性威脅(APT)2022 年中報告21第三章 全球高級持續性威脅綜述/全球高級持續性威脅(APT)2022 年中報告從去年開始 0day 及 Nday 漏洞就已成為 APT 組織青睞的攻擊武器。2022 年上半年,APT 組織使用最多的新漏洞是 Log4j 漏洞(CVE-2021-44228)及 Follina 漏洞(CVE-2022-30190)。Google 安全團隊發現 APT28 組織在針對烏克蘭的攻擊活動中使用了 Follina 漏洞,該組織通過漏洞利用代碼下載并執行一款新型的由.Net 開發的信息竊取程序。同樣,APT28 也利用 Log4j 漏洞
48、針對負責國家安全政策的他國高級政府官員和西亞國防工業的重要人士實施網絡間諜活動。另外,Log4j 漏洞還被 APT35、海蓮花、Lazarus、TunnelVision 等組織利用。表 3.4 2022 上半年國防軍事相關攻擊活動事件名稱披露時間披露廠商伊朗 MuddyWater 組織針對全球政府和商業實體開展間諜活動2022.2.26CISAC-Major 利用手機間諜軟件 CapraRat 針對印度軍方和政府人員2022.3.7恒安嘉新金剛象組織 VajraEleph 針對巴基斯坦軍方人員的網絡間諜活動披露2022.3.31奇安信APT-C-23 組織針對以色列官員的攻擊活動披露2022.
49、4.6CybereasonLazarus 利用 Log4j 漏洞針對能源和軍事公司2022.4.27symantecTurla 組織新的間諜活動瞄準奧地利經濟商會、波羅的海國防學院2022.5.23sekoiaTunnelVision 組織網絡釣魚行動針對以色列和美國高級官員2022.6.15checkpoint(三)0day 漏洞仍受攻擊者歡迎郵箱:ti_ 電話:95015 官網:https:/22第四章 APT 攻擊中的漏洞利用/全球高級持續性威脅(APT)2022 年中報告第四章 APT攻擊中的漏洞利用相較于 2021 年 0day 漏洞井噴似的爆發,2022 年上半年 0day 漏洞的
50、攻擊使用整體趨于緩和,比之2021 年有大幅下降,但同比 2020 年卻有所上升。當將 2021 年這個特殊年份去掉,可以發現 0day在野漏洞的攻擊依然維持一個逐年遞增的趨勢。以瀏覽器為核心的漏洞攻擊向量依然是主流趨勢,Chrome,Firefox,Safari 及對應平臺下 Windows,MacOS,IOS 的沙箱逃逸漏洞占所有漏洞近 7 成,其中近 5 成漏洞源自之前漏洞補丁繞過的變種。漏洞編號影響目標利用代碼是否公開利用的 APT 組織披露廠商CVE-2022-21882Microsoft是未知未知CVE-2022-22587Apple否未知未知CVE-2022-22620Apple
51、是未知未知CVE-2022-0609Google否LazarusGoogles Threat Analysis GroupCVE-2022-26485Mozilla否未知360CVE-2022-26486Mozilla否未知360NA向日葵是海蓮花未知CVE-2021-22600Google否未知未知CVE-2021-39793Google否未知未知CVE-2022-1040Sophos是Driftingcloud未知CVE-2022-1096Google否未知未知CVE-2022-22674Apple否未知未知CVE-2022-22675Apple否未知未知CVE-2022-26871Tre
52、nd Micro否未知Trend Micro Research全球高級持續性威脅(APT)2022 年中報告23第四章 APT 攻擊中的漏洞利用述/全球高級持續性威脅(APT)2022 年中報告表 4.1 2022 上半年披露的高危漏洞漏洞編號影響目標利用代碼是否公開利用的 APT 組織披露廠商CVE-2022-24521Microsoft否未知National Security Agency and CrowdstrikeCVE-2022-1364Google否未知Googles Threat Analysis GroupCVE-2022-26925Microsoft否未知Bertelsma
53、nn Printing GroupCVE-2022-30190Microsoft是未知Shadow Chaser GroupCVE-2022-26134Atlassian是DriftingcloudVolexity一、新興的瀏覽器巨頭:Lazarus2021 年初,朝鮮 APT 團伙 Lazarus 發起了針對安全人員的攻擊事件,攻擊中使用了多個瀏覽器及本地提權漏洞,2022 年初該團伙又針對美國的新聞、IT、加密幣及金融行業發起了多起攻擊。攻擊中使用了Chrome 瀏覽器的 0day 漏洞 CVE-2022-0609,結合 Chrome 瀏覽器的利用特性,這一波攻擊中至少還有一個用于提權的未
54、知 0day 漏洞。據 Google 研究人員的分析,Exp 落地前還進行了 Macos/Firefox 相關的環境檢測,有理由相信,該組織手中應該還有針對 Safari/Firefox 的 0day 漏洞。同時,該團伙似乎吸取了 2021 攻擊時的經驗教訓,對投遞的 0day 利用進行多重保護,包括但不限于:1.漏洞跳轉的 iframe 只在特定的時間提供2.魚叉郵件中的鏈接包含唯一 ID,以確保一個漏洞利用的鏈接只有一次觸發機會3.漏洞利用的每一個階段都通過 AES 加密4.一個階段失敗,直接放棄攻擊可以看到整個攻擊中攻防雙方的對抗升級,瀏覽器尤其是 Chrome 的 0day 檢測已經成
55、為除 Google 以外其他安全廠商很難介入的領域。二、進擊的向日葵向日葵是一款國內流行的遠程控制管理工具,其支持遠程控制電腦手機,遠程管理,內網穿透等功能。郵箱:ti_ 電話:95015 官網:https:/242022 年 2 月,該軟件 Windows 版本被曝光存在遠程命令執行漏洞,并出現在野利用。其本質上利用了向日葵對外開啟的一個危險接口,獲取到默認的 CID,從而配合后續的一處命令注入觸發代碼執行。由于很多企業的安全意識不足,將向日葵的接口主動曝露在公網,在漏洞公開后,大量企業受到了攻擊,包括挖礦、勒索、僵尸網絡等,其中海蓮花曾多次利用該漏洞進行攻擊。三、IoT 路由淪為 APT
56、團伙攻擊的前哨站APT 團伙攻擊時往往需要隱藏自身回連 C2 服務器,以防止后續安全人員的溯源,2022 年上半年,奇安信紅雨滴團隊捕獲到多起海蓮花攻擊 IoT 路由設備的事件,該團伙通過近兩年披露的一些路由器 nday漏洞,對外網上沒有修復的路由設備進行攻擊,將這些路由設備作為攻擊木馬回連C2服務器的中轉跳板,從而隱藏自己真實的 C2 服務器地址,此類手法已經成為當下海蓮花團伙的標配攻擊手段。四、Driftingcloud:新興的 0day 團伙Volexity 于 2022 年 6 月分別披露了兩起定向攻擊事件,這兩起攻擊中都使用了 0day 漏洞,其中一個漏洞 CVE-2022-2613
57、4 為 Atlassian Confluence Sever 中未經身份驗證的遠程代碼執行漏洞,另一個則是針對 Sophos 防火墻的遠程代碼執行漏洞 CVE-2022-1040,當通過漏洞攻陷 Sophos 防火墻后,攻擊者利用對防火墻的訪問權限修改了針對特定目標網站的 DNS 響應,以實現 MITM 攻擊,這使攻擊者能從對網站內容管理系統(CMS)的管理訪問中攔截用戶憑據和會話 cookie,并以此進行后續的攻擊。圖 4.2 Driftingcloud 0day 漏洞攻擊流程全球高級持續性威脅(APT)2022 年中報告25第四章 APT 攻擊中的漏洞利用述/全球高級持續性威脅(APT)2
