奇安信威胁情报中心在2018年曾公开发布了两篇全球高级持续性威胁研究总结报告,其中总结了高级持续性威胁背后的攻击组织在过去一年中的攻击活动和战术技术特点。
如今,2019年已经过去一半,我们在对历史活跃APT组织近半年的攻击活动情况的持续跟踪过程中,呈现地缘政治特征的国家背景黑客组织作为观察的重点,其实施的网络威胁活动始终穿插在现实的大国政治和军事博弈过程中,网络空间威胁或已成为各国情报机构和军事行动达到其情报获取或破坏目的所依赖的重要手段之一。
本报告主要分成两个部分,第一部分主要总结在APT威胁来源的地域特征下主要活跃的APT组织,以及其在2019年上半年的主要情况;第二部分基于近半年重要的全球高级持续性威胁事件,对整体威胁态势的总结。
在此报告的开始,我们列举了本研究报告所依赖的资料来源与研究方法,其中主要包括:
内部和外部的情报来源,其中内部的情报来源包括奇安信威胁情报中心旗下红雨滴团队对APT威胁的持续分析跟踪及相关的威胁情报;外部的情报来源包括主要发布APT类情报178个公开数据源,涉及安全厂商、博客、新闻资讯网站、社交网络等。
MITRE组织总结的ATT&CK框架以及威胁组织、攻击工具列表也是对研究APT组织及其战术技术特点的重要基础之一。
其他公开的APT组织及行动资料,包括MISP项目,国外安全研究人员Florian Roth的APT组织和行动表格等等。
APT组织的国家和地域归属判断是综合了外部情报的结果,并不代表奇安信威胁情报中心自身的判定结论。
自2010年震网事件被发现以来,网络攻击正在被各个国家、情报机构用作达到其政治、外交、军事等目的的重要手段之一。在过去对APT活动的追踪过程中,APT攻击往往伴随着现实世界重大政治、外交活动或军事冲突的发生前夕和过程中,这也与APT攻击发起的动机和时机相符。
奇安信威胁情报中心结合公开情报中对APT组织归属的结论,按地缘特征对全球主要的APT组织和攻击能力进行评估,并对其在2019年最近半年的攻击活动的总结。
地域 | 主要组织 | 攻击能力 |
---|---|---|
东亚 | Lazarus GroupGroup 123/ APT37KimsukyDarkhotel | + ++ +++ + |
东南亚 | 海莲花/ APT32 | + + |
南亚次大陆 | 摩诃草蔓灵花/ BITTER肚脑虫/ Donot TeamConfucius | + ++++ |
东欧 | APT28APT29TurlaGreyEnergy | + + ++ ++ + ++ + |
中东 | MuddyWaterAPT34/ OilRigStealth Falcon/ FruityArmor | ++ ++ + |
北美 | 方程式Longhorn | + + ++ + + |
表:地缘政治下的全球主要APT组织及能力
围绕东亚一直是全球APT威胁活动最为活跃的地域之一,最早在2011年曝光的Lazarus Group是历史上少数几个最为活跃的APT组织之一。
Lazarus Group,据公开披露被认为是朝鲜Bureau 121背景下的APT组织,历史曾攻击索尼娱乐,全球多家银行SWIFT系统以及和Wannacry勒索病毒有关。2018年9月,美国DoJ和FBI联合公开指控朝鲜黑客PARK JIN HYOK及Chosun Expo机构与上述攻击事件有关,并指出其背后为朝鲜政府。
我们注意到近年来针对Lazarus活动的披露有所减少,其攻击目标主要为金融和加密货币相关,推测其动机更倾向于获得经济利益。
我们总结了Lazarus组织在近半年的主要攻击活动,如图所示。
Lazarus使用的攻击工具如下:
名称 | 说明 |
---|---|
Rising Sun | 第二阶段植入物,由Duuzer后门演化的新渗透框架 |
KEYMARBLE | RAT工具,使用伪TLS通信 |
HOPLIGHT | 木马,使用公共SSL证书进行安全通信 |
ELECTRICFISH | 网络代理和隧道工具 |
除了Lazarus,在近两年来,另外两个朝鲜语系的APT团伙表现出了异常的活跃,分别是Group 123和Kimsuky。近年来,朝鲜半岛的政治局势日益趋向于缓和的局势,朝鲜政府也积极就朝核问题、朝韩双方关系与美国、韩国展开对话,但缓和的政治外交局势下,并不能掩盖东亚区域依然频繁的网络情报活动。
