2020年APT攻击大事记
2020-12-31
来源: 东巽科技
年 度 APT 观 察
新冠疫情下的APT攻击
2020年1月中旬,中国武汉爆发“COVID-19”新型冠状病毒性肺炎,伴随着春节而来的春运流动高峰,疫情迅速席卷全国,并且对全球多数地区造成了巨大的影响。
作为百年一遇的重大公共卫生危机事件,今年的新冠疫情对我们的冲击,远远超出了我们的预料,它不仅仅引起了卫生健康领域的关注,也加深了国家各个部门对国家治理、国际合作以及国际格局变化的理解。
随着新冠病毒疫情(COVID-19)在全球蔓延,各个国家通过新冠为主题的网络攻击事件也在急剧增长。从今年年初开始,以中国、武汉为事件中心的网络攻击,逐渐演变成了国际间常用主题。各国之间一方面在联合抗击疫情,另外一方面又在积极地进行着网络间谍战。
今年有关新冠病毒疫情的攻击者大多以邮件欺骗的方式,构造诱饵文件欺骗用户点击,恶意文件类型多种多样,覆盖EXE、MS Office宏文档、漏洞文档、lnk文件、VBS脚本等。而攻击者也包括了具有国家背景的专业APT组织和普通的黑产组织。攻击目标从政府机构逐渐扩大到疫苗生产厂商,卫生组织、医疗行业等等。同时,利用新冠病毒疫情展开攻击的组织之多,事件之庞大,可谓前所未有。
针对移动设备的攻击长足发展
今年的攻击事件中,针对移动设备的一些恶意软件同样有长足的发展,不管是Donot的众多伪装性的恶意软件,还是Lazarus的MATA框架,都有着较为重要的影响。明显,移动设备在APT攻击中早已经成为重要的攻击目标。
在以往的APT攻击中,绝大多数的攻击是基于Windows,然而现在移动设备攻击明显有了一定的爆发趋势,攻击者正在大力发展他们的移动攻击武器。不管是基于安卓还是IOS,可以预见利用IoT进行的APT攻击也会登上舞台。
鉴于安卓、IOS设备、IoT设备等向前都可以追述到Linux/Unix,所以,移动设备上恶意软件的发展并没有太大阻力,反而在向前的追溯过程当中,可以找到古老的病毒软件被重新挖掘出来用于当今的攻击。
关注远程办公安全性
今年关于VPN服务的重大事件让我们深感焦虑。VPN是一个重要的安全软件,应用范围非常广泛,并且在一个企业中是信息流动的命脉。所以VPN的漏洞关联着企业或者政府部门大量终端安全问题,它的影响比其他终端的失陷更深远。
国内知名厂商披露的重大VPN漏洞事件,影响巨大,成为今年利用单一的攻击手段获得最多成果的一次攻击。日前,NordVPN公布了其赏金计划,投入大量资金来保证其安全性,并且和第三方公司共同完成其从服务器到客户端的安全审核。今年,对于VPN安全性的讨论也引发热潮。
APT组织的威胁活动
Lazarus(朝鲜)
Lazarus组织一直被认为是来自朝鲜的APT组织,他的攻击目标非常广范,最早的活动事件可疑追溯到2007年。其涉及的目标也非常多,包括国防、政府、金融、能源、虚拟货币交易、大型企业等等。
Lazarus组织今年一直对金融机构、加密货币交易机构进行频繁的攻击。由于虚拟货币和加密货币具有难以追踪的特性,所以Lazarus对金融相关业务异常感兴趣。今年著名的AppleJeus攻击活动就是由Lazarus一手策划的。
今年8月,该组织通过LinkedIn招聘广告诱饵攻击加密货币公司。9月,Lazarus组织洗钱方法被曝光,资料表示其通常会从交易所窃取加密货币资金,然后开始使用“分层技术”通过多个交易所进行交易,并雇佣协助者帮助洗钱,使加密货币能够在众多地址之间转移,以混淆资金来源,并可以把虚拟货币转成合法的货币。攻击目标主要为中、日、韩三国。
Darkhotel(韩国)
DarkHotel是由韩国政府支持的一个APT组织,利用了Firefox和Internet Explorer中漏洞针对中国和日本进行了攻击。之后又利用了国内某知名厂商VPN服务器的0 Day漏洞,用于提供对企业和政府网络的远程访问。奇虎360表示,他们发现了超过200台VPN服务器,这些服务器已在此活动中遭到黑客入侵。其中的174台服务器位于北京和上海的政府机构网络中,其他位于中国以外的政府机构中。
Darkhotel不仅仅攻击了中国政府,也利用了COVID-19对世界卫生组织进行了攻击。
海莲花(越南)
海莲花(APT32)是总部设在越南的高级持续威胁攻击组织,他们经常针对本地和国外的越南人权活动家、老挝或柬埔寨的外国政府,攻击范围也涉及了其他的非政府组织,包括新闻机构及许多涉及信息技术的酒店、企业、医院、零售业、汽车行业和移动服务等。
从2020年1月开始,海莲花就大面积地对中国的目标进行了入侵活动,以搜集有关新冠疫情的情报。安全研究人员发现的第一起攻击是在2020年1月6日,攻击者使用“办公设备招标第一季度结果报告”作为攻击目标,向中国应急管理部发送了文件。
今年,海莲花架设了大量看起来是合法的越南语新闻网站,利用它们加载OceanLotus Web分析框架。各个站点的确切功能各不相同,但是这些框架的目标都是收集有关站点访问者的信息,并在某些情况下传播恶意软件。