58、022 年中報告五、傳承:CVE-2022-30190該漏洞最早由安全人員通過 VT 發現,并命名為 Follina。漏洞利用和去年的 CVE-2021-40444 有很多相似之處,通過 OLE 遠程拉取一個惡意 html,該 html 中使用 msdt 協議繞過了 office 自帶的保護視圖。后續發現微軟實際上在攻擊不久前就已經嘗試修復該問題,但是依舊存在 rtf 文件格式繞過的問題,最后通過 msdt 協議中的一處 powershell 注入導致最終的代碼執行。圖 4.3 CVE-2022-30190 漏洞利用該攻擊樣本被披露兩天之后,便被 TA413 用于實際的魚叉郵件攻擊,之后 AP
59、T28 組織也在針對烏克蘭的攻擊中使用了該漏洞,但是由于該漏洞最終通過 msdt 的方式利用,導致漏洞披露之后,樣本非常容易查殺。郵箱:ti_ 電話:95015 官網:https:/26第五章 地緣下的 APT 組織、活動和趨勢/全球高級持續性威脅(APT)2022 年中報告第五章 地緣下的APT組織、活動和趨勢地緣政治的格局一定程度上影響著 APT 組織對攻擊目標的選擇,因而從地域空間的角度來分析 APT 活動有益于了解其攻擊意圖和趨勢。圖 5.1 列舉了 2022 上半年全球各地區主要活躍的 APT 組織,全球主要 APT 組織列表也可以參見附錄 1。圖 5.1 2022 上半年全球 AP
60、T 組織分布情況東亞地區的組織與行動East Asia2022 上半年以來,東亞地區活躍的 APT 組織主要是 Lazarus 和 Kimsuky。Lazarus 組織依然以經濟利益為主要目的,Kimsuky 則主要出于政治動機進行攻擊。東亞 APT 組織攻擊能力LazarusGroupGroup123/APT37KimsukyDarkhotel毒云藤藍寶菇+第五章 地緣下的 APT 組織、活動和趨勢/全球高級持續性威脅(APT)2022 年中報告郵箱:ti_ 電話:95015 官網:https:/28Lazarus 組織在 2022 年上半年針對最多的是韓國,除攻擊金融行業外,還使用虛假工作
61、機會作為誘餌針對韓國化工和信息技術相關機構。2022 年 4 月,由于 Covid-19 的肆虐,不少公司使用 VMware 產品進行遠程工作,Lazarus 組織趁此機會利用 Log4j 漏洞向未安裝安全補丁的 VMware Horizon 產品發起攻擊,針對一家在能源和軍事領域的公司分發惡意軟件。此外,奇安信威脅情報中心還捕獲到 Lazarus 組織下屬團體 Andariel 利用 Go 語言編寫的下載器1,用于向 C2 服務器回傳收集到的主機信息然后下載 PE 文件并執行。大部分 Go 下載器被捕獲時在 VT 上的檢出數量較少,僅為個位數,這可能是攻擊者選用 Go 開發惡意軟件的一個原因
62、。Kimsuky 組織作為東亞地區另一活躍的 APT 組織,主要出于政治動機針對韓國和俄羅斯相關目標。但其攻擊目標相對較廣,會針對新聞、醫療以及與區塊鏈加密貨幣等相關的金融機構進行釣魚活動。在釣表 5.2 2022 上半年東亞地區活躍 APT 組織20092013201620142019LazarusDarkHotel虎木槿(APT-Q-11)KimsukyAPT37最早活動時間:2009公開披露時間:2009最早活動時間:2004公開披露時間:2014最早活動時間:2019公開披露時間:2019最早活動時間:2013公開披露時間:2013最早活動時間:2012公開披露時間:2016Lazar
63、us 組織被認為是地屬東亞的APT 組 織(Bureau 121),其 主 要動 機 是 經 濟 利 益。CrowdStrike 將其 命 名 為 STARDUST CHOLLIMA,CrowdStrike 將與朝鮮相關組織命名為*CHOLLIMADarkhotel 組織由卡巴斯基最早在2014 年披露。根據開源報告,該組織的第一次攻擊記錄在 2007 年,并在2010 年激增。其攻擊主要針對國防工業基地、軍事、能源、政府、非政府組織、電子制造、制藥和醫療等部門的公司高管、研究人員和開發人員虎木槿組織由奇安信威脅情報中心在2019 年 12 月率先披露了其攻擊流程,該組織擅用 0day 漏洞攻
64、擊,使用多種攻擊手法對目標進行滲透攻擊,攻擊對象包括中國、韓國等。Kimsuky 最早由卡巴斯基于 2013 年公開披露并命名,攻擊活動最早可追溯至 2012 年。其被認為具有東亞地區背景,與 Group123 APT 組織存在基礎設施重疊等關聯性Group123,也稱 ScarCruft,在2016 年 6 月由卡巴斯基最先進行披露,被認為是來自朝鮮的攻擊組織,最早活躍于 2012 年,該組織被認為與 2016 年的 Operation Daybreak 和Operation Erebus 有關。Group123和 APT 組織 Kimsuky 存在特征重疊全球高級持續性威脅(APT)202
65、2 年中報告29第五章 地緣下的 APT 組織、活動和趨勢/全球高級持續性威脅(APT)2022 年中報告魚之王APT-Q-2(Kimsuky)近期以多個話題針對韓國的魚叉攻擊活動分析2一文中,我們分析了 Kimsuky 組織的魚叉式釣魚攻擊流程。DarkHotel 以針對執法、制藥和汽車制造商以及其他行業而聞名。其攻擊主要針對國防工業基地、軍事、能源、政府、非政府組織、電子制造、制藥和醫療等部門的公司高管、研究人員和開發人員。多年來,Darkhotel 組織一直保持著使用酒店網絡跟蹤和打擊選定目標的能力,該組織通過使用惡意代碼的魚叉式網絡釣魚活動瞄準酒店和商務酒店訪客,從而在入住豪華酒店的首
66、席執行官和銷售負責人等企業高管那里竊取敏感數據。今年 3 月,國外友商就曾披露過其利用魚叉釣魚攻擊對澳門某豪華酒店進行攻擊。除此之外,奇安信威脅情報中心在 2019 年首次披露東亞 APT 團伙“虎木槿”,內部跟蹤代號為APT-Q-11。該團伙在 2019-2021 三年間利用了多個瀏覽器 0day 漏洞,使用多種攻擊手法對目標進行滲透攻擊。在Operation()ShadowTiger:盤踞在佛巖山上的過林之虎3一文中我們詳細闡述了其使用的攻擊手法,包括普通魚叉郵件釣魚、瀏覽器0day和魚叉郵件攻擊、內網水坑攻擊、內網 0day 橫向移動等攻擊方式。2022-02-16披露機構:ESTsec
67、urity CorpAPT 組織:Lazarus偽裝成數字資產錢包服務客戶中心的與朝鮮有關的 APT 攻擊192022-01-27披露機構:MalwarebytesAPT 組織:LazarusLazarus APT 在 最 新 的活 動 中 利 用 Windows更新客戶端和 GitHub42022-04-14披露機構:SymantecAPT 組織:LazarusLazarus 瞄準化工行業82022-03-24披露機構:GoogleAPT 組織:Lazarus應對來自朝鮮的威脅52022-01-03披露機構:cluster25APT 組織:APT37“KONNI”通過新版本的惡意軟件植入瞄準
68、俄羅斯外交部門252022-03-31披露機構:KasperskyAPT 組織:Lazarus用于傳遞 Lazarus 木馬化的 DeFi 惡意軟件應用程序62022-03-17披露機構:trellixAPT 組織:DarkhotelDarkHotel 活動更新,針對澳門某豪華酒店282022-02-08披露機構:ASECAPT 組織:KimsukyKimsuky 組織正在使用 xRAT 惡意軟件182022-04-19披露機構:360APT 組織:Lazarus隱 藏 在 投 資 推 介 書 中的 淘 金 者 APT-C-26(Lazarus)攻擊活動分析報告92022-03-25披露機構:
