年 度 APT 观 察

新冠疫情下的APT攻击

　　2020年1月中旬，中国武汉爆发“COVID-19”新型冠状病毒性肺炎，伴随着春节而来的春运流动高峰，疫情迅速席卷全国，并且对全球多数地区造成了巨大的影响。

　　作为百年一遇的重大公共卫生危机事件，今年的新冠疫情对我们的冲击，远远超出了我们的预料，它不仅仅引起了卫生健康领域的关注，也加深了国家各个部门对国家治理、国际合作以及国际格局变化的理解。

　　随着新冠病毒疫情（COVID-19）在全球蔓延，各个国家通过新冠为主题的网络攻击事件也在急剧增长。从今年年初开始，以中国、武汉为事件中心的网络攻击，逐渐演变成了国际间常用主题。各国之间一方面在联合抗击疫情，另外一方面又在积极地进行着网络间谍战。

　　今年有关新冠病毒疫情的攻击者大多以邮件欺骗的方式，构造诱饵文件欺骗用户点击，恶意文件类型多种多样，覆盖EXE、MS Office宏文档、漏洞文档、lnk文件、VBS脚本等。而攻击者也包括了具有国家背景的专业APT组织和普通的黑产组织。攻击目标从政府机构逐渐扩大到疫苗生产厂商，卫生组织、医疗行业等等。同时，利用新冠病毒疫情展开攻击的组织之多，事件之庞大，可谓前所未有。

　针对移动设备的攻击长足发展

　　今年的攻击事件中，针对移动设备的一些恶意软件同样有长足的发展，不管是Donot的众多伪装性的恶意软件，还是Lazarus的MATA框架，都有着较为重要的影响。明显，移动设备在APT攻击中早已经成为重要的攻击目标。

　　在以往的APT攻击中，绝大多数的攻击是基于Windows，然而现在移动设备攻击明显有了一定的爆发趋势，攻击者正在大力发展他们的移动攻击武器。不管是基于安卓还是IOS，可以预见利用IoT进行的APT攻击也会登上舞台。

　　鉴于安卓、IOS设备、IoT设备等向前都可以追述到Linux/Unix，所以，移动设备上恶意软件的发展并没有太大阻力，反而在向前的追溯过程当中，可以找到古老的病毒软件被重新挖掘出来用于当今的攻击。

关注远程办公安全性

　　今年关于VPN服务的重大事件让我们深感焦虑。VPN是一个重要的安全软件，应用范围非常广泛，并且在一个企业中是信息流动的命脉。所以VPN的漏洞关联着企业或者政府部门大量终端安全问题，它的影响比其他终端的失陷更深远。

　　国内知名厂商披露的重大VPN漏洞事件，影响巨大，成为今年利用单一的攻击手段获得最多成果的一次攻击。日前，NordVPN公布了其赏金计划，投入大量资金来保证其安全性，并且和第三方公司共同完成其从服务器到客户端的安全审核。今年，对于VPN安全性的讨论也引发热潮。

　APT组织的威胁活动

　　Lazarus（朝鲜）

　　Lazarus组织一直被认为是来自朝鲜的APT组织，他的攻击目标非常广范，最早的活动事件可疑追溯到2007年。其涉及的目标也非常多，包括国防、政府、金融、能源、虚拟货币交易、大型企业等等。

　　Lazarus组织今年一直对金融机构、加密货币交易机构进行频繁的攻击。由于虚拟货币和加密货币具有难以追踪的特性，所以Lazarus对金融相关业务异常感兴趣。今年著名的AppleJeus攻击活动就是由Lazarus一手策划的。

　　今年8月，该组织通过LinkedIn招聘广告诱饵攻击加密货币公司。9月，Lazarus组织洗钱方法被曝光，资料表示其通常会从交易所窃取加密货币资金，然后开始使用“分层技术”通过多个交易所进行交易，并雇佣协助者帮助洗钱，使加密货币能够在众多地址之间转移，以混淆资金来源，并可以把虚拟货币转成合法的货币。攻击目标主要为中、日、韩三国。

Darkhotel（韩国）

　　DarkHotel是由韩国政府支持的一个APT组织，利用了Firefox和Internet Explorer中漏洞针对中国和日本进行了攻击。之后又利用了国内某知名厂商VPN服务器的0 Day漏洞，用于提供对企业和政府网络的远程访问。奇虎360表示，他们发现了超过200台VPN服务器，这些服务器已在此活动中遭到黑客入侵。其中的174台服务器位于北京和上海的政府机构网络中，其他位于中国以外的政府机构中。

　　Darkhotel不仅仅攻击了中国政府，也利用了COVID-19对世界卫生组织进行了攻击。

　海莲花（越南）

　　海莲花（APT32）是总部设在越南的高级持续威胁攻击组织，他们经常针对本地和国外的越南人权活动家、老挝或柬埔寨的外国政府，攻击范围也涉及了其他的非政府组织，包括新闻机构及许多涉及信息技术的酒店、企业、医院、零售业、汽车行业和移动服务等。

　　从2020年1月开始，海莲花就大面积地对中国的目标进行了入侵活动，以搜集有关新冠疫情的情报。安全研究人员发现的第一起攻击是在2020年1月6日，攻击者使用“办公设备招标第一季度结果报告”作为攻击目标，向中国应急管理部发送了文件。

　　今年，海莲花架设了大量看起来是合法的越南语新闻网站，利用它们加载OceanLotus Web分析框架。各个站点的确切功能各不相同，但是这些框架的目标都是收集有关站点访问者的信息，并在某些情况下传播恶意软件。

