威胁研究正文

腾讯安全2018上半年高级持续性威胁(APT)研究报告

2018-08-10 08:33:43

腾讯御见威胁情报中心高级持续性威胁(APT)研究小组在对全球范围内的APT组织进行长期深入的跟踪和分析过程中发现,2018年上半年活跃的已命名APT组织主要有14个,它们分别是蔓灵花、商贸信、白象(Hangover)、人面马(APT34)、奇幻熊(APT28)、污水(MuddyWater)......

目录

 一、    APT组织的攻击主要特点

1.      国家机关和能源企业是APT组织攻击的行业分布之首

2.      亚洲国家是APT组织攻击的主要地域目标

3.      中国国际影响力提升,针对中国的APT攻击增多

4.      五月、六月间的APT组织攻击行为最为频发

二、    APT组织的攻击技术特点

1.      APT组织偏爱利用漏洞攻击,占所有攻击技术的60%

2.      用户对Office文档基本功能不了解误使恶意代码运行

3.      APT组织为躲避杀毒软件检测使用脚本攻击

三、    APT组织的攻击渠道特点

1.      APT组织擅长使用命中率极高的鱼叉攻击伪造邮件,渠道使用占比最高

2.      APT组织利用开源代码隐藏木马代码躲避检测,从而使用漏洞攻击

3.      APT组织在目标可能出现之处利用水坑攻击守株待兔

1.      防御社会工程学欺骗

2.      部署完善安全保护措施

五、    结语

导言

腾讯御见威胁情报中心高级持续性威胁(APT)研究小组在对全球范围内的APT组织进行长期深入的跟踪和分析过程中发现,2018年上半年活跃的已命名APT组织主要有14个,它们分别是蔓灵花、商贸信、白象(Hangover)、人面马(APT34)、奇幻熊(APT28)、污水(MuddyWater)、Lazarus、海莲花(OceanLotus)、寄生兽(DarkHotel)、响尾蛇(SideWinder)、OlympicDestroyerReaperAPT37)、Slingshot、穷奇。

除此之外,腾讯御见威胁情报中心还捕获了APT组织使用的两个0Day漏洞,它们分别是CVE-2018-0802Office公式编辑器高危漏洞)和CVE-2018-5002Flash高危漏洞)。

APT组织的攻击是十分高深、十分隐秘和不易觉察的,但随着各种攻击技术以及漏洞挖掘技术的公开,以及安全软件自身数据分析能力的积累,APT组织的攻击轨迹正一步步被专业安全厂商揭开面纱。

描述APT组织的活动规律,就像完成一张复杂的拼图,安全厂商的监测系统可能捕捉到APT组织活动的一个局部,通过数据分析,将这些零散的局部特征拼接成大致完整的图像。

APT组织攻击的目的主要有获取国家利益、某种政治目的、窃取政府及商业机构的数字情报及核心技术、干扰或破坏某些敌对目标的基础设施等等。随着社会的发展,APT组织攻击方式方法也不断被披露,面向民用系统或商业机构的APT攻击不断涌现,APT攻击的目标正在平民化,离普通人也越来越近了。

一、APT组织的攻击主要特点

1.    国家机关和能源企业是APT组织攻击的行业分布之首

从上半年APT组织攻击的行业分布来看,政府依然是APT组织最为关注的目标(占16%)。除政府之外,能源(16%)、军事(11%)、电信(11%)、、金融(8%)、工业(8%)等领域是受APT组织攻击的重灾区,同时可以看出APT组织的重点目标是与国计民生密切相关的高价值目标。以上类型行业依赖于互联网提供的基础设施,又相对缺乏专业的安全运维,一旦遭受到攻击,将会使机密数据资料泄露,进而可能被挖矿,遭受利益损失,给政府、机构、企业、个人带来严重的安全威胁,后果严重。