结合两个组织历史攻击活动,我们推测Kimsuky更关注于朝鲜半岛的政治外交问题,并通常结合相关热点事件用于诱饵文档内容;而Group 123则针对更广泛的网络情报获取。
Lazarus Group | Group 123 | Kimsuky | |
---|---|---|---|
主要别名 | Hidden Cobra | APT37 | 无 |
活动频度 | 中 | 高 | 高 |
目标行业 | 银行、数字货币国防、政府 | 外交、投资、贸易 | 媒体 |
目标地域 | 全球范围 | 中国、韩国 | 韩国、美国 |
攻击动机 | 经济利益为主 | 情报获取 | 政治外交倾向 |
两个组织近半年的主要攻击活动总结如下图。
Group 123和Kimsuky通常都利用向目标投递鱼叉邮件和诱饵文档,包括Office文档和HWP文档,诱导目标人员触发恶意宏代码或漏洞文档来建立攻击立足点。其也通过渗透韩国网站作为载荷分发和控制回传通道。
Group 123还偏好使用云服务作为其窃取目标主机信息和资料的重要途径,其常用的ROKRAT后门就是基于云服务的实现,利用包括Dropbox,Yandex,pCloud等云服务。
海莲花组织是东南亚地区最为活跃的APT组织,其首次发现和公开披露是由奇安信威胁情报中心的红雨滴团队。
海莲花组织最初主要以中国政府、科研院所、海事机构等行业领域实施攻击,这也与当时的南海局势有关。但在近年来的攻击活动中,其目标地域延伸至柬埔寨、菲律宾、越南等东南亚其他国家,而其针对中国境内的APT攻击中,也出现了针对境内高校和金融投资机构的攻击活动。
海莲花组织是一个快速变化的APT组织,其擅长与将定制化的公开攻击工具和技术和自定制恶意代码相结合,例如Cobalt Strike和fingerprintjs2是其常用的攻击武器之一。
海莲花组织经过多年的发展,形成了非常成熟的攻击战术技术特征,并擅长于利用多层shellcode和脚本化语言混淆其攻击载荷来逃避终端威胁检测,往往能够达到比较好的攻击效果。
这里我们也总结了海莲花组织的常用TTP以便于更好的跟踪其技术特点的变化。
图 海莲花近半年攻击目标
南亚次大陆是另一个APT组织活动的热点区域,从2013年5月Norman安全公司披露Hangover行动(即摩诃草组织)以来,出现了多个不同命名的APT组织在该地域持续性的活跃,并且延伸出错综复杂的关联性,包括摩诃草、蔓灵花、肚脑虫、Confucius,以及其他命名的攻击活动和攻击工具,包括Sidewinder、Urpage、Bahamut、WindShift。
造成归属问题的主要因素是上述APT活动大多使用非特定的攻击载荷和工具,脚本化和多种语言开发的载荷往往干扰着归属分析判断,包括使用.Net、Delphi、AutoIt、Python等。但从历史攻击活动来看,其也出现了一些共性:
同时具备攻击PC和智能手机平台能力;
巴基斯坦是主要的攻击目标,部分组织也会攻击中国境内;
政府、军事目标是其攻击的主要目标,并且投放的诱饵文档大多也围绕该类热点新闻,如克什米尔问题;
我们结合历史公开报告的披露时间制作了相关APT组织的活跃时间线,推测这些APT组织可能从2015-2016甚至更早出现了分化,并且趋向于形成多个规模不大的小型攻击团伙的趋势。
APT28、APT29、Turla作为东欧地区最为知名的APT组织一直广泛活跃。
美国DHS曾在2016年12月对APT28,APT29组织在同年针对DNC的攻击事件以及干扰美国大选活动发布了相关调查报告,并将其恶意攻击活动称为GRIZZLY STEPPE,并直指俄罗斯情报部门。
来自伦敦国王学院的安全研究人员在SAS 2017年会议上介绍了Turla APT组织的前身是90年代著名网络间谍组织Moonlight Maze。
国外安全厂商ESET在2018年披露了BlackEnergy的继任者,命名为GreyEnergy,一个专注于工业系统的APT组织。
APT28 | APT29 | Turla | BlackEnergy | |