69、ASECAPT 組織:Kimsuky使用關于加密貨幣的 Word文件的 APT 攻擊202022-01-12披露機構:微步在線APT 組織:APT38KONNI 不按套路出牌,使用新手法針對俄羅斯方向持續展開攻擊262022-04-11披露機構:奇安信APT 組織:Lazarus雪虐風饕:疑似 Lazarus組織針對韓國企業的攻擊活動分析7郵箱:ti_ 電話:95015 官網:https:/30表 5.3 2022 上半年東亞地區 APT 組織熱點攻擊活動2022-05-19披露機構:ASECAPT 組織:Lazarus披露機構:奇安信APT 組織:虎木槿(APT-Q-11)Lazarus G
70、roup 利用Log4Shell 漏洞13Operation()ShadowTiger:盤踞在佛巖山上的過林之虎32022-04-28披露機構:奇安信APT 組織:LazarusLazarus 武器庫更新:Andariel 近期攻擊樣本分析12022-07-15披露機構:360APT 組織:LazarusAPT-C-26(Lazarus)組織偽造電商組件攻擊活動分析報告152022-05-312022-08-092022-07-21披露機構:ASECAPT 組織:Kimsuky披露機構:KasperskyAPT 組織:Lazarus偽裝成互聯網路由器安裝文件分發 AppleSeed22Anda
71、riel 部署 DTrack 和Maui 勒索軟件162022-04-20披露機構:CISAAPT 組織:Lazarus朝鮮國家贊助的 APT 瞄準區塊鏈公司102022-06-17披露機構:奇安信APT 組織:Kimsuky釣魚之王 APT-Q-2(Kimsuky)近期以多個話題針對韓國的魚叉攻擊活動分析22022-05-252022-07-282022-08-17披露機構:ASECAPT 組織:Kimsuky披露機構:volexityAPT 組織:Kimsuky披露機構:安恒APT 組織:LazarusKimsuky 的攻擊企圖偽裝成各種主題的新聞稿21SharpTongue部署郵件竊取瀏
72、覽器擴展“SHARPEXT”24加密貨幣收割機:Lazarus APT組織近期不斷攻擊加密貨幣行業172022-05-05披露機構:nccgroupAPT 組織:Lazarus使用社交媒體和社會工程進行初始訪問122022-07-20披露機構:SecuronixAPT 組織:APT39觀 察 到 APT37 新 的 攻擊活動272022-06-07披露機構:360APT 組織:Kimsuky鯊魚的狂歡 APT-C-55 Kimsuky 組織近期BabyShark 組件披露232022-04-27披露機構:SymantecAPT 組織:Lazarus朝鮮 Stonefly 組織間諜活動針對高價值
73、目標112022-07-07披露機構:JPCertAPT 組織:LazarusLazarus 使用的YamaBot 惡意軟件14東南亞地區最活躍的 APT 組織依然是海蓮花。在 2022 年上半年,我們觀察到海蓮花組織頻繁針對國內多個目標發起攻擊,其攻擊頻率達到平均每月 17 次,目標囊括了政府、科研、能源、醫療、金融等多個領域。東南亞地區的組織與行動Southeast Asia東南亞 APT 組織攻擊能力海蓮花/APT32+第五章 地緣下的 APT 組織、活動和趨勢/全球高級持續性威脅(APT)2022 年中報告郵箱:ti_ 電話:95015 官網:https:/32表 5.4 2022 上
74、半年東南亞地區活躍 APT 組織海蓮花組織近年來入侵目標的方式已經由魚叉式釣魚郵件轉變為以網絡滲透手段為主,在攻擊活動中經常使用各種開源的惡意載荷加載器進行免殺,這也使得該組織武器庫編程語言除了 C+和 C#,還涉及相對小眾的 Nim32。2022年6月,該組織Linux平臺后門“Buni”被友商披露33。該后門與去年披露的海蓮花Linux后門“雙頭龍”以及早期 macOS 后門相似。這一款后門在單一進程實例、信息收集、C2 地址編碼等技術特點上和“雙頭龍”幾乎一致,但指令類型有所不同,并且流量加密方式較為簡單。分析人員在捕獲相關樣本時發現后門仍處于活躍狀態,后門中硬編碼的 C2 利用了一些失
75、陷 IoT 設備,并且控制的主機數量較多。此外,一類使用了與海蓮花組織類似手法的攻擊樣本也出現在我們的視野中29,30。這類樣本采用了海蓮花組織曾使用過的宏文檔類型和代碼混淆方法,并且借助 Glitch 平臺托管 C2 服務,不過樣本也存在一些與海蓮花組織歷史攻擊手法不同的地方。下表總結了 2022 上半年東南亞地區 APT 組織的主要攻擊活動。組織名最早活動時間公開披露時間組織簡介海蓮花20122015海蓮花組織是由奇安信威脅情報中心最早披露并命名的一個 APT 組織,自 2012 年 4 月起,該組織針對中國政府、科研院所、海事機構等相關重要領域展開了有組織、有計劃、有針對性的長時間不間斷
76、攻擊2022-06-01披露機構:微步在線APT 組織:海蓮花海蓮花組織 Linux 平臺后門 Buni 披露332022-03-15披露機構:深信服APT 組織:海蓮花海蓮花組織疑似針對越南地區的攻擊文件分析312022-01-12披露機構:netskopeAPT 組織:海蓮花疑似海蓮花組織利用惡意 Web 歸檔文件的攻擊活動292022-06-20披露機構:深信服APT 組織:海蓮花疑似海蓮花組織攻擊活動樣本溯源分析342022-04-02披露機構:360APT 組織:海蓮花海蓮花組織攻擊活動動態淺析322022-01-20披露機構:奇安信APT 組織:海蓮花疑似海蓮花組織利用Glitch
77、 平臺的攻擊樣本再現30表 5.5 2022 上半年東南亞地區 APT 組織熱點攻擊活動南亞地區的組織與行動South Asia南亞地區 2022 年上半年活躍的 APT 組織依然是該地區的幾個老牌 APT 組織,即透明部落、蔓靈花、Sidewinder 和摩訶草。此外,我們發現了該地區一個新的 APT 組織金剛象(VajraEleph)。南亞 APT 組織攻擊能力摩訶草蔓靈花/BITTER肚腦蟲/DonotTeam響尾蛇/SideWinder魔羅桫+第五章 地緣下的 APT 組織、活動和趨勢/全球高級持續性威脅(APT)2022 年中報告郵箱:ti_ 電話:95015 官網:https:/3
78、4表 5.6 2022 上半年南亞地區活躍 APT 組織2013202220202017201620182016摩訶草VajraElephSideCopy肚腦蟲Transparent Tribe蔓靈花Sidewinder 最早活動時間:2009公開披露時間:2013最早活動時間:2019公開披露時間:2020最早活動時間:2019公開披露時間:2020最早活動時間:2016公開披露時間:2017最早活動時間:2012公開披露時間:2016最早活動時間:2013公開披露時間:2016最早活動時間:2012公開披露時間:2018主要針對中國、巴基斯坦等亞洲地區國家,以政府、軍事、電力、工業、外交和
79、經濟等領域為主竊取敏感信息。具備 Windows、Android、macOS 三 平臺攻擊能力。奇安信內部跟蹤編號為APT-Q-36該APT組織最早的攻擊活動可以追溯到2021年6月。疑似來自南亞,主要針對巴基斯坦軍方展開了有組織、有計劃、針對性的軍事間諜情報活動。其攻擊目標主要為巴基斯坦國家的邊防軍(FC)和特種部隊(SSG),尤其是俾路支省邊防軍(FC BLN),此外還包含少量的聯邦調查局(FIA)和警察(Police)。奇安信內部跟蹤編號為APT-Q-43主要針對印度、巴基斯坦和阿富汗,以政府、國防、軍事等相關組織人員為目標進行網絡間諜活動。因其攻擊手法主要以復制 Sidewinder
80、及其他 APT 組織的TTP為主而得名主要針對巴基斯坦、中國、斯里蘭卡等南亞地區國家,對政府機構、國防軍事部門以及商務領域重要人士實施網絡間諜活動。主要使用 yty 和EHDevel 兩套惡意框架。奇安信內部跟蹤編號為 APT-Q-38主要針對印度政府、軍隊或相關組織,以及巴基斯坦的激進分子和民間社會,利用社會工程學進行魚叉攻擊,同時也會在移動端發起攻擊主要針對巴基斯坦、中國兩國,其攻擊目標為政府部門、電力、軍工業相關單位,意圖竊取敏感資料,并與摩訶草、魔羅桫存在關聯。奇安信內部跟蹤編號為 APT-Q-37主要針對巴基斯坦、中國、阿富汗、尼泊爾、孟加拉等國家展開攻擊,旨在竊取政府外交機構、國防
