2019 年各地移动 APT事件总结
2019 年各地移动 APT事件总结
2019 年世界依旧不太平,在表面平静的背后是暗流涌动。大规模军事冲突 不会发生的当下,因利益,政治,宗教等问题依然会有局部战争。其中尤其以中 东问题最为突出,更多关于 APT组织的相关信息,请关注奇安信威胁情报中心, 红雨滴团队 GitHub 的 APT_Digital_Weapon资料库: https://github.com/RedDrip7/APT_Digital_Weapon
下面我们盘点 2019 年移动端 APT攻击事件。
KONNI
APT组织 | KONNI |
---|---|
团队可能来源 | 东亚地区 |
最早活动时间 | 2014 |
最早披露时间 | 2017 |
最早披露厂商 | Talos |
APT组织介绍 | KONNI是由 Talos 命名的恶意软件,其相关活 动最早可以追溯到 2014 年。相关的受害者是联 合国,联合国儿童基金会和与朝鲜有联系的大 使馆等官方组织的成员。 |
事件概括: |
2019 年 8 月,韩国安全厂商 ESTsecurity披露了 KONNI APT组织使用 Android 端木马的新攻击活动,并称其与 APT组织 Kimsuky存在关联。
11 月奇安信威胁情报中心红雨滴团队在日常的高级威胁监测过程中,发现多 起疑似针对韩国地区 Android 用户的恶意代码攻击活动。攻击者通过将恶意安卓 应用伪装成韩国常用移动应用,从而诱导受害者安装使用。经关联分析,我们发 现此次攻击活动无论从攻击手法还是木马框架都与 ESTsecurity 披露的 KONNI Android 木马一致。
该软件主要通过短信投递的方式,主要功能为:窃取上传用户手机的一些机 密信息,包括通信录、短信记录、APP安装记录、sd 卡目录以及在用户手机上采 集到的录音信息等。
相关样本信息:
指令列表:
攻击流程:
Group 123(APT37)
APT组织 | Group 123(APT37) |
---|---|
团队可能来源 | 东亚地区 |
最早活动时间 | 2012 |
最早披露时间 | 2016 |
最早披露厂商 | Kaspersky |
APT组织介绍 | APT37是东亚地区网络间谍组织,至少从 2012 年开始运营。其目标主要位于韩国,2017 年 APT37 的目标范围扩大到了朝鲜半岛以外的地 区,包括日本,越南,俄罗斯,中国,印度和中 东的一些国家。 受影响的行业范围更广,包括 化学,电子,制造业,航空航天,汽车和医疗保 健实体。 |
事件概括: |
2019 年奇安信威胁情报中心捕获到一批 Kevdroid 样本,该批新变种通过仿 冒主流 APP 应用,对目标进行攻击。其中有通过仿冒“微信国际版”的攻击样本。
Kevdroid 被 EST团队在 2019 年 3 月首次在韩国捕获并披露,随后 Talos 和 PAN也进行了跟进分析,2018 年 11 月 360-CERT与盘古实验室披露过一款伪装 成网易邮箱大师的恶意 APK。此次我们捕获的 Kevdroid 样本,通过其仿冒的 APP 及配置文件所适配的语言,我们发现 Kevdroid 针对的地区众多,除了英语使用 国家外,明显的为中国(包括中国台湾与港澳地区)、韩国、日本、俄罗斯、印 度、阿拉伯语使用国家等。
样本信息:
远控指令及功能:
同源样本信息:
Lazarus Group
APT组织 | Lazarus Group |
---|---|
团队可能来源 | 东亚地区 |
最早活动时间 | 2009 |
最早披露时间 | 2013 |
最早披露厂商 | Symantec |
APT组织介绍 |
Lazarus Group 被认为是 东亚地区( Bureau 121)背景下的 APT组织,其最早的攻击活动 可 以追溯 到 2009 年 ,包 括针对 韩国 的 DarkSeoul,2014 年攻击 SONY事件,2017 年 的 WannaCry事件。美国 DoJ 于 2018 年发布 了对朝鲜黑客 Park Jin Hyok 的公开指控书并 认为其所属组织和上述事件有关。近几年来,该 组织的活动主要针对全球金融、银行及加密货 币交易相关的目标。 |
事件概括: |
2019 年 12 月 11 日据国外安全研究员披露,Lazarus APT 与犯罪软件巨头
Trickbot 存在合作关系,其针对全球的银行与网络犯罪目标。其通过 Trickbot 开 发的 Anchor 攻击框架进行合作。
