2022年,全球网络安全厂商公开发布的APT报告累计742篇,报告中披露的攻击 活动涉及APT组织141个。
APT-C-40(NSA)
2022年,360高级威胁研究院陆续公开披露了《 网络战序幕:美国国安局NSA(APT-C-40)对全 球发起长达十余年无差别攻击》、《Quantum(量子)攻击系统–美国国家安全局“APT-C-40”黑 客组织高端网络攻击武器技术分析报告(一)》、《关于西北工业大学发现美国NSA网络攻击调查报告 (之一)》、《西北工业大学发现美国NSA网络攻击调查报告(之二)》等多篇有关NSA组织攻击活动 及技术细节报告。
APT-C-40(NSA)组织持续对中国和全球多个国家地区展开网络攻击活动,给全球互联网安 全带来了严峻的风险和挑战。在披露的NSA组织对西北工业大学的一系列网络攻击活动中,美国 国家安全局(NSA)“特定入侵行动办公室”(TAO)使用了40余种不同的NSA专属网络攻击武 器,持续对西北工业大学开发起多轮持续性的网络攻击和窃密行动。
一直以来,美国国家安全局(NSA)针对我国各行业龙头企业、政府、科研机构甚至关乎国计民生 的核心基础设施运维单位长期进行黑客攻击活动,对我国的国防安全、关键基础设施安全、社会 安全、生产安全以及公民个人信息安全造成严重危害。
APT-C-40组织针对中国境内目标攻击中使用了其最具代表性的Quantum(量子)攻击系 统。该系统针对国家级网络通信进行中间劫持,以实施漏洞利用、通信操控、情报窃取等一系列 复杂网络攻击。360全网数字安全大脑对Quantum(量子)系统进行了长期的跟踪研究,并对 Quantum(量子)系统的九种先进网络攻击能力模块进行了总结。
当前全球不稳定因素增多,国际势力间的对抗增加,在此大背景下,大国间的网络对抗势必将会持 续进行,面对国家级背景的强大对手,我们需要长期的关注和防范以APT-C-40(NSA)为代表 的北美APT组织通过网络空间,对我国重点行业领域的攻击活动。
2022年,南亚地区APT组织相关攻击活动依然针对南亚、东南亚等地区,围绕国防军工、政府、能 源、科研等关键行业领域。在2022年,南亚地区的部分APT组织,如摩诃草、CNC、蔓灵花等,被发 现选择医疗行业作为攻击目标,推断这可能与2022年爆发的多起大规模传染病传播事件(如猴痘、不 明病因儿童肝炎、新冠病毒变异株Deltacron变种等)存在一定相关性
APT-C-08(蔓灵花)
2022年APT-C-08(蔓灵花)组织依旧延续使用之前的攻击技战术,主要使用恶意文档作为与目标 人群接触的切入点,通过文档中携带的宏代码、公式编辑器漏洞、chm包含的内嵌脚本等方式来完 成代码的执行,通过执行的代码在设备中留下计划任务,用以周期性的与服务器进行连接,通过计划 任务调用curl.exe或msiexec.exe向服务器请求文件数据,最终完成落地。
较以往有所不同的是,在msi文件中,部分文件中包含VBS文件。VBS文件的功能多为重命名并执行一 同被释放的组件程序,在这些VBS文件中,会以"explorer.exe"代理启动指定应用程序。
在2022年上半年,360高级威胁研究院捕获到了蔓灵花组织使用的最新远控程序,根据其路 径名“wmservice.exe”,将其命名为“wmRAT”。
由于“wmRAT”当前已有的功能以文件搜索和上传下载等功能为主,且在通讯中存在较多 无实际功能的指令,推断该远控程序还处于研发阶段,后续可能增加其他多种功能在更多维 度完成对失陷设备的控制。
APT-C-48(CNC)
APT-C-48(CNC)组织在2022年的攻击活动继续重点针对教育、科研领域相关单位。该组织 攻击技战术也沿用2021年360高级威胁研究院对外发布的《猎天行动CNC(APT-C-48)组 织最新攻击活动披露》[11]一文中披露的两种攻击流程,在原攻击流程不变的基础上进行了拓展优 化,增加多种功能组件程序的下发,试图增强对设备的控制。
CNC组织凭借对攻击目标以及失陷设备的情报收集,将攻击过程中的部分步骤完成了定制化 的改变,如基础设施的SSL证书源自国内某安全厂商。CNC组织的威胁样本在部署时会通过劫持设备上常用软件程序或功能组件作为驻留路径。
APT-C-24(响尾蛇)
