近幾年來,APT攻擊事件此起彼伏���,從針對烏克蘭國家電網的網絡攻擊事件���,到孟加拉國央行被黑客攻擊導致8100元美元被竊取,APT攻擊以其無孔不入的觸角延伸到了全世界各地���,幾乎所有的重要行業如政府����、金融、電力����、教育都受到了APT攻擊的威脅。神秘的APT攻擊從攻擊開始到達成目的�����,有的甚至可能潛伏長達數年�����,對APT組織的未知導致人們在面臨APT攻擊時的茫然無措�。
在本屆ISC2016中國互聯網安全大會召開前夕����,360威脅情報中心追日團隊再出力作,正式對外公布2016上半年十大APT攻擊組織���,揭密那些曾經造成重大網絡安全事件的神秘黑客組織���。
No.1:DarkHotel(APT-C-06)
APT-C-06組織是境外APT組織,其主要目標除了中國�,還有其他國家。主要目的是竊取敏感數據信息,DarkHotel的活動可以視為APT-C-06組織一系列攻擊活動之一��。在針對中國地區的攻擊中�,該組織主要針對政府、科研領域進行攻擊����,且非常專注于某特定領域,相關攻擊行動最早可以追溯到2007年�����,至今還非��;钴S�。從我們掌握的證據來看該組織有可能是由境外政府支持的黑客團體或情報機構。
該組織多次利用0day漏洞發動攻擊�,進一步使用的惡意代碼非常復雜,相關功能模塊達到數十種����,涉及惡意代碼數量超過200個。該組織主要針對Windows系統進行攻擊���,近期還會對基于Android系統的移動設備進行攻擊����。另外該組織進行載荷投遞的方式除了傳統的魚叉郵件和水坑式攻擊等常見手法,還主要基于另一種特殊的攻擊手法�。
No.2:APT28(APT-C-20)
APT28(APT-C-20),又稱Pawn Storm����、Sofacy、Sednit��、Fancy Bear和Strontium��。APT28組織被懷疑幕后和俄羅斯政府有關��,該組織相關攻擊時間最早可以追溯到2007年�。其主要目標包括國防工業����、軍隊、政府組織和媒體���。期間使用了大量0day漏洞����,相關惡意代碼除了針對windows、Linux等PC操作系統����,還會針對蘋果IOS等移動設備操作系統。
早前也曾被懷疑與北大西洋公約組織網絡攻擊事件有關��。APT28組織在2015年第一季度有大量的活動�,用于攻擊NATO成員國和歐洲、亞洲�、中東政府。目前有許多安全廠商懷疑其與俄羅斯政府有關���,而早前也曾被懷疑秘密調查MH17事件�����。從2016年開始該組織最新的目標瞄準了土耳其高級官員��。
No.3:Lazarus(APT-C-26)
2016年2月25日�,Lazarus黑客組織以及相關攻擊行動由卡巴斯基實驗室���、AlienVault實驗室和Novetta等安全企業協作分析并揭露�。2013年針對韓國金融機構和媒體公司的DarkSeoul攻擊行動和2014年針對索尼影視娛樂公司(Sony Pictures Entertainment��,SPE)攻擊的幕后組織都是Lazarus組織。
Lazarus組織歷史活動相關重大事件節點
2016年2月孟加拉國央行被黑客攻擊導致8100萬美元被竊取的事件被曝光后�,如越南先鋒銀行、厄瓜多爾銀行等����,針對銀行SWIFT系統的其他網絡攻擊事件逐一被公開。在相關事件曝光后���,我們立即對相關攻擊事件的展示溯源分析�����,就越南先鋒銀行相關攻擊樣本�����,我們形成了技術報告:《SWIFT之殤——針對越南先鋒銀行的黑客攻擊技術初探》�����。
在分析孟加拉國央行和越南先鋒銀行攻擊事件期間,我們發現近期曝光的這4起針對銀行的攻擊事件并非孤立的���,而很有可能是由一個組織或多個組織協同發動的不同攻擊行動����。另外通過對惡意代碼同源性分析,我們可以確定本次針對孟加拉國央行和越南先鋒銀行的相關惡意代碼與Lazarus組織有關聯����,但我們不確定幕后的攻擊組織是Lazarus組織
No.4:海蓮花(APT-C-00)
海蓮花(APT-C-00)組織是我們2015年5月發布的針對中國攻擊的某著名境外APT組織,該組織主要針對中國政府��、科研院所和海事機構等重要領域發起攻擊�。基于海量情報數據和研究分析��,我們還原了APT-C-00組織的完整攻擊行動�����,相關攻擊行動最早可以追溯到2011年�,期間不僅針對中國,同時還針對其他國家發起攻擊�����。該組織大量使用水坑式攻擊和魚叉式釣魚郵件攻擊���,攻擊不限于Windows系統���,還針對其他非Windows操作系統�����,相關攻擊至今還非���;钴S。