这一举动无疑是第一个 APT组织与犯罪团伙进行合作,通过 Lazarus Group 的以往活动,我们不难发现其与 Trickbot 的共同目标。这无疑在将来会给我们带 来巨大的威胁。
双尾蝎(APT-C-23)
APT组织 | 双尾蝎(APT-C-23) |
---|---|
团队可能来源 | 西亚地区 |
最早活动时间 | 2016 |
最早披露时间 | 2017 |
最早披露厂商 | 奇安信 |
APT组织介绍 | 双尾蝎(APT-C-23)组织对巴勒斯坦教育机构、 军事机构实施 APT 攻击。其攻击工具包括 Windows 和 Android 平台,攻击范围主要为中 东地区。并通过鱼叉或水坑等攻击方式配合社 会工程学手段进行渗透,向特定目标人群进行 攻击。后续国外安全厂商也将 Big Bang 攻击行 动与双尾蝎联系到一起。 |
事件概括: |
2019 年奇安信威胁情报中心捕获了 APT-C-23 带有政治主题的诱饵 PDF 文 件,其使用了全新的 C2,此次发现变种在原有的基础上功能进行了增加,代码 结构、控制指令等都进行了巨大的改变。
含有政治主题的诱饵文件:
其通过 SMS、FCM两种方式下发指令。 通过 SMS下发指令:
通过 FCM下发指令:
拍拍熊(APT-C-37)
APT组织 | 拍拍熊(APT-C-37) |
---|---|
团队可能来源 | 西亚地区 |
最早活动时间 | 2015 |
最早披露时间 | 2019 |
最早披露厂商 | 360 |
APT组织介绍 拍拍熊(APT-C-37)被认为同样是西亚地区电子军背景的 APT 组织,其同时拥有针对 Windows 和 Android 的攻击平台,并且在过去 主要针对极端组织“伊斯兰国”实施攻击活动。 该组织对巴勒斯坦教育机构、军事机构实施 |
APT 攻击。并通过鱼叉或水坑等攻击方式配合 社会工程学手段进行渗透,向特定目标人群进 行攻击。后续国外安全厂商也将 Big Bang 攻击 行动与双尾蝎联系到一起。
事件概括:
2019 年 3 月 25,360 烽火实验室发现从 2015 年 10 月起至今,拍拍熊组织
(APT-C-37)针对某武装组织展开了有组织、有计划、针对性的长期不间断攻 击。其攻击平台为 Windows 和 Android。 某武装组织由于其自身的政治、宗教等问题,使其成为了众多黑客及国家的 攻击目标。2017 年 3 月,某武装组织 Amaq 媒体频道发布了一条警告消息,该 消息提醒访问者该网站已被渗透,任何访问该网站的人都会被要求下载伪装成 Flash 安装程序的病毒文件。从消息中我们确定了某武装组织是该行动的攻击目 标,其载荷投递方式至少包括水坑式攻击。 拍拍熊攻击相关的关键时间事件点:
Donot(APT-C-35)
APT组织 | Donot(APT-C-35) |
---|---|
团队可能来源 | 南亚地区 |
最早活动时间 | 2016 |
最早披露时间 | 2017 |
最早披露厂商 | 奇安信 |
APT组织介绍 | Donot“肚脑虫”(APT-C-35)是疑似具有南亚 背景的 APT组织,主要以巴基斯坦为目标的威 胁组织,其主要使用 yty 和 EHDevel 两套恶意 软件框架。分析研究也发现其与 Hangover 和 Patchwork 存在联系。由奇安信威胁情报中心 红雨滴团队(@RedDrip7)持续跟踪发现并命 名,其主要针对巴基斯坦等南亚地区国家进行 网络间谍活动。 |
事件概括: |
2019 年 Donot 异常活跃,奇安信威胁情报中心在 2019 年持续跟踪 Donot, 移动端进行过多次披露。随着印巴局势的紧张,Donot 也随之活动频繁。
该 APT 组织主要针对政府机构等领域进行攻击,以窃取敏感信息为主要目
的。该 APT 组织除了以携带 Office 漏洞或者恶意宏的鱼叉邮件进行恶意代码的 传播之外,还格外擅长利用安卓 APK进行恶意代码传播。
2019 年 Donot 移动端的攻击活动比较活跃,2019 年前上半年根据我们的跟 踪发现,在印巴双方因克什米尔地区(Kashmir)局势紧张的时候,Donot 诱饵 无论是从图标、样本信息伪装主要针对巴基斯坦用户,尤其以“KashmirVoice”(克 什米尔之声)表现最为突出。然而 2019 年下半年的时候,我们持续发现其对伪装 为腾讯系 APP 较为执着,从开始的仅仅是包名伪装,到现在的伪装日渐趋于成 熟来看,Donot 的攻击目标也在向国内偏移,国内一些流量较大的 APP 将会是 首选仿冒目标。