2022年,响尾蛇组织依旧以南亚周边国家地区的外交事务相关人员为重心展开攻击活动,此外 360高级威胁研究院也捕获到部分该组织针对医疗行业人员的攻击事件。 2022年2月,360高级威胁研究院首次捕获到响尾蛇基于“FileSyncShell.dll”实施的攻击活 动:《filesyncshell.dll劫持?APT-C-24响尾蛇最新攻击活动简报》[12]。在攻击流程中利用了 windows中FileSyncShell.dll会开机自启以及多个应用程序调用的特点,将恶意程序与设备上 的白文件进行替换,完成劫持行为。
上述攻击流程与响尾蛇组织在 2020 年 对 国 内 某 高 校 使 用 漏 洞“ CVE-2017- 0199”+“CVE-2020-0674”的情况相类似,此攻击流程后续并未被发现在攻击活动中广泛投入 使用。除上面提到的个别攻击活动外,响尾蛇2022年整体的攻击流程以及代码框架并未发生较大的变化, 主要变化集中在对“DotNetToJScript”生成的脚本代码的混淆上。
APT-C-09(摩诃草)
2022年下半年开始,APT-C-09(摩诃草)组织针对国内的攻击活动突增,主要针对科研教育领域, 相关集中攻击持续几个月后又处于蛰伏阶段。 摩诃草组织在攻击活动初期入侵阶段,使用漏洞文档文件完成代码执行,下发BADNEWS RAT到目 标设备上,攻击过程与该组织历史攻击活动相似。在2022年的捕获的攻击活动中,摩诃草组织修改了 开源工具”SharpInjector“代码,用以对Quasar进行封装,试图减少威胁样本文件落地时被查杀 的概率。
其他组织
APT-C-35(肚脑虫)
APT-C-35(肚脑虫)组织又称Donot,是一个针对目标地区政府机构展开网络间谍攻击活动, 以窃取敏感信息为主要目的的APT组织。该组织在2022年被披露的攻击活动中使用的攻击流程 未发生变化,。
APT-C-61(腾云蛇)
APT-C-61(腾云蛇)是由360高级威胁研究院在2021年首次披露的全新APT组织。该组织 在基础设施的选择上,主要使用各类云服务平台,如:谷歌云硬盘、dropbox、herokuapp、 pythonanywhere等。
APT-C-56(透明部落)
APT-C-56(透明部落)又名APT36、ProjectM、C-Major,是一个具有南亚背景的APT组织。在 2022年,360高级威胁研究院持续监测和捕获到伪装成印度国防部邮件进行投递的恶意文档,文档 内部包含宏代码,一旦用户疏忽点击了启动宏功能,内部隐藏的恶意宏代码自动运行。
2022年12月,360高级威胁研究院捕获到透明部落组织疑似围绕恐怖主义发起攻击的恶意样本。 攻击者分别使用了Android和Windows平台的远控工具,其中Android平台攻击样本使用了商业 间谍软件SpyNote和SonicSpy,以及开源间谍软件AhMyth和Metasploit。Android平台攻 击样本主要伪装成与恐怖主义相关的内容和工具,如Explosive_course(爆炸物课程)、Abdul Rasheed(巴基斯坦伊斯兰原教旨主义者和圣战活动家)、Bolan Attack Video(俾路支解放军 攻击视频)等。
2022年,东亚-朝鲜半岛地区的APT组织攻击活动尤为活跃,如:APT-C-26(Lazarus)、 APT-C-28(ScarCruft)、APT-C-55( Kimsuky)等。
APT-C-26(Lazarus)组织作为东亚地区较活跃的APT组织,其攻击目标分布广泛,近年存在向 加密货币行业领域发展的趋势。APT-C-28(ScarCruft)是一个技术精湛且非常活跃的APT组 织,主要关注朝鲜半岛事务,攻击的也大多是与朝鲜半岛有关的商业组织和外交机构。APT-C-55 (Kimsuky)组织是东亚地区最活跃的APT组织之一,该组织以专注网络间谍活动而闻名,偶尔会展 开以经济利益为目的的网络攻击活动。
APT-C-26(Lazarus)
APT-C-26(Lazarus)历来是朝鲜半岛非常活跃的APT组织之一,长期针对东亚、南亚、东南亚等地 区国家进行攻击渗透,攻击目标范围逐渐扩大。Lazarus组织以加密货币、金融、航空航天、军工、制 造等为主要攻击目标行业。由于其针对全球金融机构的屡次攻击活动,已经逐渐成为全球金融机构的 一大威胁。
2022年8月,360高级威胁研究院监测到Lazarus组织以LinkedIn为媒介,向国内某机构发起 “DreamJob”攻击活动。在该攻击活动中,攻击者通过LinkedIn平台向用户发送了与工作机会相 关的恶意压缩文件,在恶意Downloader样本执行后,从远程C2下载下一阶段载荷和密码保护的 诱饵PDF文档。之后又向受害用户发送包含恶意LNK文件的压缩包。执行恶意LNK文件后,加载远程 HTA文件,显示PDF密码。
