截止2023年12月,全球网络安全厂商以及机构,公开发布APT报告 累计731篇,报告中涉及APT组织135个,其中属于首次披露的APT组织46个。
来自美国的网络黑客组织针对全球的网络攻击行为早已呈现出自动化、体系化和智能化的特征,其网 络武器技术先进,攻击手法复杂,几乎可以覆盖全球所有互联网和物联网资产,攻击者为达到军事、政 治侦察目的,可以随时随地控制他国网络,窃取关键数据。 继2022年6月,美国APT-C-40(NSA)组织针对西北工业大学的网络攻击活动披露后,2023年7 月,国家计算机病毒应急处理中心和360公司再次处置和披露和处置了美国方向黑客组织针对武汉市 地震监测中心的网络攻击活动[1]。地震检测中心的地震烈度数据与国家安全息息相关,通过地震烈度 数据可以还原出我交通、能源、军事等重要领域特定区域的三维地貌图,如果数据泄露将严重威胁我 国军事安全和国家安全。
2023年,360高级威胁研究院通过持续监测发现来源于北美方向针对我国的最新攻击活动。进一步 综合研判溯源将此次攻击归属为一个全新APT组织:APT-C-57(沃尔宁)。该组织擅长利用重点目 标专用应用软件进行复杂的供应链攻击。其攻击活动最早可追溯到2018年,2021年至2023年间持 续活跃。
APT-C-39(CIA)
APT-C-39(CIA)组织长期针对中国航空航天、科研机构、石油、大型互联网公司以及政府等关键 领域进行网络渗透攻击。2023年360先是在《“黑客帝国”调查报告――美国中央情报局(CIA)(之 一)》[2]报告中,对CIA组织网络攻击武器主要细节进行了揭秘,随后在对CIA组织的持续跟踪中,再 次捕获到该组织针对我国芯片、5G通信等领域目标的最新攻击活动。结合当前美国针对我国芯片、 5G等高科技领域的打压态势,其用心不言而喻。 APT-C-39(CIA)组织对中国和其他国家实施的网络攻击窃密活动,大量使用0day漏洞,其中 包括大批至今未被公开披露的后门和漏洞,在世界各地建立“僵尸”网络和攻击跳板网络,针对网 络服务器、网络终端、交换机和路由器,以及数量众多的工业控制设备分阶段实施攻击入侵行动。 APT-C-39(CIA)组织针对全球发起的网络攻击行为早已呈现出自动化、体系化和智能化的特征。 360高级威胁研究人员在APT-C-39(CIA)组织针对中国境内目标实施的网络攻击行动中,成功提 取了多个“Vault7”(穹顶7)网络攻击武器样本。通过对样本进行分析发现:CIA组织使用的后门程 序和攻击组件大都以无实体文件的内存驻留执行方式运行。这使得对相关样本的发现和取证难度极 大。我们将捕获的APT-C-39(CIA)组织攻击武器按类别,分为框架平台类、攻击模块投递类、远程 控制类、横向移动类、信息收集窃取类、漏洞利用类、伪装正常软件类、安全软件攻防类、第三方开源 工具类9个类别。
应对APT-C-39(CIA)组织高度体系化、智能化、隐蔽化的网络攻击,如何快速“看见”并第一时间 对威胁进行“处置”尤为重要。我们在采用自主可控国产化设备的同时,应针对APT攻击威胁开展自检 自查,逐步建立起长效防御体系,实现全面系统化防治,以抵御此类高级威胁攻击。
APT-C-40(NSA)
2022年,国家计算机病毒应急处理中心会同360公司配合侦办西北工业大学被APT-C-40 (NSA)组织网络攻击事件过程中,成功提取了NSA组织使用的“二次约会”网络间谍软件的多个 样本,并通过样本分析,锁定了一系列网络攻击行动背后美国国家安全局(NSA)工作人员的真实 身份。 2023年9月,国家计算机病毒应急处理中心和360公司对NSA组织使用的“二次约会”网络间谍 软件技术分析报告进行了披露[3]。该间谍软件可实现网络流量窃听劫持、中间人攻击、插入恶意代 码等恶意功能,它与其他恶意软件配合可以完成复杂的网络“间谍”活动。 技术分析发现,“二次约会”间谍软件是一款高技术水平的网络间谍工具。“二次约会”间谍软件长 期驻留在网关、边界路由器、防火墙等网络边界设备上,可针对海量数据流量进行精准过滤与自动 化劫持,实现中间人攻击功能。其主要功能包括网络流量嗅探、网络会话追踪、流量重定向劫持、 流量篡改等。