Donot 2019 年诱饵信息列表:
仿冒应用名 | 仿冒包名 | 仿冒图标 | |||
---|---|---|---|---|---|
Device System Services | com.sysdeviceservice.iapps | ||||
KNS Lite | com.newlite.sapp | ||||
Update Service | com.update.android.v2.test3 | ||||
Google Update Service | com.update.gooqle | ||||
360 烽火实验室也对该组织攻击活动进行了分析。 烽火实验室总结的时间线:
受攻击地区:
OceanLotus(海莲花)
APT组织 | OceanLotus(海莲花) |
---|---|
团队可能来源 | 东亚地区 |
最早活动时间 | 2012 |
---|---|
最早披露时间 | 2015 |
最早披露厂商 | 奇安信 |
APT组织介绍 |
OceanLotus(海莲花)由奇安信威胁情报中心 首先披露的 APT 组织,其最早活动可追溯至 2012 年。该组织主要使用鱼叉攻击和水坑攻击 针对中国政府、海事等机构,后续也针对东南亚 国家,其主要使用 Denis 木马和 Cobalt Strike。 |
事件概括: |
2019 年 5 月 24 日,安天移动安全对发生在我国的一起海莲花攻击事件进行 了分析。此次进行分析的恶意软件,伪装为正常的应用,在运行后隐藏图标,并 于后台释放恶意子包并接收远程控制指令,窃取用户短信、联系人、通话记录、 地理位置、浏览器记录等隐私信息,私自下载 apk、拍照、录音,并将用户隐私 上传至服务器,造成用户隐私泄露。
海莲花(OceanLotus)是一个据称越南背景的 APT组织。该组织最早于 2015 年 5 月被天眼实验室(现“奇安信红雨滴团队(RedDrip)”)所揭露并命名,其攻击 活动最早可追溯到 2012 年 4 月,攻击目标包括中国海事机构、海域建设部门、 科研院所和航运企业,后扩展到几乎所有重要的组织机构,并持续活跃至今。 样本信息:
蔓灵花(BITTER)
APT组织 | 蔓灵花(BITTER) |
---|---|
团队可能来源 | 南亚地区 |
最早活动时间 | 2013 |
最早披露时间 | 2016 |
最早披露厂商 | 360 |
APT组织介绍 | 蔓灵花(BITTER)组织历史主要针对中国、巴 基斯坦政府等相关目标实施 APT攻击。奇安信 威胁情报中心后续发现该组织使用 InPage 漏 洞,并与 Confucius 和摩诃草存在关联。 |
事件概括: |
2019 年 8 月,360 烽火实验室在日常样本分析中发现一新型 Android 木马, 根据其 CC特点将其命名为 SlideRAT,深入分析后发现该家族木马属于蔓灵花组 织。此后,烽火实验室对该家族样本进行持续监控,2019 年 11 初,发现 SlideRAT 攻击中国军工行业从事人员,11 月中旬,该家族样本开始攻击中国驻巴基斯坦 人员。短短半个月内,蔓灵花组织在移动平台至少进行了两次的攻击活动,且受
害者均为中国人。 攻击流程图:
伪装图标:
第三章 2019 年国内移动安全总结
2019 年国内的移动恶意软件依然众多,黑产团伙依然猖獗。相比于恶意软件 横行的 2014、2015 年前后,目前国内移动恶意软件在工信部,以及安全厂商的 治理下,已明显减少。但恶意软件已由恶意行为明显的木马转为了不易被发现的 黑灰产。所以国内目前的主要问题在于没有完善的法律法规,这使得相关部门及 安全厂商没有统一的研判标准。
2019 年国内没有爆发大的移动安全事故,但依然有大量恶意软件,对用户、 对社会造成了的严重的危害。其中以色情软件、仿冒软件、私自上传信息的软件 等影响最为广泛。我们通过监测平台及用户举报对一些典型案例也进行了分析披
露。
参考资料
2021年中国软件供应链安全分析报告
GB/T 24363-2009 信息安全技术 信息安全应急响应计划规范
GB/T 25058-2010 信息安全技术 信息系统安全等级保护实施指南
2019 年各地移动 APT事件总结相关推荐
- 盘点2019年十大泡沫经济事件:今年哪个行业有点衰?
有金钱的地方,就会有泡沫.今年全球经济在2019年全球股市和其它风险资产可谓是"惊心动魄".在经历了今年第三季度的抛售后,在四季度一些不确定性减少后反弹.然而目前市场最大的关注点为 ...