2018年上半年主要APT组织的攻击行业一览表

行业

攻击本行业的APT组织个数

实施攻击的APT组织

贸易

1

商贸信

政府

6

蔓灵花、商贸信、污水(MuddyWater)、寄生兽(DarkHotel)、奇幻熊(APT28)、人面马(APT34

金融

3

人面马(APT34)、污水(MuddyWater)、Lazarus

医疗

1

奇幻熊(APT28

能源

6

蔓灵花、商贸信、人面马(APT34)、污水(MuddyWater)、Lazarus、海莲花

电力

2

蔓灵花、OlympicDestroyer

工业

3

蔓灵花、商贸信、ReaperAPT37

科研

2

白象(Hangover)、海莲花

军事

4

白象(Hangover)、奇幻熊(APT28)、响尾蛇(SideWinder)、寄生兽(DarkHotel

化工

2

人面马(APT34)、ReaperAPT37

电信

4

人面马(APT34)、污水(MuddyWater)、ReaperAPT37)、寄生兽(DarkHotel

酒店

2

奇幻熊(APT28)、寄生兽(DarkHotel

航空

1

人面马(APT34

2.    亚洲国家是APT组织攻击的主要地域目标

统计分析2018年上半年APT组织在各地区的活跃情况后,可以看出,在亚洲11个,分别是蔓灵花、商贸信、白象(Hangover)、污水(MuddyWater)、Lazarus、海莲花、寄生兽(DarkHotel)、OlympicDestroyer响尾蛇(SideWinder)、ReaperAPT37)、人面马(APT34);北美4个,分别是商贸信、Lazarus、寄生兽(DarkHotel)、人面马(APT34);中东3个,分别是人面马(APT34)、奇幻熊(APT28)、ReaperAPT37);欧洲2个,分别是商贸信、寄生兽(DarkHotel);非洲只有1个寄生兽(DarkHotel)。可以看到,同一APT组织在全球范围内都有所活跃,亚洲国家是APT组织攻击的主要地域目标;其中,位于东亚的中国是受APT组织攻击影响严重的国家。

2018年上半年主要APT组织的活跃地区(洲际分布)

地区

针对该地区的APT组织个数

活跃在该地区的APT组织

东亚

7

蔓灵花、商贸信、Lazarus、海莲花、寄生兽(DarkHotelOlympicDestroyerReaperAPT37

南亚

7

蔓灵花、商贸信、白象(Hangover)、污水(MuddyWater)、Lazarus寄生兽(DarkHotel)、

响尾蛇(SideWinder

东南亚

4

白象(Hangover)、海莲花、寄生兽(DarkHotelReaperAPT37

西亚

3

商贸信、污水(MuddyWater)、人面马(APT34

欧洲

2

商贸信、寄生兽(DarkHotel

北美

4

商贸信、Lazarus寄生兽(DarkHotel人面马(APT34

东非

1

寄生兽(DarkHotel

中东

3

人面马(APT34、奇幻熊(APT28)、ReaperAPT37

2018年上半年主要APT组织的活跃地区(国家分布)

APT组织名称

疑似APT组织所在国家

受攻击的国家和地区

蔓灵花

未知

中国、印度、巴基斯坦

商贸信

尼日利亚

美国、俄罗斯、中国、印度、巴基斯坦、沙特、韩国、伊朗

白象(Hangover

印度

东南亚国家、巴基斯坦

人面马(APT34

伊朗

中东多国政府组织,沙特、卡塔尔、阿联酋、土耳其、科威特、以色列、黎巴嫩和美国

奇幻熊(APT28

俄罗斯

中东

污水(MuddyWater

伊朗

中东国家、巴基斯坦,沙特阿拉伯,阿联酋和伊拉克

Lazarus

朝鲜

韩国、美国进行渗透攻击、孟加拉国

海莲花

越南

中国、东南亚国家

寄生兽(DarkHotel

韩国

朝鲜、俄罗斯、韩国、日本、孟加拉国、泰国、中国、中国台湾、美国、印度、莫桑比克、印度尼西亚和德国。

响尾蛇(SideWinder

印度

南亚国家

OlympicDestroyer

朝鲜

韩国

ReaperAPT37

朝鲜

韩国、日本、越南和中东

3.    中国国际影响力提升,针对中国的APT攻击增多

随着中国在全球化进程中影响力的不断增长,中国政府、企业及民间机构与世界各国联系的不断增强,中国已成为跨国APT组织的重点攻击目标。

2018年上半年,白象(Hangover)、海莲花、寄生兽(DarkHotel)、 蔓灵花等境外APT组织对中国境内发起过多次攻击,鱼叉邮件加漏洞文档的精准投放是APT组织的最常用的手段,各种与中国有关的政治、军事色彩的诱饵文档在中国境内多次出发现。比如白象(HangoverAPT组织使用名为《中国安全战略报告2018》的CVE-2017-8570漏洞文档对中国进行攻击。