2023年6月,国外安全厂商披露了NSA组织使用多个iOS平台0day漏洞针对iOS移动设备的攻 击活动。攻击者通过iMessage平台使用0-click漏洞进行感染,先后利用多个漏洞获得对设备 和用户数据的完全控制。 APT组织对我国国防科技背景高校单位的网络攻击活动,实则目标是针对我国国防军工和科技创 新体系的渗透和窃密。我国政府机构、重点企业、教育科研等关基单位,应实现自身网络安全隐患 和威胁的排查,对网络攻击威胁做到有效防御,即时发现溯源、实时阻断处置。
2023年,南亚地区APT组织依旧以中国、巴基斯坦、孟加拉国等周边国家为攻击重心。攻击活动主 要围绕国防军工、政府、能源、科研等关键行业领域。 2023年下半年,南亚地区APT组织针对我国的攻击活动频次均呈现出不同程度的增加。其中 APT-C-08(蔓灵花)和APT-C-24(响尾蛇)组织针对我国驻外使馆、驻外合作等外事机构攻击 活跃。
APT-C-08(蔓灵花)
APT-C-08(蔓灵花)组织在2023年的攻击活动十分活跃,攻击目标集中在我国驻外机构、驻外企业 中涉及科技、商贸合作的相关单位,除此之外其攻击活动还影响国防军工、教育、科研相关单位。 在 2023 年的威胁狩猎中360 监 测 到 蔓 灵花 组 织在 部分攻击活 动 更 新了技 战 术:起 始 阶 段 payload,除 常用 的 CHM 文件 外,还 利 用 lnk 文件进 行投 递,进 而 用wscript 调用系统 SyncAppvPublishingServer.vbs文件执行下载命令。与以往攻击流程区别在于,msi文件不再作 为最后阶段的远程控制工具,而是用于创建任务计划和持久化阶段的工具。
APT-C-09(摩诃草)
APT-C-09(摩诃草)组织在2023年的攻击活动突然活跃。通过监测发现,摩诃草组织全年攻击活 动主要针对教育、科研以及国防军工等领域。攻击重点存在间歇性更替变化,其中针对教育领域的攻 击活动贯穿全年,针对气象类科研机构的攻击活动,集中在5月和10月展开;另外该组织针对几个重点 目标,会在一段时间内,进行集中大规模攻击。
摩诃草组织一直处于不活跃状态,2022年底开始短暂活跃,进入2023年以来的持续攻击,是摩诃草 组织组织持续时间最久,攻击影响范围最广的一次攻击活动。 摩诃草组织在本轮活跃攻击中不断更新攻击组件。攻击手法主要以投递恶意lnk文件为主,后续阶段投 放的木马程序不仅包含BADNEWS组件,还利用多种开源远控工具或者开源loader加载其远控工 具,并在一些组件中使用数字签名和强”壳“保护。
APT-C-48(CNC)
2023年APT-C-48(CNC)组织针对我国的攻击活动,攻击目标集中在我国教育、科研领域相关单 位,依旧以窃取重点科研单位机密数据和文件为目的。受CNC组织攻击影响的重点高校和科研单位, 大都具有国防军工背景。在2023年下半年,CNC组织攻击活动明显活跃,在11月、12月达到高峰。
APT-C-24(响尾蛇)
2023年,APT-C-24(响尾蛇)组织延续了对我国以及南亚地区周边国家外交事务相关人员的攻击 活动。我国受其攻击影响的单位主要为外事机构以及驻外商贸相关单位,此外360高级威胁研究院还 捕获到该组织针对我国高校相关目标的攻击。 响尾蛇组织在2023年部分攻击活动中,对攻击流程做了更新:url使用了新的混淆伪装手法,在起始阶 段的lnk文件中对URL做了新的伪装。
APT-C-35(肚脑虫)
APT-C-35(肚脑虫)组织一直以来主要针对巴基斯坦、斯里兰卡、孟加拉国等地区的政府等领域进 行网络间谍活动,以窃取敏感信息为主要目的。 360高级威胁研究院捕获到肚脑虫组织在2023年对攻击手法进行了更新。一是利用历史inp文档漏 洞进行后续阶段的RAT下发,在此步骤中改用了商业版的Remcos RAT,之后沿用其历史攻击所用 组件。
APT-C-56(透明部落)
