360：2021年上半年全球高級持續性威脅（APT）研究報告（55頁）.pdf

1、2021年上半年，海蓮花組織針對我國的攻擊活躍程度較去年有所提升，攻擊活躍程度僅次于毒云藤、蔓靈花，3月和4月攻擊處于高峰。今年針對ICT供應商的攻擊占比位居首位，已超過直接針對政府、教育等重點單位的攻擊。這些目標供應商主要服務于國防、政府、教育、交通等多個領域。另外，海蓮花較其他主流APT組織還有一個顯著的區別，就是在初始攻擊突破進入目標內網環境后，會進行大規模復雜的橫向移動攻擊。今年上半年繼續沿用了去年主流的三種橫向移動攻擊手法：遠程建立服務、遠程調用WMI服務、控制內網安全軟件服務端下發指令。越來越多的被攻陷網絡設備作為C2服務器，在去年的攻擊活動中物聯網設備已成為APT新的戰備資源，海

2、蓮花組織也在積極嘗試由此獲得更多武器資源，去年7月，我們捕獲到海蓮花組織陸續攻擊路由器設備，主要針對DrayTek廠商路由器設備，進一步將其作為流量中轉跳板，相關攻擊活動持續至今。另外今年4月各單位展開實網攻防演練期間，海蓮花攻陷了多個企業OA系統服務器，同樣這些服務器僅作為C2跳板中轉用。主流攻擊：白利用+HiJack家族，海蓮花的HiJack家族是目前最活躍的樣本類型，該家族樣本使用前期滲透偵查，獲取到的被攻擊機器的信息(IP、MAC地址等)，以此當做高強度加密方法(AES / RC4)唯一的KEY，來解碼惡意載荷，如果環境相關參數不匹配，則不執行惡意操作，增加安全軟件檢出難度和分析人員的

3、分析難度。白利用持久化新組合，根據360安全大腦觀測到的數據，我們發現海蓮花組織攻入企業內部后，濫用白利用技術，進行持久化駐留。海蓮花組織實施橫移技術以后，為了持久化駐留，使用了一個新的白利用駐留模式。劫持已有軟件服務項：搜集目標系統中可被劫持的目標服務項信息，將可被白利用的目標文件，替換目標服務項所屬的主要工作組件。替換完畢后，可等待應用程序服務被動啟動，也可通過SMB/RPC或內網安全軟件服務端下發命令來遠程啟動此服務，從而實現后門模塊持久化駐留系統。此方式沒有對服務項進行敏感操作，例如增加新服務項或修改原服務項，只對服務目標文件進行替換?？梢岳斫鉃槟M常規軟件的升級過程，替換被劫持服務的

4、目標文件，替換后的目標文件依然為白名單文件。目的是為了躲避安全軟件的篩查。潛行者組織針對我國相關部門的攻擊已經持續了12年左右，其攻擊手法新穎、復雜，先后運用了NSA武器庫、殺毒軟件漏洞等先進攻擊技術和大量對抗技術防止安全人員分析，攻擊行動隱蔽低調，攻擊周期長，是攻擊能力出眾的APT組織。從2018年開始，360高級威脅研究院持續發現了潛行者組織相關最新攻擊活動，被攻擊者主要包括涉及政府、通信行業，而且該組織的目標范圍主要集中在某幾個重點單位，對目標的定向攻擊方式和北美組織類似，與南亞地區組織差異較大。相關攻擊最早可以追溯到2009年，攻擊最早的樣本編譯時間為2008年，攻擊活動一直持續至今。該組織對目標內網環境進行了深入研究，針對目標內網環境中的殺毒軟件進行針對性的攻擊，利用殺毒軟件的升級服務漏洞植入后門，控制目標內網關鍵服務器并進行了持續的潛伏滲透。今年上半年該組織主要針對東南亞地區通信行業相關單位，目的仍然以竊取重點單位敏感文件為主，攻擊活動主要集中在1月至3月，其中攻擊頻率逐月遞減。另外針對APT-C-30(潛行者)組織歷年來攻擊活動的技戰術細節，我們近期將對外披露。