(白象(HangoverAPT组织使用的漏洞攻击文档)

4.    五月、六月间的APT组织攻击行为最为频发

五、六月份是APT组织在今年上半年攻击最频繁的时期。韩国APT组织寄生兽(DarkHotel)、朝鲜APT组织Lazarus、俄罗斯APT组织奇幻熊(APT28)、以及疑似越南APT组织海莲花等都在此阶段十分活跃。

比较有名的事件比如奇幻熊(APT28)利用大型僵尸网络VPNFilter感染了全球超过50万台路由器和NAS设备。

奇幻熊(APT28是一个长期从事网络间谍活动并与俄罗斯军方情报机构相关的APT组织,追溯该组织的历史攻击活动可以发现,获取国家利益一直是该组织的主要攻击目的。据国外安全公司报道,该组织最早的攻击活动可以追溯到2004年至2007年期间。


2018年上半年主要APT组织活跃情况月度分布

月份

当月活跃的APT组织个数

APT组织名称

一月

4

白象(Hangover)、人面马(APT34)、蔓灵花、Lazarus

二月

4

OlympicDestroyer、奇幻熊(APT28)、人面马(APT34)、ReaperAPT37

三月

4

SlingshotLazarus、污水(MuddyWater)、海莲花

四月

3

穷奇 、海莲花、 Lazarus

五月

6

奇幻熊(APT28)、响尾蛇(SideWinder)、寄生兽(DarkHotel)、海莲花、Lazarus、蔓灵花

六月

7

OlympicDestroyer、使用CVE-2018-5002未命名APT、商贸信、海莲花 、污水(MuddyWater)、Lazarus奇幻熊(APT28












二、 APT组织的攻击技术特点

绝大多数APT组织偏爱利用漏洞进行攻击(NDay漏洞47%0Day漏洞13%),宏文档(13%)、DDE文档(7%)等结合社会工程学欺骗的攻击也常被使用。利用脚本技术进行攻击(20%)在将来也可能成为一种趋势,这将对各类安全软件是一个挑战。


2018年上半年活跃APT组织的攻击技术点

技术点

采用该技术的APT组织个数

APT组织名称

NDay漏洞

7

白象(Hangover)、海莲花、响尾蛇(SideWinder)、ReaperAPT37)、蔓灵花、商贸信、Lazarus

0Day漏洞

2

Lazarus、寄生兽(DarkHotel

宏文档

2

污水(MuddyWater)、OlympicDestroyer

DDE文档

1

奇幻熊(APT28

利用脚本攻击

3

寄生兽(DarkHotel)、人面马(APT34)、污水(MuddyWater

1.    APT组织偏爱利用漏洞攻击,占所有攻击技术的60%

随着漏洞挖掘技术的日益成熟以及各种漏洞POC的公开,让漏洞的利用变得日益简单。利用漏洞的攻击也日益增多,几乎所有的APT组织都使用过漏洞进行攻击,0Day漏洞被认为是APT组织攻击的核武器。

2018年上半年就出现过4例,比如Lazarus APT组织使用CVE-2018-4878Flash漏洞)进行在野攻击、寄生兽(DarkHotel)组织使用CVE-2018-8174(浏览器漏洞,亦称“双杀”漏洞)进行攻击以及某未命名APT组织使用的CVE-2018-5002Flash漏洞)进行的攻击等。APT组织利用Adobe Flash 0day漏洞(CVE-2018-5002)构造特殊Excel文件对目标国家进行攻击,通过即时聊天工具或邮箱发送给目标人员,诱骗目标人员打开中招。

利用Adobe Flash 0Day漏洞CVE-2018-5002 )的攻击流程如下所示。


此外,据统计分析发现,各种高危漏洞的修复情况很不乐观,从而导致APT组织还经常会使用较老的漏洞进行攻击。比如白象(Hangover)、海莲花、商贸信等APT组织都使用过近期流行的CVE-2017-11882(公式编辑器漏洞)进行过攻击。