在2022年的攻击活动中,Lazarus组织不断开发新的恶意软件和探索新的攻击手法来对抗安全产品 的检测。2022年9月,组织被披露利用新类型恶意软件MAGICRAT发起攻击,由于MagicRAT借 助Qt框架构建,加大了人工分析和自动检测的难度;在2022年9月到10月,Lazarus组织被披露利 用BYOVD技术手法发起攻击,BYOVD是“自带脆弱驱动程序”攻击方法,攻击过程中,通过修改与 内核相关区域中的数据,禁用系统内包含反病毒程序内的所有监控程序。
APT-C-28(ScarCruft)
APT-C-28(ScarCruft)是具有朝鲜半岛背景的APT组织,善于利用热点事件发起攻击,主要 以核问题、网络安全、朝韩关系、政治时事等话题为诱饵。2022年主要针对东欧、东亚相关重点 目标发起攻击。
2022年3月,360高级威胁研究院监测到ScarCruft组织针对某驻外机构发起一系列攻 击活动,例如向目标机构投递Final1stspy和DOGCALL恶意软件。Final1stspy恶意软 件是ScarCruft组织使用的Dropper,用来投递DOGCALL恶意软件;DOGCALL是 ScarCruft组织使用的后门,具有截屏键盘记录、捕获麦克风数据、收集受害者信息、收集感兴 趣的文件以及下载并执行额外的有效载荷等功能,该恶意软件曾在2017年被用于攻击韩国政府 和军事组织。
攻击者将Final1stspy伪装成微软补丁文件,例如KB330331.exe等,通过cmd指令调用 PowerShell从失陷服务器投递到目标主机充当Dropper。样本在system路径下创建文件 NWCWorkstation.dll。其中解密后的NWCWorkstation.dll为后续阶段载荷,并利用服务 启动后续载荷。
ScarCruft组织在2022年上半年,持续利用恶意软件植入等方式,针对东欧政府机构展开攻击活 动。据安全厂商披露情报显示,该组织相关攻击活动至少从至少从2021年8月已经开始。2022年初, ScarCruft组织通过使用新年前夜庆祝活动相关主题的邮件作为诱饵,发起钓鱼攻击。一旦恶意电子 邮件附件被打开和执行,会触发多个阶段的任务链,最终在受影响终端植入一个属于Konni RAT家族 的恶意软件作为最终有效载荷。
2022年下半年,360高级威胁研究院捕获了ScarCruft组织针对某驻外机构的攻击活动。在攻击活 动中,攻击者将初始可执行程序样本的图标伪装成文件夹以迷惑用户。用户执行后将恶意shellcode 注入到系统程序进程中,通过后续多个阶段最终释放RokRat恶意程序。RokRat是基于云的远程访 问工具,从2016年开始一直被ScarCruft组织在多个攻击活动中使用。
2022年11月,ScarCruft组织的新后门Dolphin被公开披露。该后门曾经被作为2021年初多阶段 攻击的最终有效载荷。Dolphin后门仅针对选定的受害者手动部署,并且主动搜索驱动器并窃取攻击 者认定高价值扩展名的文件。自2021年4月Dolphin后门首次被发现以来,现已经捕获到该后门的多 个版本,攻击者在此期间不断尝试改进后门的功能,并试图逃避检测。
APT-C-55(Kimsuky)
APT-C-55(Kimsuky)是东亚地区最活跃的APT组织之一,该组织以专注网络间谍活动而闻名,偶 尔会展开以经济利益为目的的网络攻击活动。Kimsuky组织的攻击目标范围主要集中在东欧和东亚 地区。2022年,Kimsuky组织被披露的主要攻击活动主要是针对智库、军事、工业、研究所等机构展 开,同时其攻击目标涉及加密货币行业,攻击方式以钓鱼攻击为主。
2022年,360高级威胁研究院捕获到了Kimsuky组织使用BabyShark组件的多起攻击活动。 Kimsuky组织使用该组件针对特定用户进行定向攻击,并通过对多个地址访问请求增强其溯源难 度,提升自身攻击活动的隐蔽性。
BabyShark组件于2019年2月被发现应用于针对目标国家安全智库和学术机构的攻击活动,后续也 被发现用于从事核安全和朝鲜半岛国家安全问题的间谍活动,BabyShark组件主要用于收集目标的 敏感信息。