---|---|---|---|---|
主要别名 | Sofacy | Cozy Bear | Snake | 无 |
目标行业 | 政府、外交、国防、军事等 | 工业、能源 | ||
目标地域 | 中东、美国、NATO、中亚等 | 乌克兰、波兰 |
从2019年上半年的公开披露情况来看,除了APT28以外,其他三个组织的公开披露活动有所减少。而APT28组织的主要活动似乎更多旨在干扰其目标国家的选举活动。
安全厂商披露在3月捕获的一份在野诱饵文档,其使用的内容以乌克兰总统竞选人Volodymyr Zelenskiy和乌俄问题为诱导,其正值乌克兰总统竞选时机。
国外安全厂商也披露从2018年中以来,APT28组织针对欧洲的网络间谍活动大幅增加,以及针对欧洲民主机构的攻击,其也可能与2019年的欧盟议会选举有关。
从战术和技术角度来看,似乎从2018年起APT28更倾向于使用多种语言开发的Zebrocy攻击组件并用于鱼叉攻击后的第一阶段的载荷植入。其模块可能由Delphi,C#,Python,AutoIt甚至Go。卡巴在最新的研究报告中将其作为独立的组织进行追踪。
而在ESET对Turla最新的研究报告中,其更倾向于基于定制化的开源项目(如Posh-SecMod)和脚本,并加载其过去的自定义武器库。
我们并不认为这些改变是其攻击能力削弱的体现,在2018年曝光的VPNFilter事件和Lojax rootkit都被怀疑与东欧APT组织有关。我们推测攻击组织做出积极的改变旨在提高攻击的效率和效果,并着力于混淆和隐藏攻击活动的来源,以及对抗目标网络的防御机制。
中东地区,其拥有全球最为复杂的政治、外交和军事局势,多年以来,充斥着战乱、恐怖主义、军事行动以及频繁的网络间谍活动和情报活动。在此背景下,网络攻击活动往往作为刺探对手情报,监控人员舆论,配合间谍活动和情报活动甚至制造虚假言论和虚假新闻的最有效方式之一。而在中东地区,公开披露最多的属据称为伊朗政府背景的相关网络攻击活动,这也源于伊朗与以美国为首的西方国家的政治和外交关系相左的原因。
我们在这里列举了近半年来中东地区发生的一些重点事件:
多家安全厂商披露大规模的DNS劫持活动,并称疑似与伊朗有关;
卡巴多次披露FruityArmor(又称Stealth Falcon)使用的多个Windows提权0day漏洞(CVE-2019-0797、CVE-2018-8453、CVE-2018-8611、CVE-2018-8589);
据称是伊朗背景的多个APT组织发生内部资料和网络武器泄露;
美、伊的外交形式急剧恶化,伊朗政府从情报活动、军事活动等多方面采取更加强硬的姿态,包括破坏CIA在其情报网络、击落无人机等,美国回应将对其采取网络军事行动。
我们在这里结合上半年泄露的据称是伊朗黑客组织的资料和网络武器对其近年来主要活跃的APT组织进行总结。
今年上半年发生了多起针对中东地区APT组织的相关资料泄露和拍卖事件,通过泄露资料,再一次帮助我们将虚拟的APT组织与现实世界的人员、机构及国家联系到一起。
APT34,又称OilRig,一个最早从2014年起就开始活跃的APT组织,其被公开披露声称与伊朗情报与国家安全部(Iranian Ministry of Intelligence)有关。在过去,其主要活跃地区为中东,并针对如金融,政府,能源,化学和电信等多个行业实施攻击。
泄露的网络武器库:
名称 | 说明 |
---|---|
Poison Frog | Powershell后门,通过DNS和HTTP通信,也称为BONDUPDATER |
Glimpse | Powershell后门,通过DNS通信,也称为Updated BONDUPDATER |
多个Webshell | FoxPanel222、HighShell、HyperShell、Minion |
webmask | Python实现的DNS劫持和中间人攻击工具,Cisco Talos也称为DNSpionage |
Jason | Exchange密码爆破工具 |