　　每个网站都是由OceanLotus创建和运营。每个网站的主题，内容，甚至自定义图像和标语都有很多变化。这些网站都声称自己是新闻网站，并且包含大量优良内容，在包括主索引页面在内的绝大多数页面上都没有恶意重定向或分析。相反，一般而言，每个站点中只有少数特定文章包含恶意内容。这些网站的主题各不相同，其中一些专注于越南新闻，而另一些则关注其他东南亚国家/地区的新闻主题。

蔓灵花（南亚）

　　蔓灵花（APT-C-08）是一个拥有南亚地区政府背景的APT组织，近几年来持续对南亚周边国家进行APT攻击，攻击目标涉及政府、军工、高校和驻外机构等企事业单位组织，是目前较活跃的针对我国境内目标进行攻击的境外APT组织之一。

　　同样，蔓灵花也大量利用了新冠病毒疫情，对我国进行网络攻击。从年初开始，蔓灵花是一个攻击异常积极的组织。7月间，蔓灵花组织针对南亚地区发起了大规模的钓鱼窃密攻击活动，攻击目标包括我国和巴基斯坦在内的多个单位组织、政府机构，攻击活动一直持续活跃至今。

　　在本年度的攻击当中，蔓灵花的主要战术仍然是使用假冒的邮箱系统发送钓鱼邮件，并且其目标和攻击的频率明显增加，对于重点的目标，会采取更多的手段，利用伪装的会议文件和软件来释放病毒软件。

Donot（印度）

　　Donot“肚脑虫”（APT-C-35）是疑似具有南亚背景的APT组织，其主要以周边国家的政府机构为目标进行网络攻击活动，通常以窃取敏感信息为目的。该组织具备针对Windows与Android双平台的攻击能力。

　　在今年Donot的攻击中，大量地使用了嵌入了Excel流、宏文件的RTF文档。在文档的单元格中写入异常长度的语句，通过宏代码从语句中拼接远程服务器地址。同时Donot还大量利用无文件技术，避免杀软的检测。

　　Donot在移动端也有较为先进的攻击技术，他们把APP伪装成系统工具、应用商店、游戏等等。

摩诃草（印度）

　　摩诃草是大家熟知的APT组织，今年1月份，摩诃草利用新冠疫情的热点事件进行APT攻击，被熟称为“白象三代”的代表性事件。

　　尽管“白象三代”使用的攻击策略没有太大变化，但攻击武器做了改进。在被发现的恶意文档中，其使用的VBA宏脚本采用了高级的免杀技巧，并且下载后的木马和其他模块均使用了高级免杀技巧。

　　其使用的诱饵文件的名称大多为：申请表格。xlsm、武汉旅行信息收集申请表。xlsm、收集健康准备信息的申请表。xlsm、新型冠状病毒感染引起的肺炎的诊断和预防措施。xlsm、卫生部指令。docx等等。

　其他

　　响尾蛇（又称SideWinder，印度）是疑似具有南亚背景的APT组织，其攻击活动最早可追溯到2012年，主要针对其周边国家政府、军事、能源等领域开展攻击活动，以窃取敏感信息为攻击目的。响尾蛇利用假冒网站，类似“健康委员会”、“武汉旅行信息搜集申请表”等恶意LNK文件，对我国发起APT攻击。

　　Gorgon Group（巴基斯坦）组织在中亚、南亚进行了大量的攻击活动，利用邮件发送“订单、付款收据、分析报告”等类型的PPT文件，对大量政府及企业进行攻击。

　　SWEED（尼日利亚）以“装船通知单”、“装箱交货价单”、“紧急运输文件”等主题邮件作为诱饵向攻击目标植入信息窃密木马（Agent Tesla、Formbook、Lokibot）和远程控制程序（NanoCore、Remcos）。该组织利用了最近异常活跃的病毒Guloader，Guloader具有很强的免杀能力，具备沙箱逃逸、代码混淆、反调试、C&C/URL加密和有效载荷加密等多种能力。

　攻击趋势

　　　　东巽科技2046Lab团队根据2020年全年国内外公开披露的APT攻击事件，对近一年APT攻击活动行业布局进行统计分析。

　　根据统计可以看出政府还是被攻击的主要对象。在新冠疫情大流行之后，世界各国都采取了封锁措施，疫情对世界的影响是难以想象的。于此同时，各国攻击者也利用人们对疫情不同的心理活动，采取了各种各样的攻击方法。其中大部分攻击者仍然期望从政府组织中获取保密信息，同时医疗卫生组织在今年的特殊情况下明显受到攻击者格外的青睐。

　　随着抗击疫情的发展，众多医药企业都在积极的研发抗病毒药物，因此，为了获取企业的最近资料，医药企业在今年下半年也纷纷成了被攻击的对象。疫情是今年攻击的主线，在疫情仍然肆虐的明年，利用疫情的攻击仍然会大量存在。

　　同时，我们对各APT组织的活跃度也做了统计。

　　Lazarus的攻击活动看起来最为活跃的，不管从其活动的次数还是广泛程度来看，都远远超过了其他的组织。同时Lazarus使用的攻击技术近来也得到了较为迅速的发展，无论是WEB攻击、还是Windows的各种漏洞利用，其隐藏技巧都能令人匪夷所思，同时Lazarus在移动工具上的发展也较其他组织更为先进。

　　同样我们熟知的响尾蛇、蔓灵花、海莲花等APT组织也和往年一样活跃。总体上看，我国受到的主要攻击，多数是从政治层面出发。不难看出，随着中国经济、科技、政治崛起，网络空间这个没有硝烟的战场也是水深火热。

　编辑观点：2021年马上到来了，但是新冠疫情还没有退去，新的一年针对新冠疫情的APT攻击、远程办公攻击等仍旧会是主线，并且近年来个人数据泄露越发严重，新的一年还要加强安全意识，对一切奇怪的、不熟悉的文件、app、网址保持警惕。