81、軍事部門、高等教育機構等領域的機密信息。常使用已知漏洞(CVE-2017-11882)開展攻擊活動。奇安信內部跟蹤編號為APT-Q-39全球高級持續性威脅(APT)2022 年中報告35從 2022 年上半年公開披露的攻擊活動來看,南亞地區各 APT 組織活躍度較往年并未出現太大的波動。2022 年在 1 月下旬,奇安信威脅情報中心捕獲到來自 SideCopy 組織面向 Linux 64 位系統所使用的竊密樣本40,該樣本由 Go 語言編寫,功能單一,僅實現對受害者主機目錄的掃描以及數據竊取的功能。此外,通過關聯分析發現回連相同 C2 地址的樣本所涉及的目標系統涵蓋了 Windows 和 Li
82、nux,可以推測此類樣本或為該組織某攻擊鏈條中的一個組件,同時表明該組織在策劃針對 Windows 和 Linux 多平臺的攻擊。根據公開報告顯示,2022 上半年南亞地區活躍度最高的是透明部落組織,該組織主要針對印度政府、軍隊相關目標,上半年仍以其常用的 Crimson RAT 作為載荷。2022 年 2 月,奇安信威脅情報中心發現Transparent Tribe 組織與 SideCopy 利用相同的基礎設施托管惡意軟件42,并使用同樣偽裝為印度政府國家信息中心的 Kavach 身份驗證程序進行攻擊,這表明兩者可能存在較大關聯,兩個月后我們捕獲到了該組織用于針對印度目標的 USBWorm
83、組件。蔓靈花組織在 2022 年上半年則積極針對孟加拉國的政府、軍事相關目標。我們發現蔓靈花團伙在四月份的攻擊活動中投遞帶有 DDE auto 的文檔作為附件53,且觀察到蔓靈花正在修改 MSI 木馬。金剛象(VajraEleph)是我們新發現的一個對 Android 平臺進行攻擊的 APT 組織46,該組織疑似具有南亞背景,主要針對巴基斯坦軍方展開有組織、有計劃、針對性的軍事間諜情報活動。金剛象組織通常使用公開的社交平臺找到關注的目標,然后利用色情話術等方式誘導目標用戶安裝指定的誘餌聊天攻擊應用進行釣魚攻擊。我們將其使用的 Android 平臺 RAT 命名為 VajraSpy。通過對該組織
84、的攻擊手法進行分析我們發現,該組織帶有明顯的軍事情報竊取意圖,擅長使用社交誘導投遞和短信投遞進行攻擊,攻擊鏈中存在與肚腦蟲 APT 組織相似的特征。Sidewinder APT 在 2022 年上半年先后發起了假冒“巴基斯坦政府內閣秘書處,內閣部門國家電信和信息技術安全委員會”對巴基斯坦進行釣魚攻擊38、利用巴基斯坦國慶作為誘餌進行釣魚活動43以及模仿巴基斯坦政府合法域52等攻擊活動,并且在此期間,該組織不斷對使用的攻擊方式進行更新迭代。下表總結了上述南亞 APT 組織在 2022 年上半年的主要攻擊活動。2022-01-10披露機構:安恒APT 組織:摩訶草Patchwork APT 組織針
85、對某醫療衛生機構相關人員與巴基斯坦國防官員攻擊活動分析372022-01-10披露機構:360APT 組織:蔓靈花隱藏在賬單下的惡意APT-C-08(蔓靈花)最新攻擊活動簡報352022-01-18披露機構:深信服APT 組織:響尾蛇SideWinder 假冒“巴基斯坦政府內閣“進行釣魚活動382022-01-10披露機構:MalwarebytesAPT 組織:摩訶草Patchwork 利用釣魚攻擊投放 BADNEWS 木馬新變種36第五章 地緣下的 APT 組織、活動和趨勢/全球高級持續性威脅(APT)2022 年中報告郵箱:ti_ 電話:95015 官網:https:/362022-02-
86、182022-05-18披露機構:綠盟APT 組織:響尾蛇披露機構:360APT 組織:響尾蛇印度國家級APT組織“響尾蛇”發起春季攻勢43SideWinder 最新攻擊活動使用全新的攻擊方式和流程512022-01-29披露機構:奇安信APT 組織:透明部落Packer?對 抗?“透明 部 落”正 在 尋 求CrimsonRAT 的 新 出 路412022-05-05披露機構:微步在線APT 組織:蔓靈花推陳出新,蔓靈花組織攻擊模塊再升級492022-03-302022-06-08披露機構:CiscoAPT 組織:透明部落披露機構:奇安信APT 組織:蔓靈花、響尾蛇、摩耶象Transpare
87、nt Tribe 模仿軍事國防組織的虛假域,以攻擊印度官員45近期南亞地區 APT 組織攻擊活動分析532022-01-18披露機構:ESETAPT 組織:肚腦蟲Donot 組織持續攻擊南亞政府和軍事組織392022-04-24披露機構:安恒APT 組織:蔓靈花疑似印度蔓靈花組織通過巴基斯坦政府機構作為跳板攻擊孟加拉國472022-03-112022-06-01披露機構:安恒APT 組織:蔓靈花披露機構:Group-IBAPT 組織:響尾蛇疑似 BITTER APT 組織利用尼泊爾建軍節相關誘餌攻擊巴基斯坦政府及核能人員44SideWinder 組織模仿巴基斯坦政府合法域發起攻擊522022-
88、02-17披露機構:奇安信APT 組織:透明部落百密一疏,透明部落與 SideCopy 共用基礎設施露出馬腳422022-05-12披露機構:CiscoAPT 組織:蔓靈花BITTER 以新的惡意軟件瞄準孟加拉國502022-03-31披露機構:奇安信APT 組織:金剛象來自南亞的金剛象組織VajraEleph針對巴基斯坦軍方人員的網絡間諜活動披露462022-01-19披露機構:奇安信APT 組織:SideCopy“SideCopy”武 器 庫更 新:基 于 Golang 的Linux 竊密工具浮出水面402022-04-29披露機構:奇安信APT 組織:透明部落“透明部落”利用走私情報相關
89、誘餌針對印度的攻擊活動分析48表 5.7 2022 上半年南亞地區 APT 組織熱點攻擊活動由于俄烏沖突,東歐地區 2022 年上半年針對烏克蘭的 APT 活動變得十分頻繁,其中不乏老牌 APT 組織APT28、APT29、Gamaredon、Sandworm 的身影。UAC-0056 和 UNC1151 組織也在俄烏沖突中表現得極為活躍。除了烏克蘭,東歐地區的 APT 組織還把目光放在其他國家上,展開了不間斷的網絡間諜活動。下表為東歐地區活躍的組織簡介。東歐地區的組織與行動Eastern Europe東歐 APT 組織攻擊能力APT28TurlaGamaredonEnergeticBear+
90、第五章 地緣下的 APT 組織、活動和趨勢/全球高級持續性威脅(APT)2022 年中報告郵箱:ti_ 電話:95015 官網:https:/38表 5.8 2022 上半年東歐地區活躍 APT 組織2013202220142015202020142015APT29UAC-0056TurlaSandwormAPT28GamaredonUNC1151最早活動時間:2008公開披露時間:2013最早活動時間:2020公開披露時間:2022最早活動時間:2007公開披露時間:2014最早活動時間:2009公開披露時間:2015最早活動時間:2004公開披露時間:2014最早活動時間:2013公開披露
91、時間:2015最早活動時間:2017公開披露時間:2020APT29 組織的主要目標為西亞、中亞、東非和中東的政府部門和機構。其被認為在 2015 年夏季攻擊了美國DNC,近年來不斷針對多國外交機構發起攻擊又名 Lorec53(中文名稱:洛瑞熊),該組織最早的攻擊活動可以追溯到 2020 年 6 月,主要以烏克蘭、格魯吉亞為目標,其攻擊活動帶有明顯的政治意圖該組織擁有非常復雜的 TTP,其受害者覆蓋超過 45 個國家,常針對政府、大使館、軍事、教育、研究和制藥公司實施魚叉和水坑攻擊Sandworm 組織大約從 2009 年開始運營,主要針對與能源、工業控制系統、SCADA、政府和媒體相關領域的