另一个被公开认为和伊朗有关的APT组织MuddyWater,最早由PaloAltoNetworksUnit42于2017年11月发现并命名,并迅速成为中东地区非常活跃的APT组织之一,其主要使用Powershell后门POWERSTATS,以及名为MuddyC3的控制后台。
有黑客成员公开声称MuddyWater和另一个APT组织APT33关联到同一个名为Nima Nikjoo的人员,并将其相关资料进行拍卖。
结合公开披露资料,作为网络空间能力的强国,历史曝光的震网事件,方程式组织都被认为与北美情报机构有关。
从2013年以来,相关情报机构的多次泄密事件展示了其完备的网络空间攻击体系和自动化攻击武器,并暴露了其将中国作为其实施全球网络间谍活动的重要目标之一的相关证据。
在2018和2019年的美国国防部网络战略情报报告中,都将中国和俄罗斯作为其重要的战略对手。
在2018年的网络空间战略摘要中提到了“Defend forward”概念,旨在从源头上破坏或制止恶意网络空间活动,并且同年美国政府取消了第20号总统政策指令,取消了针对美国对手的进攻性网络攻击批准程序的一些限制。这些都表明美国作为超级网络强国正在积极进入网络空间的备战状态。而在近期纽约时报也报道了美国正在加强针对俄罗斯电网的网络入侵,展示了其在网络空间攻防中采取了更加主动积极的姿态。
从历史泄露的方程式资料分析,其具备的网络攻击能力是全方位的,下图是我们根据泄露NSA资料和公开情报整理的其网络武器及攻击技术所覆盖的领域和目标。
供应链攻击往往是网络攻击中最容易忽视的一类,在MITREATT&CK中也将供应链攻击作为获取初始访问的一项攻击技术(T1195Supply Chain Compromise)。而在APT活动中,供应链攻击也是时常发生,这里列举了近半年的APT类供应链攻击活动。
ESET披露新的针对游戏行业的供应链攻击,并疑似与Winnti Group有关;
卡巴披露针对华硕的供应链攻击行动ShadowHammer,并且通过匹配用户mac地址实施针对特定目标的攻击;
ESET披露BlackTech组织通过合法证书签名的样本,并疑似通过供应链攻击华硕WebStorage。
我们认为APT组织使用供应链攻击通常有着特殊的意图,其通常可以作为攻击目标人员或组织的一种“曲线攻击”路径,通过对目标相关的供应商或服务商的攻击作为达到最终目标的重要途径。
自2010年伊朗震网事件和2015年乌克兰电网攻击事件,针对国家公共基础设施(包括电力、工业、能源、医疗等)的网络攻击活动会对城市和民众日常生活造成极为严重的破坏。
在2019年上半年,南美地区发生多起异常停电事件,由于尚不明确造成停电的原因,也被国外新闻媒体联想到是否与网络攻击或演习有关,而针对公共基础设施领域的网络攻击也逐渐作为国与国之间进行战略性打击和威慑的重要手段。
这里我们也将上半年相关事件时间线进行总结:
3月6日,委内瑞拉全境出现大面积断电,委内瑞拉政府指责是美国蓄意破坏;
6月14日,连线网披露美国E-ISAC发现Triton针对美国境内电网的探测活动;
6月15日,纽约时报披露美政府加强对俄电网的数字入侵,而针对其电网控制系统的探测和侦查早在2012年就开始了;
6月16日,南美多个国家出现停电事件,主要由于阿根廷和乌拉圭的互联电网发生大规模故障;
6月22日,伊朗击落美国无人机,美声明将对其采取网络攻击。
网络武器库和相关资料泄露在过去一直时有发生,这些网络武器库通常由知名APT组织或网络军火商制作和使用。
2014年8月4日,网络军火商Gamma40GB资料泄露;
2015年7月5日,网络军火商HackingTeam400GB数据泄露,包括电子邮件、文件和源代码;
2016年8月13日,黑客组织The Shadow Brokers公开泄露和拍卖NSA网络武器库,包括针对防火墙、Linux/类Unix、Windows和SWIFT平台攻击武器;
2017年3月7日,维基解密网络曝光CIACCI部门的8761份机密性文档,涉及其内部针对多个平台网络武器开发的资料;
2019年3月27日,有黑客成员通过Telegram渠道披露APT34组织的网络武器和相关信息;
2019年5月7日,有黑客成员通过Telegram渠道披露MuddyWater组织相关资料,并进行公开拍卖。