No.5:Carbanak(APT-C-11)
Carbanak(即Anunak)攻擊組織���,是一個跨國網絡犯罪團伙���。2013年起,該犯罪團伙總計向全球約30個國家和地區的100家銀行���、電子支付系統和其他金融機構發動了攻擊���,目前相關攻擊活動還很活躍。在《2015年中國高級持續性威脅(APT)研究報告》中我們提到了Carbanak�����,通過研究分析該組織相關攻擊手法和意圖�����,我們將該組織視為針對金融行業的犯罪型APT組織����。
Carbanak組織一般通過社會工程學、漏洞利用等方式攻擊金融機構員工的計算機�����,進而入侵銀行網絡���。進一步攻擊者通過內部網絡��,對計算機進行視頻監控�,查看和記錄負責資金轉賬系統的銀行員工的屏幕�。通過這種方式,攻擊者可以了解到銀行職工工作的全部詳情�����,從而模仿銀行職工的行為�,盜取資金和現金。
另外該組織還可以控制�、操作銀行的ATM機�����,命令這些機器在指定的時間吐出現金�。當到支付時間時�,該組織會派人在ATM機旁邊等待,以取走機器“主動”吐出的現金�����。
No.6:摩訶草(APT-C-09)
摩訶草組織(APT-C-09)�����,又稱HangOver����、VICEROY TIGER、The Dropping Elephant��、Patchwork��,是一個來自于南亞地區的境外APT組織�����,該組織已持續活躍了7年���。摩訶草組織最早由Norman安全公司于2013年曝光�,隨后又有其他安全廠商持續追蹤并披露該組織的最新活動�����,但該組織并未由于相關攻擊行動曝光而停止對相關目標的攻擊����,相反從2015年開始更加活躍。
摩訶草組織主要針對中國�����、巴基斯坦等亞洲地區國家進行網絡間諜活動����,其中以竊取敏感信息為主。相關攻擊活動最早可以追溯到2009年11月���,至今還非��;钴S���。在針對中國地區的攻擊中���,該組織主要針對政府機構、科研教育領域進行攻擊�����,其中以科研教育領域為主��。
從2009年至今該組織針對不同國家和領域至少發動了3次攻擊行動和1次疑似攻擊行動���,期間使用了大量漏洞��,其中至少包括一次0day漏洞攻擊����,相關惡意代碼非常繁雜���,惡意代碼數量超過了上千個��。載荷投遞的方式�����,主要是以魚叉郵件進行惡意代碼的傳播�,另外會涉及少量水坑攻擊,在最近一次攻擊行動中基于即時通訊工具和社交網絡也是主要的惡意代碼投遞途徑��。進一步還會使用釣魚網站進行社會工程學攻擊�。該組織主要針對Windows系統進行攻擊���,同時也會針對Mac OS X系統進行攻擊���,從2015年開始還會針對Android系統的移動設備進行攻擊。
No.7:沙蟲(APT-C-13)
沙蟲組織的主要目標領域有:政府���、教育���、能源機構和電信運營商。進一步主要針對歐美國家政府�、北約,以及烏克蘭政府展開間諜活動��。該組織曾使用0day漏洞(CVE-2014-4114)針對烏克蘭政府發起了一次釣魚攻擊�。而在威爾士舉行的討論烏克蘭危機的北約峰會針對美國也進行了攻擊��。該組織還使用了BlackEnergy惡意軟件�����。而且沙蟲組織不僅僅只進行常規的網絡間諜活動��,還針對SCADA系統進行了攻擊�,研究者認為相關活動是為了之后的網絡攻擊進行偵查跟蹤�。另外有少量證據表明,針對烏克蘭電力系統等工業領域的網絡攻擊中涉及到了BlackEnergy惡意軟件����。如果此次攻擊的確使用了BlackEnergy惡意軟件的話,那有可能幕后會關聯到沙蟲組織��。
No.8:洋蔥狗(APT-C-03)
2016年2月25日��,Lazarus黑客組織以及相關攻擊行動由卡巴斯基實驗室�����、AlienVault實驗室和Novetta等安全企業協作分析并揭露��。2013年針對韓國金融機構和媒體公司的DarkSeoul攻擊行動和2014年針對索尼影視娛樂公司(Sony Pictures Entertainment�,SPE)攻擊的幕后組織都是Lazarus組織���。該組織主要攻擊以韓國為主