92、烏克蘭實體,在 2022 年俄烏沖突中策劃了針對烏克蘭電網的攻擊APT28 組織歷史活動非常頻繁,主要針對政府,軍事和安全組織,相關攻擊覆蓋 Windows、Linux、Mac、Android 和 iOS,其在 2016 年企圖干擾美國大選,在 2022 年上半年被披露發動了針對美國國防承包商的攻擊,俄烏沖突中多次向烏克蘭投放惡意軟件主要針對烏克蘭執法部門、政府機構和軍事力量進行間諜活動和情報收集等攻擊。Operation Armageddon 行動與該組織有關,2022 年上半年頻繁向烏克蘭發起網絡釣魚攻擊該 APT 組織據稱與“Ghostwriter”攻擊活動相關,對包括立陶宛、拉脫維亞和
93、波蘭等北約相關國家實施網絡釣魚攻擊全球高級持續性威脅(APT)2022 年中報告39魚叉式釣魚郵件仍是東歐地區 APT 組織常用的一種攻擊手段,在俄烏沖突中 Gamaredon、UAC-0056頻繁對烏克蘭相關組織機構發起網絡釣魚攻擊,APT28、APT29、Turla、UNC1151 的釣魚攻擊目標還涉及到東歐其他國家和歐盟北約的成員國。APT28 會利用剛曝光的漏洞構造惡意文檔發起攻擊54,84,APT29 則借助合法的網絡服務創建 C&C 信道76,79,以繞過流量檢測并增加攻擊活動的隱蔽性。Sandworm 組織被認為是 Cyclops Blink 惡意軟件的幕后黑手60,該惡意軟件可
94、以利用 SOHO 網絡設備創建僵尸網絡。2022 年 4 月,烏克蘭計算機應急響應小組(CERT-UA)和 ESET 聯合披露了該組織計劃針對烏克蘭電網的攻擊72,在此次攻擊中出現的針對電力工控系統的惡意軟件 Industroyer2 是Sandworm 組織在 2016 攻擊烏克蘭電力系統時使用的 Industroyer 的變種,同時該組織還計劃使用CaddyWiper 和 Linux/Solaris 平臺的數據擦除軟件讓受感染的系統難以恢復。奇安信威脅情報中心整理了 2022 上半年東歐 APT 組織熱點攻擊活動,如下表所示。2022-02-16披露機構:綠盟APT 組織:UAC-0056
95、APT 組織 LOREC53(洛瑞熊)近期針對烏克蘭的大規模網絡攻擊活動582022-01-31披露機構:SymantecAPT 組織:GamaredonGamaredon 持 續 對 烏克蘭進行網絡間諜攻擊562022-02-28披露機構:lab52.ioAPT 組織:Turla尋找在野的 Penquin 樣本642022-02-23披露機構:CISAAPT 組織:SandwormCyclops Blink 惡意軟件與Sandworm 組織有關602022-01-25披露機構:trellixAPT 組織:APT28疑似 APT28 利用 CVE-2021-40444 漏洞針對西亞和東歐高級政
96、府官員的網絡間諜活動542022-02-26披露機構:知道創宇APT 組織:Gamaredon,UAC-0056俄烏戰爭中的網絡攻擊部隊行為分析622022-02-16披露機構:CISAAPT 組織:APT28APT28 針對美國國防承包商發起攻擊592022-02-04披露機構:MicrosoftAPT 組織:GamaredonGamaredon 針對烏克蘭組織的攻擊活動572022-03-01披露機構:ProofpointAPT 組織:UNC1151Asylum Ambuscade:針對管理烏克蘭難民后勤的歐洲官員的網絡釣魚活動652022-02-25披露機構:PaloAlto Netwo
97、rksAPT 組織:UAC-0056UAC-0056 針對烏克蘭的組織發起魚叉式網絡釣魚攻擊612022-01-27披露機構:CrowdStrikeAPT 組織:APT29APT29在StellarParticle活動中使用的新策略和技術552022-02-28披露機構:綠盟APT 組織:GamaredonAPT 組織 Gamaredon近期在烏克蘭盧甘斯克地區的網絡釣魚活動63第五章 地緣下的 APT 組織、活動和趨勢/全球高級持續性威脅(APT)2022 年中報告郵箱:ti_ 電話:95015 官網:https:/402022-04-012022-05-10披露機構:lab52.ioAPT
98、 組織:Turla披露機構:安恒APT 組織:GamaredonProcess Manager:與Turla APT 組 織 有 關 的Android 惡意軟件70Gamaredon 釣 魚 樣 本分析782022-03-22披露機構:securityaffairs.coAPT 組織:InvisiMoleInvisiMole 組織針對烏克蘭國家機構發起魚叉式釣魚攻擊682022-04-282022-06-13披露機構:MandiantAPT 組織:APT29披露機構:MalwarebytesAPT 組織:APT28APT29 在網絡釣魚攻擊活動中利用 Trello 服務76APT28 利用對核
99、戰爭的恐懼在烏克蘭傳播 Follina 漏洞(CVE-2022-30190)利用文檔842022-04-122022-05-20披露機構:ESETAPT 組織:Sandworm披露機構:ESETAPT 組織:SandwormSandworm 組織試圖攻擊烏克蘭能源供應商72Sandworm 使用新版ArguePatch 攻擊烏克蘭目標802022-03-14披露機構:奇安信APT 組織:UNC1151疑似APT組織UNC1151針對烏克蘭等國的攻擊活動分析662022-04-202022-05-26披露機構:SymantecAPT 組織:Gamaredon披露機構:安恒APT 組織:Gamar
100、edonGamaredon 繼 續 針 對烏克蘭進行網絡間諜活動74Gamaredon APT 近 期攻擊活動分析822022-04-042022-05-13披露機構:CERT-UAAPT 組織:Gamaredon披露機構:DuskRise IncAPT 組織:APT29烏克蘭發現與Gamaredon組織有關的網絡釣魚攻擊活動71在針對歐洲的攻擊活動中使用 Dropbox 服務792022-04-01披露機構:MalwarebytesAPT 組織:UAC-0056UAC-0056 針對烏克蘭實體的新活動分析692022-05-062022-06-27披露機構:CERT-UAAPT 組織:APT
101、28披露機構:InQuestAPT 組織:GamaredonAPT28 使用CredoMap_v2 惡意軟件攻擊烏克蘭77GlowSand:Gamaredon攻擊樣本分析852022-04-182022-05-23披露機構:InQuestAPT 組織:APT29披露機構:sekoiaAPT 組織:TurlaAPT29 針對以色列大使館的惡意文檔73Turla 組織在東歐實施的新的網絡間諜活動812022-03-18披露機構:360APT 組織:GamaredonAPT-C-53(Gamaredon)在近期攻擊中的新變化672022-04-252022-05-26披露機構:Bitdefender
102、APT 組織:UAC-0056披露機構:360APT 組織:GamaredonUAC-0056 使用的Elephant 攻擊框架分析75APT-C-53(Gamaredon)新一輪 DDoS 攻擊任務分析83表 5.9 2022 上半年東歐地區 APT 組織熱點攻擊活動由于動蕩不安的政治局勢,中東地區的網絡攻擊活動十分頻繁,涉及的 APT 組織眾多,攻擊目標也極具復雜性,不僅針對特定行業,也會對人權活動家、立法者、官員甚至總統等個人目標進行攻擊。中東地區的組織與行動Middle East中東 APT 組織攻擊能力MuddyWaterAPT34/OilRigAPT33FruityArmorSan