网络武器库的泄露向我们展示了APT组织为了实施网络攻击活动以及为达到其目的进行了长期的攻击能力和技术的积累和筹备,而数字武器泄露造成扩散的副作用也是无穷的。
2019年6月21日,赛门铁克披露了一份Turla组织最新的报告,其中最为有意思的是其发现Turla对APT34组织基础设施的劫持并用于自身的攻击活动。
类似于上述这种APT组织间的“黑吃黑”行为在斯诺登泄露的NSA机密文档中也曾出现类似的项目。通过采用中间人攻击或旁观者攻击的方式对其他攻击组织进行攻击,并窃取其使用的工具、获取的情报甚至接管攻击的目标。
我们更倾向于这类行为在未来的APT攻击活动中还会发生,并且更有可能出现在拥有更高技术能力的APT组织。这种行为往往能够更好的隐蔽真实的攻击来源和意图,而对被攻击的受害主体评估其影响和损失造成了迷惑性。
在过去的APT研究中,公开声称归属中国APT组织的报告也是层出不穷,甚至有北美安全厂商以Panda作为其认为的归属为中国的APT组织命名,而在历史的公开APT组织列表中,被认为归属为中国和伊朗的APT组织数量最为众多。
近日,一家国外安全厂商披露了一项以全球电信运营商和蜂窝网络为目标的APT行动,其中也将攻击来源归属指向疑似中国来源的APT组织,而随后部分外媒和国外安全研究人员更倾向于将其归属指向APT10的结论。
在大多数的相关研究报告中,出现以下攻击技术特征通常会被归属到疑似和中国黑客组织有关:
使用中国菜刀(China Chopper) Webshell;
将PoisonIvyRAT或其变种作为攻击载荷或后门程序;
控制基础设施地理位置在中国境内。
然而,ChinaChopper和PoisonIvy都是作为公开的攻击工具,而中国也是历来APT活动的主要受害者之一。
我们认为在当前的APT活动中,APT组织在更加注重攻击归属的隐藏的同时,也积极引入假旗标志(FalseFlag)和模仿其他攻击组织的战术技术特点。APT攻击活动的归属问题变得更加困难,也依赖于更加严密的分析判断和负责任的披露。
2019年上半年是不平静的半年,全球的政治局势变得更加风云变幻,在冲突和博弈之下,网络空间对抗的格局也变得尤为凸显,国家背景的APT活动似乎由过去的隐蔽战线部分转向更加明显的网络战争对抗的趋势。与现实战争不同的是,现代战争可能因为某些导火索而一触即发,而网络战争更依赖于对战略性对手的早期侦查和探测,并实施长期的渗透和潜伏。
我们在此份报告中再次围绕地缘政治博弈主导下的网络空间APT组织的主题,对全球主要的APT组织近年来的情况进行总结和介绍,并结合了其在上半年的活动情况,APT已然是国家和情报机构在网络空间领域的战略手段。
奇安信威胁情报中心和红雨滴研究团队也将持续致力于最新APT活动的跟踪和研究,以及披露相关APT组织、技术能力和网络武器的情况。
1.https://ti.qianxin.com/blog/
2.https://ti.qianxin.com/uploads/2018/08/01/c437f2e1f3eba14802924e26fc2318fb.pdf
3.https://ti.qianxin.com/uploads/2019/01/02/56e5630023fe905b2a8f511e24d9b84a.pdf
5.https://www.misp-project.org/galaxy.html
6.https://docs.google.com/spreadsheets/u/0/d/1H9_xaxQHpWaa4O_Son4Gx0YOIzlcBWMsdvePFX68EKU/pubhtml#
7.https://www.justice.gov/opa/press-release/file/1092091/download
8.https://www.cyberscoop.com/apt32-ocean-lotus-vietnam-car-companies-hacked/
10.https://securelist.com/scarcruft-continues-to-evolve-introduces-bluetooth-harvester/90729/
*本文作者:奇安信威胁情报中心,转载请注明来自FreeBuf.COM