2017125号,腾讯安全御见情报中心曾发布预警:一款针对外贸行业的商贸信病毒,利用CVE-2017-11882漏洞的Word文档伪装成采购清单、帐单等文件,通过邮件在全球外贸行业内大量传播

20186月,针对中国进出口企业的网络攻击再次抬头。攻击目标是中国电子科技、外贸、远洋运输企业,攻击者发送精心准备的与企业业务相关的诱饵邮件,附件是利用Office漏洞(漏洞编号:CVE-2017-11882)特别定制的攻击文档,存在漏洞的电脑上打开附件会立刻中毒。漏洞触发后利用bitsadmin下载Loki Bot木马并执行,然后窃取受害人员各类账号密码等机密信息。

商贸信利用CVE-2017-11882漏洞攻击的前十个省份如下所示。


海莲花(OceanLotus)也叫APT32APT-C-00,是一个长期针对中国及其他东亚、东南亚国家(地区)政府、科研机构、海运企业等领域进行攻击的APT组织。20184月,腾讯御见威胁情报中心捕获到了一个该组织的最新攻击样本。

在本次攻击事件中,该组织使用了CVE-2017-11882公式编辑器漏洞并结合白签名利用程序来最大化隐藏自己的后门木马。后门木马将常驻用户电脑,并根据云控指令伺机窃取机密信息或进行第二阶段攻击。

海莲花APT组织攻击流程图所下所示。


2.    用户对Office文档基本功能不了解误使恶意代码运行

宏文档和DDE技术是office文档的基本功能。很多人对office的这两个功能不太了解,在Office弹出选择框时,错误点击导致恶意代码运行,从而让APT组织的攻击得逞。

20183月,“污水”(MuddyWaterT-APT-14APT组织发起了新的一轮网络攻击活动,此轮攻击活动的攻击目标扩展到塔吉克斯坦、巴基斯坦、土耳其等国,在这轮攻击活动中该APT组织对土耳其表现出强烈的关注。污水(MuddyWaterAPT组织使用精心构造的钓鱼文档,诱使目标人员打开文档并启用文档宏,文档中的恶意宏执行后,最终解码powershell后门执行,与C2服务器进行通信,完成攻击流程。

污水(MuddyWaterAPT组织使用宏文档进行攻击时的诱饵文档如下所示。


3.    APT组织为躲避杀毒软件检测使用脚本攻击

利用脚本进行攻击主要是为了躲避杀毒软件的检测。脚本语言种类繁多,功能齐全,很多木马功能都能使用脚本来实现。APT组织攻击的一个显著目的就是为了窃取机密文件,脚本可以轻易的实现搜集计算机信息、打包文档以及后门下载等功能,而很难被安全软件所发现。寄生兽(DarkHotel)组织曾使用Powershell脚本进行过木马的解密及安装工作。


三、APT组织的攻击渠道特点

APT组织擅长使用鱼叉邮件(针对攻击目标的属性,精心伪造的攻击邮件,命中率极高)、漏洞攻击、水坑攻击(在目标可能出现的区域,部署攻击陷阱,守株待兔)、第三方平台(比如使用第三方服务平台来分发木马)等渠道进行攻击。鱼叉邮件攻击方式简单有效,在钓鱼邮件中放入带有漏洞的文档文件,再配上一些诱导型的文字,很容易让被攻击者上钩。


1.     APT组织擅长使用命中率极高的鱼叉攻击伪造邮件,渠道使用占比最高

20182月,奇幻熊(APT28)组织组织利用英国信息服务提供商IHS Markit公司的邮箱账号向罗马尼亚外交部发送钓鱼邮件进行定向攻击。该组织使用了白利用技术,白利用程序为证书管理程序certutil.exe。此外,该组织还使用了最新的后门技术,利用UserInitMprLogonScript注册表键值来实现开机自启动。本次攻击中使用的木马为Carberp银行木马的变种,在隐藏网络行为及保护胜利果实方面做出了优化。此前,该组织也曾使用钓鱼邮件及Carberp变种木马对美国政府机构进行攻击。