103、dCat黃金鼠利刃鷹諾崇獅雙尾蝎+第五章 地緣下的 APT 組織、活動和趨勢/全球高級持續性威脅(APT)2022 年中報告郵箱:ti_ 電話:95015 官網:https:/42201320172016201520182017201620162019月光鼠MuddyWaterAPT34PROMETHIUM Lyceum雙尾蝎軍刀獅APT33黃金鼠最早活動時間:2012公開披露時間:2013最早活動時間:2017公開披露時間:2017最早活動時間:2014公開披露時間:2016最早活動時間:2012公開披露時間:2016最早活動時間:2018公開披露時間:2019最早活動時間:2011公開披露
104、時間:2015最早活動時間:2015公開披露時間:2018最早活動時間:2013公開披露時間:2017最早活動時間:2014公開披露時間:2016月光鼠組織經常以時事熱點制作魚叉郵件,通過攜帶的惡意文檔傳播惡意軟件,此外該組織還會將惡意軟件包裝在安卓應用中進行傳播主要針對中東實施網絡間諜活動,也針對歐洲和北美國家。其攻擊目標包括電信、政府(IT 服務)和石油部門。主要使用基于 PowerShell 的初始階段后門,也被稱為 POWERSTATS其針對中東地區實施攻擊,攻擊目標包括金融、政府、能源、化工和電信等行業。該組織過去以 APT34和 OilRig 兩個不同的名稱分別進行追蹤分析PROM
105、ETHIUM 組 織 擁 有 復 雜 的 模塊化攻擊武器庫與豐富的網絡資源,具備 0day 漏洞作戰能力,擁有Windows、Android 雙平臺攻擊武器Dragos 披露的一個新的針對 ICS 的攻擊團伙,其主要針對關鍵基礎設施,包括石油和天然氣以及可能的電信。其最早可能在 2018 年 4 月開始活動雙尾蝎組織攻擊范圍主要為中東地區,其針對 Windows 和 Android 雙平臺采取魚叉或水坑等攻擊方式配合社會工程學手段進行滲透,向政府、金融、媒體、能源、軍事等特定目標人群進行攻擊ZooPark(軍刀獅)組織最早是由Kaspersky 于 2018 披露并命名的組織,該組織自 201
106、5 開始活躍,主要攻擊目標為伊朗、約旦、埃及、黎巴嫩等中東地區國家,其攻擊武器共包含四個迭代版本的 Android 端 RAT,且版本間代碼復雜度提升極大APT33 是 FireEye 披露的 APT 組織,攻擊目標包括美國、沙特阿拉伯和韓國,主要針對航空和能源領域實施攻擊活動黃金鼠是一個最早由奇安信披露的APT 組織。該組織在敘利亞地區活躍,其具備 Windows 和 Android 平臺的惡意攻擊能力全球高級持續性威脅(APT)2022 年中報告43表 5.10 2022 上半年中東地區活躍 APT 組織圖 5.11 Lyceum 組織攻擊流程通過跟蹤梳理,我們發現中東區域活躍的 APT
107、組織主要是 MuddyWater、Lyceum 以及 Molerats。Molerats 組織活動主要集中在年初 1、2 月份,針對政府、外交、航空實體86以及人權活動家87開展網絡間諜活動。2022 年 1 月 12 日,美國網絡司令部將 MuddyWater 組織歸屬于伊朗情報部(MOIS)。隨后,奇安信威脅情報中心對 MuddyWater 的攻擊戰術進行分析88,并還原了該組織在全球范圍內使用的 PowGoop變種木馬攻擊鏈。MuddyWater 上半年主要針對土耳其相關目標進行攻擊,此外還開展了針對全球政府和商業實體的間諜活動。Lyceum 最早由 Secureworks 于 2019
108、 年公開披露并命名,是一個很少被曝光的威脅組織,其目標是中東地區的石油和天然氣公司。上半年,Lyceum 被觀察到多次針對能源目標,我們在瞄準能源企業:Lyceum 組織以軍事熱點事件為誘餌針對中東地區的定向攻擊89一文中詳細分析了該組織相關攻擊,通過誘騙受害者點擊彈框下載 docm 文件或者偽裝的 SCR 屏幕保護程序。第五章 地緣下的 APT 組織、活動和趨勢/全球高級持續性威脅(APT)2022 年中報告202020202021利刃鷹諾崇獅MKLG最早活動時間:2019公開披露時間:2020最早活動時間:2013公開披露時間:2020最早活動時間:2015公開披露時間:2021利刃鷹是由
109、奇安信最早披露并命名的組織。其主要針對伊斯蘭國、基地組織、庫爾德族群和土庫曼族群進行持續攻擊控制的活動諾崇獅是由奇安信最早披露并命名的組織,活躍在中東地區,一直持續針對阿拉伯用戶、什葉派及評論人士進行攻擊,旨在讓被攻擊者的社交平臺賬號變成“沉默賬號”MKLG 為奇安信披露的組織,該組織至少從 2015 年起,就一直針對似乎居住在伊朗講波斯語的人。該組織一直使用同一家族木馬進行重復開發,根據 PDB 路徑,我們將其命名為 MKLG郵箱:ti_ 電話:95015 官網:https:/44表 5.12 2022 上半年中東地區 APT 組織熱點攻擊活動其他 APT 組織如 APT35、雙尾蝎等依舊在
110、中東地區比較活躍,其攻擊方式和武器庫層出不窮,常利用地方選舉、社會熱點等信息制作誘餌,偏好使用魚叉釣魚郵件、水坑攻擊、社工等方式建立攻擊立足點。結合公開情報,我們整理了中東地區 2022 年上半年主要攻擊活動,如下表所示。2022-01-262022-03-10披露機構:cymruAPT 組織:Molerats披露機構:CiscoAPT 組織:MuddyWater與 Molerats APT 有 關 的管理 IP 地址的分析100與 MuddyWater 有關的子組織攻擊土耳其和其他亞洲國家942022-01-17披露機構:奇安信APT 組織:MuddyWater繼美國網絡司令部披露后:Mud
111、dyWater 近 期攻擊活動總結882022-02-242022-06-09披露機構:MandiantAPT 組織:MuddyWater披露機構:zscalerAPT 組織:Lyceum在最新的伊朗網絡間諜活 動 中 發 現 Telegram惡意軟件92Lyceum.NET DNS 后門1082022-02-012022-03-21披露機構:cybereasonAPT 組織:APT35披露機構:奇安信APT 組織:PROMETHIUMPowerLess 木馬伊朗 APT為間諜活動添加了新的PowerShell 后門96賽博空間的魔眼(續):PROMETHIUM 偽裝為WinRar.exe 的
112、攻擊活動分析1062022-01-11披露機構:checkpointAPT 組織:APT35APT35 利用 Log4j 漏洞分發新的模塊化PowerShell 工具包952022-02-082022-05-10披露機構:proofpointAPT 組織:Molerats披露機構:MalwarebytesAPT 組織:APT34與巴勒斯坦結盟的間諜活動的故事86使用新的 Saitama 后門針對約旦政府982022-01-312022-03-21披露機構:CiscoAPT 組織:MuddyWater披露機構:DFIR reportAPT 組織:APT35伊朗 APT MuddyWater 通過
113、惡意 PDF、可執行文件針對土耳其用戶91APT35 使用 ProxyShell 自動化初始訪問972022-01-20披露機構:zscalerAPT 組織:MoleratsMolerats APT 針對中東用戶的新間諜攻擊992022-02-242022-06-15披露機構:CISAAPT 組織:MuddyWater披露機構:安恒APT 組織:雙尾蝎伊朗政府資助的威脅行為者針對全球政府和商業網絡的網絡行動93游走于中東的魅影-APT組織 AridViper 近期攻擊活動分析1042022-02-022022-04-062022-06-222022-07-06披露機構:CiscoAPT 組織:
114、雙尾蝎披露機構:cybereasonAPT 組織:雙尾蝎披露機構:奇安信APT 組織:Lyceum披露機構:360APT 組織:雙尾蝎AridViper APT 以新一波以政治為主題的網絡釣魚攻擊、惡意軟件針對巴勒斯坦102針對以色列官員的APT-C-23活動103 瞄準能源企業:Lyceum 組織以軍事熱點事件為誘餌針對中東地區的定向攻擊89APT-C-23(雙尾蝎)組織偽裝 Threema 通訊軟件攻擊分析1052022-01-12披露機構:SentinelOneAPT 組織:MuddyWater伊朗國家支持的威脅行為者最近的活動902022-02-162022-05-10披露機構:微步在
115、線APT 組織:Molerats披露機構:360APT 組織:Lyceum中東持續活躍的威脅:月光鼠組織借助云服務展開間諜攻擊101Lyceum 組織針對高科技芯片行業攻擊活動的簡要分析107全球高級持續性威脅(APT)2022 年中報告45表 5.13 2022 上半年其他地區活躍 APT 組織TA4563組織主要攻擊目標是歐洲金融和投資實體,尤其是那些支持外匯、加密貨幣和去中心化金融(DeFi)的業務的實體,攻擊特點是利用 lnk 加載器、javascript 和 powershell 腳本釋放 EvilNum 后門組件,用來竊取數據或加載額外的負載109。2022 年全球安全廠商披露出多
116、個具有高級攻擊技術,并在本年度持續活躍的 APT 組織、以經濟為目的的網絡犯罪組織(Hive0117)和網絡軍火商(KNOTWEED)。202120222022202220222022KasablankaHive0117POLONIUMTA4563MURENSHARKKNOTWEED最早活動時間:2021公開披露時間:2021最早活動時間:2022公開披露時間:2022最早活動時間:2022公開披露時間:2022最早活動時間:2021公開披露時間:2022最早活動時間:2021公開披露時間:2022最早活動時間:2021公開披露時間:2022通過 PDF 文誘餌文檔和網站對金融、政府組織進行網
117、絡釣魚,主要進行信息收集和間諜活動,其具備 Windows 和Android平臺的惡意攻擊能力112出于經濟動機的網絡犯罪組織,主要針對立陶宛、愛沙尼亞和俄羅斯電信、電子和工業部門的用戶113該 APT 組織最早的攻擊活動可以追溯到 2022 年。疑似來自黎巴嫩,主要針對以色列的關鍵制造業、信息技術、交通系統、國防工業基地、政府機構和服務目標等進行攻擊活動110該 APT 組織最早的攻擊活動可以追溯到 2021 年 12 月。主要針對歐洲金融和投資實體目標等進行攻擊活動109該 APT 組織最早的攻擊活動可以追溯到 2021 年 4 月。來源未知,主要針對土耳其,北塞浦路斯的高校、研究所和軍隊
118、目標等進行攻擊活動。其使用 NiceRender 生成的惡意文檔投遞LetMeOut 木馬111來自奧地利的網絡軍火商,善于利用0day 進行網絡攻擊活動114其他地區的組織與行動Other areas in World第五章 地緣下的 APT 組織、活動和趨勢/全球高級持續性威脅(APT)2022 年中報告郵箱:ti_ 電話:95015 官網:https:/46圖 5.14 Kasablanka 組織釣魚頁面圖 5.15 Kasablanka 惡意應用的圖標Kasablanka 通過網站釣魚傳播 Android 平臺間諜軟件 SpyNoteRAT,釣魚網站偽裝成也門聯合國兒童基金會網站,聲稱
119、提供移動端應用程序以進行載荷投遞,攻擊樣本存放在釣魚網站中。該釣魚網站從2021 年 7 月開始投入使用,至 2022 年仍然活躍。該組織惡意 Android 應用圖標的偽裝對象除了上面提到的也門聯合國兒童基金會,還包括聯合國、聯合國兒童基金會供應司、通話軟件等。根據對軟件圖標偽裝對象的分析,受害者應該是也門的政治團體或公益組織。全球高級持續性威脅(APT)2022 年中報告472022-08-18披露機構:綠盟APT 組織:MURENSHARK以土耳其為特定目標進行釣魚攻擊1112022-07-27披露機構:MicrosoftAPT 組織:KNOTWEED通過 CVE-2022-22047
120、提權 0day 進行攻擊,之后投遞惡意軟件 Subzero1142022-04-26披露機構:securityintelligenceAPT 組織:Hive0117利用釣魚郵件攻擊立陶宛的國有通信公司、愛沙尼亞的知名工業企業以及位于俄羅斯的多家電子和電信企業1132022-08-17披露機構:360APT 組織:Kasablanka利用釣魚網站等針對也門政治團體或公益組織進行攻擊1122022-07-21披露機構:proofpointAPT 組織:TA4563以歐洲金融和投資實體為誘餌郵件,利用 OneDrive下發 EvilNum 后門組件109表 5.16 2022 上半年其它地區 APT
121、 組織熱點攻擊活動Hive0117 善于利用網絡釣魚郵件下發 DarkWatchman 組件(一種 JavaScript RAT),通過 C2 機制實現無文件持久化和其他功能。KNOTWEED 是來自奧地利的網絡軍火商,主要針對歐洲、中美洲等地區的目標進行攻擊活動。它曾在 2021 年通過 Adobe 0day CVE-2021-28550 及 Windows 提權 0day CVE-2021-31199 和 CVE-2021-31201 進行攻擊,在 2022 年利用 CVE-2022-22047 提權 0day 的攻擊中投遞了惡意軟件 Subzero。第五章 地緣下的 APT 組織、活動和
122、趨勢/全球高級持續性威脅(APT)2022 年中報告郵箱:ti_ 電話:95015 官網:https:/48披露時間組織名活動描述披露機構2022-01-31GamaredonGamaredon 持續對烏克蘭進行網絡間諜攻擊56Symantec2022-02-04GamaredonGamaredon 針對烏克蘭組織的攻擊活動57Microsoft2022-02-16UAC-0056APT 組織 LOREC53(洛瑞熊)近期針對烏克蘭的大規模網絡攻擊活動58綠盟2022-02-25UAC-0056UAC-0056 針對烏克蘭的組織發起魚叉式網絡釣魚攻擊61PaloAlto Networks202
123、2-02-26Gamaredon,UAC-0056俄烏戰爭中的網絡攻擊部隊行為分析62知道創宇2022-02-28GamaredonAPT 組織 Gamaredon 近期在烏克蘭盧甘斯克地區的網絡釣魚活動63綠盟2022-03-01UNC1151Asylum Ambuscade:針對歐洲官員的網絡釣魚活動65Proofpoint2022-03-14UNC1151疑似 APT 組織 UNC1151 針對烏克蘭等國的攻擊活動分析66奇安信2022-03-18GamaredonAPT-C-53(Gamaredon)在近期攻擊中的新變化673602022-03-22InvisiMoleInvisiMo
124、le 組織針對烏克蘭國家機構發起魚叉式釣魚攻擊68securityaffairs.co2022-04-01UAC-0056UAC-0056 針對烏克蘭實體的新活動分析69Malwarebytes2022-04-04Gamaredon烏克蘭發現與 Gamaredon 組織有關的網絡釣魚攻擊活動71CERT-UA2022-04-12SandwormSandworm 組織試圖攻擊烏克蘭能源供應商72ESET2022-04-20GamaredonGamaredon 繼續針對烏克蘭進行網絡間諜活動74Symantec2022-04-25UAC-0056UAC-0056 使用的 Elephant 攻擊框架