APT-C-56(透明部落)组织长期针对南亚周边国家和地区,尤其是印度的政治、军事目标进行定向 攻击活动。该组织具备在Windows、Android和Linux多平台开展攻击活动的能力。 2023年,透明部落组织主要通过投递恶意LNK快捷方式文件和携带恶意宏代码的诱饵文档的方式, 投放CrimsonRAT后门程序针对印度的政府、军队、国防、医疗、电力、金融等单位进行攻击[4]。 360高级威胁研究院在2023年首次监测到透明部落通过伪造印度国家奖学金门户、印度陆军福利教 育学会钓鱼网站向受害用户投放三平台木马进行攻击[5]。
2023年,东亚地区APT组织在攻击活动和攻击技战术更新上均保持着活跃态势。主要活跃组织 如:APT-C-01(毒云藤)、APT-C-26(Lazarus)、APT-C-06(DarkHotel)、APT-C-55 (Kimsuky)等。此外,360高级威胁研究院还捕获了东亚地区的新的活跃APT组织:APT-C-68 (寄生虫)。 APT-C-01(毒云藤)组织依旧主要针对我国教育、政府、科研、国防军工领域展开大规模钓鱼攻击; APT-C-06(DarkHotel)在攻击活动中不断更新其前期载荷投递文件;APTC-26(Lazarus)下 属组织具有更广泛的攻击目标,受其攻击影响的用户地域分布广泛,常进行网络间谍或以经济目的为 驱动的网络攻击活动;APT-C-55(Kimsuky)和APT-C-28(ScarCruft)组织常以窃密为目的 发起攻击,偶尔也以经济目的发起攻击。从现阶段我们捕获的APT-C-68(寄生虫)组织攻击活动看, 该组织主要关注我国科研、教育、军工等行业。
APT-C-01(毒云藤)
2023年,APT-C-01(毒云藤)组织保持着针对我国教育、政府、国防军工、科研等领域的活跃攻击 态势。毒云藤组织通过使用紧跟时事热点的诱饵文档和伪装性较强的钓鱼网页,发起大规模钓鱼攻 击,主要以窃取受害者邮箱账号等信息为目的。 通过监测发现:与以往相比,毒云藤组织降低了通过钓鱼网站投递恶意附件进行攻击的倾向。受害者输 入邮箱账户密码后,网站跳转下载附件或访问链接,多为正常文件和官方白链接。 毒云藤组织主要的钓鱼手法为鱼叉邮件配合钓鱼链接,向目标群体发送带有钓鱼链接的邮件进行广撒 网式的钓鱼,使用的诱饵文件具有很强的针对性,例如,针对高校教职工,使用主题为“稿件审核”的 诱饵文档;针对航空航天领域人员,使用带有“航天”、“航站楼”等字眼的诱饵文档;针对我国海事机 构或沿海地区目标,则是利用“海洋强区”,“海洋经济”等主题的诱饵文档。用户点击邮件附带的伪装 钓鱼链接后,往往提示用户需要重新登录或者验证。
APT-C-06(DarkHotel)
APT-C-06(DarkHotel)组织在攻击活动中主要以投递具有迷惑性主题的压缩包,作为载荷投递的 主要手法。该组织针对我国的攻击活动主要集中在涉朝贸易相关单位。受其攻击影响用户主要分布于 我国近朝鲜半岛和东南沿海部分地区。360高级威胁研究院监测发现,2023年DarkHotel组织针对 我国国防军工、政府机构等领域的攻击活跃度,较往年有所提升。 2023年,APT-C-06(DarkHotel)组织利用国内某邮件系统0day漏洞进行大规模攻击。攻击活 动主要针对要我国政府、科研以及涉朝相关单位。
APT-C-26(Lazarus)
2023年,APT-C-26(Lazarus)组织在全球范围内开展了一系列网络攻击。这些攻击活动涉及医学 研究、技术部门到金融安全等多个领域,展示了其技术多样性和攻击手段的创新性。Lazarus组织还不 断更新攻击手法,在攻击活动中不仅利用了Windows IIS Web服务器漏洞[6],还通过伪装成安全更新 安装程序分发恶意代码,甚至利用韩国金融安全解决方案漏洞展开攻击。
2023年3月,Lazarus组织发起了一场针对3CX桌面应用程序的供应链攻击。攻击者首先利用 Chrome浏览器的远程代码执行漏洞CVE-2022-0609成功攻击目标网站,并感染X_TRADER软 件包。接下来在Windows和macOS构建环境中部署了TAXHAUL启动器、COLDCAT下载器和 POOLRAT后门。当用户进行3CX软件升级时,会下载3CX MSI Installer安装器,释放并执行3CX Desktop APP(3CXDesktopApp.exe),完成下载和执行后门程序,从而构成完整攻击链。