2022年10月,Kimsuky组织被披露在攻击中使用了三种针对Android设备的恶意软件,分别命名 为FastFire、FastViewer和FastSpy。FastFire恶意软件伪装成谷歌安全插件,从谷歌支持的 应用开发平台Firebase接收命令;FastViewer恶意软件伪装成“Hancom Office Viewer”, 从受感染终端窃取信息后下载其他恶意软件;FastSpy是基于开源AndroSpy的远程访问工具,由 FastViewer下载释放,通过TCP/IP协议从攻击者的服务器接收命令。
Kimsuky组织正不断面向移动终端展开攻击,Kimsuky组织针对移动终端的攻击战术和策略会越 来越先进,未来需要注意防范Kimsuky组织可能向Android移动终端展开的复杂攻击。
APT-C-06(DarkHotel)
APT- C- 06(Darkhotel)组织在2022年,依旧保 持高频率的漏洞使 用。继2021年 Darkhotel组织在UMK攻击行动中利用IE浏览器0day漏洞发起水坑攻击后,2022年上半年 该组织又一次使用最新Firefox 0day漏洞发起水坑攻击。360高级威胁研究院率先捕获到这两 个Firefox 0day浏览器漏洞:CVE-2022-26485、CVE-2022-26486。
2022年东亚其他地区活跃APT组织,主要为APT-C-01(毒云藤)、APT-C-12(蓝宝菇)。毒云藤 组织在2022年攻击活动频次和受其攻击影响的单位较2021年明显增多,被攻击目标单位集中于科研 单位和教育机构。蓝宝菇组织2021年下半年针对我国重点领域单位开始的定向攻击活动持续至今, 仍不断有新增受影响用户。其他如APT-C-59(芜琼洞)、APT-C-62(三色堇)等2021年较为活跃 的APT组织,在2022年整体活跃度有所降低,这符合APT组织以往针对特定领域展开短期集中攻击 活动后蛰伏的特点。
APT-C-01(毒云藤)
APT-C-01(毒云藤)组织一直以来擅长紧跟时事热点,针对政府、国防军工、科研等多个领域的重点 单位发起伪装性很强的大规模钓鱼攻击,以窃取受害者的邮箱账号密码以及其他敏感信息为目的。该 组织在2022年针对我国的攻击活动持续活跃,相较于去年攻击频次和受影响单位都明显增多,更加 关注科研单位和教育机构。
APT-C-01(毒云藤)组织使用的钓鱼网页一部分仿冒网易、搜狐、新浪邮箱等国内知名邮箱服务网 站,通过域名包含163、mail、126等带有迷惑性的关键词,进行大规模集中钓鱼攻击活动;另一部分 网页仿冒受害目标单位邮箱系统网站,域名大多包含受害单位的官方域名用以迷惑用户,在钓鱼链接中 多数硬编码受害单位人员的邮箱用户名,实现定向钓鱼。并且毒云藤组织使用的诱饵文件也紧跟时事 热点,如2月-3月俄乌冲突爆发后,使用“俄乌”相关话题作为诱饵文件关键词,在3月份,随着国内个 人所得税申报开始,使用“个人所得税汇算清缴事项”为诱饵文件关键词进行钓鱼活动。4月份,各地推 行场所码的时候,出现以 “场所码代扫”作为关键词的诱饵文档。9月份,该组织开始使用“综合防灾 减灾”作为关键词的诱饵文档。
360高级威胁研究院监测到APT-C-01(毒云藤)组织在2022年的钓鱼攻击活动中,更加注重自身 的隐蔽性。比如降低通过钓鱼网站投递恶意附件的攻击倾向,受影响用户输入邮箱账户密码后,网站 跳转下载附件或访问文章,多为正常文件;另外将文件名、邮箱名硬编码到钓鱼链接中,并且链接携带 校验码,在钓鱼页面对链接加以判断,如果链接格式或者校验码错误,跳转至404页面,并且在同一个 钓鱼域名下存放不同的文件,根据链接携带的文件名和文件ID可以下载不同的文件,以此来对抗安全 技术人员的探测和发现。
APT-C-12(蓝宝菇)
APT-C-12(蓝宝菇)组织自被披露以来,长期对我国国防、政府、科研、金融等重点单位和部门进行 持续网络间谍活动。该组织从2020年活跃度逐渐减弱,蛰伏近一年,在2021年10月展开了一系列针 对我国通信、国防军工等多个领域重点单位的攻击活动。一直到2022年,仍有受其恶意文件影响的用 户,相较2021年已明显减少。相关攻击活动主要采用控制基础网络设施来进行突破渗透,主要是针对 国内某安全厂商VPN产品,攻击手法与2020年4月APT-C-06(DarkHotel)对某厂商VPN产品漏 洞的利用非常相似。
相关恶意组件与之前攻击活动中的Winsta_Dropper属于同一家族,主要在攻击手法、解密算法密 钥和C2服务器方面进行了更新,并且增加了对360安全防护产品的对抗策略。