125、分析75Bitdefender2022-05-06APT28APT28 使用 CredoMap_v2 惡意軟件攻擊烏克蘭77CERT-UA2022-05-10GamaredonGamaredon 釣魚樣本分析78安恒附表1 俄烏沖突下的APT攻擊概要(注:這里只列舉東歐地區 APT 攻擊活動中與俄烏兩國直接相關的部分)附表/全球高級持續性威脅(APT)2022 年中報告全球高級持續性威脅(APT)2022 年中報告49披露時間組織名活動描述披露機構2022-05-20SandwormSandworm 使用新版 ArguePatch 攻擊烏克蘭目標80ESET2022-05-26Gamaredo
126、nGamaredon APT 近期攻擊活動分析82安恒2022-05-26GamaredonAPT-C-53(Gamaredon)新一輪DDoS攻擊任務分析833602022-06-13APT28APT28 利用對核戰爭的恐懼在烏克蘭傳播 Follina 漏洞(CVE-2022-30190)利用文檔84Malwarebytes2022-06-27GamaredonGlowSand:Gamaredon 攻擊樣本分析85InQuest附表/全球高級持續性威脅(APT)2022 年中報告郵箱:ti_ 電話:95015 官網:https:/50附表/全球高級持續性威脅(APT)2022 年中報告黑客組
127、織支持陣營攻擊方式社交媒體位置起始日期AgainstTheWest(ATW)烏克蘭Data Breach/惡意軟件推特、電報法國2021 年Belarusian Cyber Partisans烏克蘭/自由白俄羅斯惡意軟件推特、電報白俄羅斯2020 年Anonymous烏克蘭DDoS推特全球2022 年 2 月GhostSec烏克蘭Hack推特、電報不詳2022 年 2 月烏克蘭人自發的數字軍團烏克蘭DDoS電報烏克蘭2022 年 2 月KelvinSecurity Hacking Team烏克蘭Hack推特不詳2022 年 2 月BlackHawk烏克蘭DDoS推特格魯吉亞2022 年 2 月
128、Anonymous Liberland 和 PWN-BAR hack team烏克蘭DDoS推特全球2022 年 2 月NB65烏克蘭Hack推特不詳2022 年 2 月 28GNG烏克蘭DDoS推特格魯吉亞2022 年 2 月 28Raidforums2烏克蘭DDoS推特不詳2022 年 2 月 28ContiLeaks烏克蘭Data Breach推特不詳2022 年 2 月 28SHDWSec烏克蘭Hack/Activism推特全球2022 年 2 月 28GhostClan烏克蘭DDoS/Hack電報全球2022 年 2 月 28Free Civicilian俄羅斯Data Breach
129、洋蔥不詳2022 年 1 月Cooming Project俄羅斯Data Breach洋蔥不詳2021 年Conti Ransomware俄羅斯惡意軟件洋蔥俄羅斯2019 年附表2 俄烏沖突下的黑客組織概要(注:這里只列舉東歐地區 APT 攻擊活動中與俄烏兩國直接相關的部分)全球高級持續性威脅(APT)2022 年中報告51黑客組織支持陣營攻擊方式社交媒體位置起始日期The Red Bandits俄羅斯Data Breach推特俄羅斯2021 年附表/全球高級持續性威脅(APT)2022 年中報告附錄1 全球主要APT組織列表奇安信威脅情報中心持續跟蹤49 個主要 APT 組織奇安信威脅情報中
130、心持續跟蹤49 個主要 APT 組織全球高級持續性威脅(APT)2022 年中報告56附錄2 奇安信威脅情報中心附錄/全球高級持續性威脅(APT)2021 年度報告威脅情報中心是奇安信集團旗下專注于威脅情報收集、分析、生產的專業部門,以業界領先的安全大數據資源為基礎,基于奇安信長期積累的威脅檢測和大數據技術,依托亞太地區頂級的安全分析師團隊,通過創新性的運營分析流程,開發威脅情報相關的產品和服務,輸出威脅安全管理與防護所需的情報數據,協助客戶發現、分析、處置高級威脅活動事件。奇安信 ALPHA 威脅分析平臺(https:/),是奇安信集團面向安全分析師和應急響應團隊提供的一站式云端服務平臺,該
131、平臺擁有海量互聯網基礎數據和威脅研判分析結果,為安全分析人員及各類企業用戶提供基礎數據的查詢、攻擊線索拓展、事件背景研判、攻擊組織解析、研究報告下載等多種維度的威脅情報數據與威脅情報服務,提供全方位的威脅情報能力。奇安信威脅情報中心對外服務平臺郵箱:ti_ 電話:95015 官網:https:/57微信公眾號奇安信威脅情報中心微信公眾號奇安信病毒響應中心全球高級持續性威脅(APT)2022 年中報告58附錄/全球高級持續性威脅(APT)2021 年度報告附錄3 紅雨滴團隊(Red Drip Team)奇安信旗下的高級威脅研究團隊紅雨滴(RedDrip Team,RedDrip7),成立于201
132、5年(前身為天眼實驗室),持續運營奇安信威脅情報中心至今,專注于APT攻擊類高級威脅的研究,是國內首個發布并命名“海蓮花”(APT-C-00,OceanLotus)APT 攻擊組織的安全研究團隊,也是當前奇安信威脅情報中心的主力威脅分析技術支持團隊。目前,紅雨滴團隊擁有數十人的專業分析師和相應的數據運營和平臺開發人員,覆蓋威脅情報運營的各個環節:公開情報收集、自有數據處理、惡意代碼分析、網絡流量解析、線索發現挖掘拓展、追蹤溯源,實現安全事件分析的全流程運營。團隊對外輸出機讀威脅情報數據支持奇安信自有和第三方的檢測類安全產品,實現高效的威脅發現、損失評估及處置建議提供,同時也為公眾和監管方輸出事
133、件和組織層面的全面高級威脅分析報告。依托全球領先的安全大數據能力、多維度多來源的安全數據和專業分析師的豐富經驗,紅雨滴團隊自2015 年持續發現多個包括海蓮花在內的 APT 組織在中國境內的長期活動,并發布國內首個組織層面的APT事件揭露報告,開創了國內APT攻擊類高級威脅體系化揭露的先河,已經成為國家級網絡攻防的焦點。關注微信公眾號奇安信紅雨滴團隊“紅雨滴”背后的故事“從 100 億個雨滴中找一個紅雨滴”2006年11月20日,因發現J粒子而獲得諾貝爾獎的著名華裔物理學家丁肇中教授來到中國駐瑞士大使館,做了一場精彩的講座。丁肇中教授形容自己發現構成物質的第四種基本粒子J 粒子的高精度實驗時說
134、到:“相當于在北京下雨時,每秒鐘有 100 億個雨滴,如果有一個雨滴是紅色的,我們就要從這 100 億個里找出它來?!倍姘残磐{情報中心高級威脅分析團隊同樣需要在海量數據中精準找尋那些紅色威脅。最終,我們選擇了“紅雨滴”作為團隊的名稱。郵箱:ti_ 電話:95015 官網:https:/59附錄/全球高級持續性威脅(APT)2021 年度報告附錄4 參考鏈接1.https:/ 年中報告6016.https:/ 30.https:/ 附錄/全球高級持續性威脅(APT)2021 年度報告郵箱:ti_ 電話:95015 官網:https:/6136.https:/ 38.https:/ 39.ht
135、tps:/ 46.https:/ 47.https:/ 49.https:/ 50.https:/ 51.https:/ 52.https:/blog.group- 年中報告62espionage-ukraine57.https:/ 年度報告郵箱:ti_ 電話:95015 官網:https:/6375.https:/ 年中報告6493.https:/www.cisa.gov/uscert/sites/default/files/publications/AA22-055A_Iranian_Government-Sponsored_Actors_Conduct_Cyber_Operations.pdf94.https:/ 95.https:/ 年度報告郵箱:ti_ 電話:95015 官網:https:/65109.https:/ 電話:95015官網:https:/掃描關注我們的微信公眾號