- 年度盘点 || 2019年十大营销事件
还有不到一周我们就要和2019说再见了,按照惯例年末的小编会试图去梳理这一年中国广告的闪光案例,探讨那些可以真正引发大众讨论和营销行业未来思考的做法,但有些遗憾的是,我们发现这一年值得留下的记忆太少了 ...
- “金链熊“已致200多家机构受害,或为年度最严重APT攻击事件
关注ITValue,看企业级最新鲜.最价值报道! 美国国家安全事务助理罗伯特•奥布莱恩当地时间15日缩短了他的出访行程,从巴黎紧急返回华盛顿,以协调处理"美国政府机构遭遇网络攻击" ...
- 重要 APT攻击事件的特征枚举
新型攻击方法分析 鉴于 APT 攻击的对象和目的可能存在差异,不同的 APT 攻击所采用的技术和方法也存 在较大的不同:而且随着 APT 攻防的升级,新的攻击技术和方法也会不断涌现.根据对大量 APT ...
- 近5年典型的的APT攻击事件
APT攻击 APT攻击是近几年来出现的一种高级攻击,具有难检测.持续时间长和攻击目标明确等特征. 本文中,整理了近年来比较典型的几个APT攻击,并其攻击过程做了分析 (为了加深自己对APT攻击的理解和 ...
- 中国求职者2亿私人简历泄露,APT情报资讯报告2018全球十大安全事件(10401字) (附PDF公号发“简历十大安全”下载)
中国求职者2亿私人简历泄露,APT情报资讯报告2018全球十大安全事件(10401字) (附PDF公号发"简历十大安全"下载) 秦陇纪2019译汇编 科学Sciences 今天 科 ...
- 2019年中国政企机构网络安全形势分析研究
2019 年中国政企机构 网络安全形势分析报告 摘 要 办公安全 2019 年全国共有 2237 家政企单位受到勒索病毒攻击,累计涉及终端 10.6 万台. 从被攻击终端类型来看,被攻击的 10.6 ...
- APT(高级可持续性威胁)
APT攻击,即高级可持续威胁攻击,也称为定向威胁攻击,指某组织对特定对象展开的持续有效的攻击活动.这种攻击活动具有极强的隐蔽性和针对性,通常会运用受感染的各种介质.供应链和社会工程学等多种手段实施先进 ...
- AI初创公司都去哪了?2019年科技公司“五巨头”收购盘点
大数据文摘出品 来源:venturebeat 人工智能人才的争夺大战愈演愈烈. 今年,Pinterest的首席技术官Vanja Josifovski离职加入了Airbnb,而Pinterest则聘请了 ...
- 论文浅尝 | 一个模型解决所有问题:实体和事件的神经联合模型
笔记整理:康矫健,浙江大学计算机科学与技术系,硕士研究生. 论文链接:https://arxiv.org/pdf/1812.00195.pdf 发表会议:AAAI 2019 摘要 近来,针对事件 ...
最新文章
- 简单介绍python format格式化和数字格式化
- 软件开发代码中各国语言对应的缩写
- How Browser Works
- scanf_s写入错误怎么办?(字符串需要sizeof()参数指定接收长度)附示例
- JDK、JRE、JVM到底是什么
- P3168 [CQOI2015]任务查询系统 主席树 + 差分
- P4292-[WC2010]重建计划【长链剖分,线段树,0/1分数规划】
- Cell Reports:CRISPR-Cas12k引导的细菌普适性靶向遗传筛选系统
- I00018 生成全1数
- jdbc如何使用oracle数据库连接池,使用JDBC连接池技术连接Oracle数据库
- 数学建模LaTeX入门
- Quartu编写D触发器
- 创建型——单例模式(Singleton)总结
- TcaplusDB君 · 行业新闻汇编(一)
- 前缀后缀表达式 表达式X=A+B*(C-D)/E+F的后缀表示形式可以为( )
- 微信支付time_expire时间过短,刷卡至少1分钟,其他5分钟
- POJO、JavaBean、EJB的区别
- matlab 2016a
- v4l2及gstreamer使用指南
- 第一次作业:每段经历都是财富
热门文章
- 社交网络算法在金融反欺诈中的应用
- 揭秘消费金融之反欺诈
- 一分钟快速制作电子签名
- px像素和dp像素密度区别
- 搞定 office 2007 错误 1706
- VS Code Python “Statements must be separated by newlines or semicolons“
- java base64 包_Java实现BASE64编解码
- 【办公类-09】20220511word邮件合并功能插入照片(上下环绕照片)
- 一元二次方程求根计算机的代码,一元二次方程求根Java源程序代码
- Matlab p文件解密,p转m文件 可查看源码