利用英国信息服务提供商IHS Markit公司的邮箱账号向罗马尼亚外交部发送钓鱼邮件进行定向攻击时邮件内容所下所示。


当邮件附件中的宏文档打开并启用宏后,白利用程序certutil.exe最终会将释放的RAT(远程控制木马)执行起来。


2.     APT组织利用开源代码隐藏木马代码躲避检测,从而使用漏洞攻击

寄生兽(DarkHotelAPT组织喜欢将少量木马代码隐藏在大量的开源代码中,从而实现躲避检测的目的。


docto.exe文件为网络上开源的文档转换工具,能够转换多种不同格式的文档,开源项目地址https://github.com/tobya/DocTo/

3.     APT组织在目标可能出现之处利用水坑攻击守株待兔

20186月,腾讯御见威胁情报中心捕捉到一个利用Office公式编辑器漏洞(编号CVE-2017-11882)的恶意攻击文档。该文档最终会释放并安装一个使用C#编写的后门程序,用于窃取用户电脑机密信息。投递的攻击载荷均被命名为与主流播放器类似的一系列文件名,如QuickTimePotPlayerGom Player等。

经过腾讯御见威胁情报中心溯源分析,发现该攻击目标包括印度、巴基斯坦、韩国等国家的政府、军事单位等。这些地区电影业发达,木马伪装成视频播放器程序,容易蒙骗过关。该APT组织使用水坑攻击的方式,在目标群体最可能出现的区域,布设陷阱,得手几率更高。

四、安全建议

1.    防御社会工程学欺骗

社会工程学攻击是利用人性的弱点进行攻击的一种方式,攻击方式简单有效。宏文档、DDE攻击方式大多数会结合社会工程学欺骗,再结合一些脚本技术或白利用技术,很容易让攻击者得逞。

随着时代的发展,安全在向泛安全方向发展,以前一些与安全无关的问题,在今天却成为了很突出的安全问题。安全软件经过多年的发展,在病毒检测、漏洞防御方面已经有了很深入的积累,但在防御社会工程学欺骗方面却存在短板,这也将是未来APT攻击方面的一种发展趋势。随着贸易国际化进程的加速,各国之间交流日益增多,可以预见,类似商贸信那种针对跨国企业、进出口贸易机构的APT攻击将会增加。未来也许出现因商业竞争的需要,部分非法企业可能雇佣黑客组织对竞争对手采取APT攻击的可能性,APT攻击可能不仅限于现阶段那些高价值目标,日益走向平民化。由此可见,政府、机构、企业和个人在防御社会工程学欺骗方面还需提高意识。

2.    部署完善安全保护措施

对于国家重要机构、科研教育机构、事关国计民生的重要企业,应部署完善的网络安全保护设施,普及网络安全知识,及时修补业务系统存在的安全漏洞。最大限度提高APT组织攻击的门槛,及时发现、拦截APT组织的渗透入侵。

目前,腾讯御界高级威胁检测系统已经可以检测并阻断该轮攻击的连接行为。御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。

凭借基于行为的防护和智能模型两大核心能力,御界高级威胁检测系统可高效检测未知威胁,并通过对企业内外网边界处网络流量的分析,感知漏洞的利用和攻击。通过部署御界高级威胁检测系统,及时感知恶意流量,检测钓鱼网址和远控服务器地址在企业网络中的访问情况,保护企业网络安全。


五、结语

2018年上半年,腾讯御见威胁情况中心的监测情况,可以看出针对亚洲、特别是针对中国大陆重要政府机构、事关国计民生重要部门的APT攻击日益多见,主要的APT组织十分活跃,且已掌握丰富的攻击基础设施。

海莲花APT组织在2018上半年对我国进行过频繁的攻击,我们捕获了该组织的大量攻击样本,通过腾讯御见威胁情报系统可以看出该组织有着丰富的基础设施资源以及强大的背后力量支持。


寄生兽(DarkHotelAPT组织喜欢把木马隐藏在开源的代码中进行伪装,如puttyopensslzlib等,把少量木马代码隐藏在大量的开源代码中,从而实现躲避检测的目的,该组织攻击所使用的木马是专有木马,手段新颖,且使用范围小,只针对特定对象进行攻击,攻击手法称得上极为狡诈。

该组织在中国境内对特定企业投放鱼叉邮件,不惜利用0Day漏洞进行攻击,从捕获到的样本技术特征推断出该组织有着过硬的团队技术实力,下图为捕获到的大量攻击样本。


在线咨询

方案定制