的亞洲國家,進一步針對的行業有政府�、娛樂&媒體、軍隊���、航空航天����、金融����、基礎建設機構�。
在2015年我們監控到一個針對朝鮮語系國家的APT攻擊組織,涉及政府����、交通、能源等行業�����。通過我們深入分析暫未發現該組織與Lazarus組織之間有聯系��。進一步我們將該組織2013年開始持續到2015年發動的攻擊,命名為“洋蔥狗”行動(Operation OnionDog)�����,命名主要是依據2015年出現的木馬主要依托onion city作為C&C服務�����,以及惡意代碼文件名有dog.jpg字樣�����。相關惡意代碼最早出現在2011年5月左右�����。至今至少發起過三次集中攻擊�。分別是2013年、2014年7月-8月和2015年7月-9月��,在之后我們捕獲到了96個惡意代碼�����,C&C域名��、IP數量為14個。
“洋蔥狗”惡意程序利用了朝鮮語系國家流行辦公軟件Hangul的漏洞傳播��,并通過USB蠕蟲擺渡攻擊隔離網目標��。此外�����,“洋蔥狗”還使用了暗網網橋(Onion City)通信�,借此無需洋蔥瀏覽器就可直接訪問暗網中的域名,使其真實身份隱蔽在完全匿名的Tor網絡里���。另外通過我們深入分析��,我們推測該組織可能存在使用其他已知APT組織特有的技術和資源,目的是嫁禍其他組織或干擾安全研究人員進行分析追溯��。
No.9:美人魚(APT-C-07)
美人魚行動是境外APT組織主要針對政府機構的攻擊活動�,持續時間長達6年的網絡間諜活動,已經證實有針對丹麥外交部的攻擊���。相關攻擊行動最早可以追溯到2010年4月�,最近一次攻擊是在2016年1月�����。截至目前我們總共捕獲到惡意代碼樣本284個,C&C域名35個���。
2015年6月��,我們首次注意到美人魚行動中涉及的惡意代碼����,并展開關聯分析�����,通過大數據關聯分析我們已經確定相關攻擊行動最早可以追溯到2010年4月��,以及關聯出上百
個惡意樣本文件�����,另外我們懷疑載荷投遞采用了水坑攻擊的方式�����,進一步結合惡意代碼中誘餌文件的內容和其他情報數據,我們初步判定這是一次以竊取敏感信息為目的的針對性攻擊��,且目標熟悉英語或波斯語����。
2016年1月,丹麥國防部情報局(DDIS�,Danish Defence Intelligence Service)所屬的網絡安全中心(CFCS,Centre for Cyber Security)發布了一份名為“關于對外交部APT攻擊的報告”的APT研究報告���,報告主要內容是CFCS發現了一起從2014年12月至2015年7月針對丹麥外交部的APT攻擊�,相關攻擊主要利用魚叉郵件進行載荷投遞����。
CFCS揭露的這次APT攻擊,就是我們在2015年6月發現的美人魚行動�����,針對丹麥外交部的相關魚叉郵件攻擊屬于美人魚行動的一部分����。從CFCS的報告中我們確定了美人魚行動的攻擊目標至少包括以丹麥外交部為主的政府機構�����,其載荷投遞方式至少包括魚叉式釣魚郵件攻擊。
通過相關線索分析��,我們初步推測美人魚行動幕后組織來自中東地區�����。
No.10:人面獅(APT-C-15)
人面獅行動是活躍在中東地區的網絡間諜活動��,主要目標可能涉及到埃及和以色列等國家的不同組織����,目的是竊取目標敏感數據信息����;钴S時間主要集中在2014年6月到2015年11月期間,相關攻擊活動最早可以追溯到2011年12月����。主要采用利用社交網絡進行水坑攻擊,截止到目前我總共捕獲到惡意代碼樣本314個���,C&C域名7個�。
人面獅樣本將主程序進行偽裝成文檔誘導用戶點擊,然后釋放一系列的dll�����,根據功能分為9個插件模塊���,通過注冊資源管理器插件的方式來實現核心dll自啟動����,然后由核心dll根據配置文件進行遠程dll注入�,將其他功能dll模塊注入的對應的進程中,所以程序運行的時候是沒有主程序的���。用戶被感染后比較難以發現���,且使用多種加密方式干擾分析,根據PDB路徑可以看出使用了持續集成工具����,從側面反映了項目比較龐大,開發者應該為專業的組織�����。
進一步我們分析推測人面獅行動的幕后組織是依托第三方組織開發相關惡意軟件��,使用相關惡意軟件并發起相關攻擊行動的幕后組織應該來自中東地區�。
京公網安備 11010502041587號