每个网站都是由OceanLotus创建和运营。每个网站的主题,内容,甚至自定义图像和标语都有很多变化。这些网站都声称自己是新闻网站,并且包含大量优良内容,在包括主索引页面在内的绝大多数页面上都没有恶意重定向或分析。相反,一般而言,每个站点中只有少数特定文章包含恶意内容。这些网站的主题各不相同,其中一些专注于越南新闻,而另一些则关注其他东南亚国家/地区的新闻主题。
蔓灵花(南亚)
蔓灵花(APT-C-08)是一个拥有南亚地区政府背景的APT组织,近几年来持续对南亚周边国家进行APT攻击,攻击目标涉及政府、军工、高校和驻外机构等企事业单位组织,是目前较活跃的针对我国境内目标进行攻击的境外APT组织之一。
同样,蔓灵花也大量利用了新冠病毒疫情,对我国进行网络攻击。从年初开始,蔓灵花是一个攻击异常积极的组织。7月间,蔓灵花组织针对南亚地区发起了大规模的钓鱼窃密攻击活动,攻击目标包括我国和巴基斯坦在内的多个单位组织、政府机构,攻击活动一直持续活跃至今。
在本年度的攻击当中,蔓灵花的主要战术仍然是使用假冒的邮箱系统发送钓鱼邮件,并且其目标和攻击的频率明显增加,对于重点的目标,会采取更多的手段,利用伪装的会议文件和软件来释放病毒软件。
Donot(印度)
Donot“肚脑虫”(APT-C-35)是疑似具有南亚背景的APT组织,其主要以周边国家的政府机构为目标进行网络攻击活动,通常以窃取敏感信息为目的。该组织具备针对Windows与Android双平台的攻击能力。
在今年Donot的攻击中,大量地使用了嵌入了Excel流、宏文件的RTF文档。在文档的单元格中写入异常长度的语句,通过宏代码从语句中拼接远程服务器地址。同时Donot还大量利用无文件技术,避免杀软的检测。
Donot在移动端也有较为先进的攻击技术,他们把APP伪装成系统工具、应用商店、游戏等等。
摩诃草(印度)
摩诃草是大家熟知的APT组织,今年1月份,摩诃草利用新冠疫情的热点事件进行APT攻击,被熟称为“白象三代”的代表性事件。
尽管“白象三代”使用的攻击策略没有太大变化,但攻击武器做了改进。在被发现的恶意文档中,其使用的VBA宏脚本采用了高级的免杀技巧,并且下载后的木马和其他模块均使用了高级免杀技巧。
其使用的诱饵文件的名称大多为:申请表格。xlsm、武汉旅行信息收集申请表。xlsm、收集健康准备信息的申请表。xlsm、新型冠状病毒感染引起的肺炎的诊断和预防措施。xlsm、卫生部指令。docx等等。
其他
响尾蛇(又称SideWinder,印度)是疑似具有南亚背景的APT组织,其攻击活动最早可追溯到2012年,主要针对其周边国家政府、军事、能源等领域开展攻击活动,以窃取敏感信息为攻击目的。响尾蛇利用假冒网站,类似“健康委员会”、“武汉旅行信息搜集申请表”等恶意LNK文件,对我国发起APT攻击。
Gorgon Group(巴基斯坦)组织在中亚、南亚进行了大量的攻击活动,利用邮件发送“订单、付款收据、分析报告”等类型的PPT文件,对大量政府及企业进行攻击。
SWEED(尼日利亚)以“装船通知单”、“装箱交货价单”、“紧急运输文件”等主题邮件作为诱饵向攻击目标植入信息窃密木马(Agent Tesla、Formbook、Lokibot)和远程控制程序(NanoCore、Remcos)。该组织利用了最近异常活跃的病毒Guloader,Guloader具有很强的免杀能力,具备沙箱逃逸、代码混淆、反调试、C&C/URL加密和有效载荷加密等多种能力。
攻击趋势
东巽科技2046Lab团队根据2020年全年国内外公开披露的APT攻击事件,对近一年APT攻击活动行业布局进行统计分析。
根据统计可以看出政府还是被攻击的主要对象。在新冠疫情大流行之后,世界各国都采取了封锁措施,疫情对世界的影响是难以想象的。于此同时,各国攻击者也利用人们对疫情不同的心理活动,采取了各种各样的攻击方法。其中大部分攻击者仍然期望从政府组织中获取保密信息,同时医疗卫生组织在今年的特殊情况下明显受到攻击者格外的青睐。
随着抗击疫情的发展,众多医药企业都在积极的研发抗病毒药物,因此,为了获取企业的最近资料,医药企业在今年下半年也纷纷成了被攻击的对象。疫情是今年攻击的主线,在疫情仍然肆虐的明年,利用疫情的攻击仍然会大量存在。
同时,我们对各APT组织的活跃度也做了统计。
Lazarus的攻击活动看起来最为活跃的,不管从其活动的次数还是广泛程度来看,都远远超过了其他的组织。同时Lazarus使用的攻击技术近来也得到了较为迅速的发展,无论是WEB攻击、还是Windows的各种漏洞利用,其隐藏技巧都能令人匪夷所思,同时Lazarus在移动工具上的发展也较其他组织更为先进。
同样我们熟知的响尾蛇、蔓灵花、海莲花等APT组织也和往年一样活跃。总体上看,我国受到的主要攻击,多数是从政治层面出发。不难看出,随着中国经济、科技、政治崛起,网络空间这个没有硝烟的战场也是水深火热。
编辑观点:2021年马上到来了,但是新冠疫情还没有退去,新的一年针对新冠疫情的APT攻击、远程办公攻击等仍旧会是主线,并且近年来个人数据泄露越发严重,新的一年还要加强安全意识,对一切奇怪的、不熟悉的文件、app、网址保持警惕。