声明

本文是学习全球高级持续性威胁(APT)2022年中报告. 而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们

中国境内高级持续性威胁综述

基于中国境内海量DNS域名解析和奇安信威胁情报中心失陷检测(IOC)库的碰撞分析(奇安信威胁雷达),是了解我国境内APT攻击活动及高级持续性威胁发展趋势的重要手段。

2021年,奇安信威胁情报中心首次在《全球高级持续性威胁(APT)2021年度报告》中使用奇安信威胁雷达对境内的APT攻击活动进行了全方位遥感测绘。

本报告继续使用奇安信威胁雷达对2022年上半年境内APT攻击活动进行遥感测绘,结合奇安信红雨滴团队在客户现场处置排查的真实APT攻击事件以及使用奇安信威胁情报的全线产品告警数据,整理与分析后得出本章内容及结论。

奇安信威胁雷达境内遥测分析

奇安信威胁雷达是奇安信威胁情报中心基于奇安信大网数据和威胁情报中心失陷检测(IOC)库,用于监控全境范围内疑似被APT组织、各类僵木蠕控制的网络资产的一款威胁情报SaaS应用。通过整合奇安信的高、中位威胁情报能力,发现指定区域内疑似被不同攻击组织或恶意软件控制的主机IP,了解不同威胁类型的比例及被控主机数量趋势等,可进一步协助排查重点资产相关的APT攻击线索。

图2.1 奇安信威胁雷达境内受害者数据分析

基于奇安信威胁雷达境内的遥测分析,我们从受控IP数量和趋势、受害目标区域分布、APT组织资产分布三方面对我国境内疑似遭受的APT攻击进行分析和统计。

受控IP数量和趋势

奇安信威胁情报中心基于威胁雷达在2022上半年监测到我国境内IP地址与多个境外APT组织C2服务器(Command & Control Server,远控服务器)发生通信行为。其中还存在个别APT组织通过多个C2服务器与同一IP通信的情况。

2022上半年中国境内每月新增疑似被境外APT组织控制的IP地址数量变化趋势如图2.2所示。

图2.2 2022上半年中国境内每月新增疑似受控IP数量变化趋势

受害目标区域分布

下图为2022上半年中国境内疑似连接过境外APT组织C2服务器的IP地址数量较多的前10个省份地域。从图中可以看出,河南是上半年以来APT组织攻击的重点目标地区,经济发达的北京、广东及上海地区依然位为前列,其次是江苏、福建、山东等沿海地区。

图2.3 2022上半年中国境内疑似受控IP地址地域分布

APT组织资产分布

奇安信威胁雷达检测到2022上半年内有数十个境外APT组织对我国境内IP地址发生过非法连接,下图分别展示了上半年内针对我国境内目标攻击的主要几个境外APT组织具体占比情况以及对应组织疑似使用过的C2服务器数量分布。

图2.4 2022上半年APT组织控制境内IP地址数量占比及C2服务器所属团伙数量分布

上图数据表明2022上半年内我国境内大部分IP地址主要被我国周边东亚、东南亚地区的APT组织控制,其次是南亚和中东地区。

东亚地区攻击我国境内目标的主要是毒云藤组织,该组织长期针对我国,擅于通过模仿正常域名来实施钓鱼攻击。在近期针对国内多个重点单位的钓鱼活动中,毒云藤组织将目标域名嵌入其钓鱼域名中以达到迷惑作用,目标涵盖了教育、科研、政府、航空等领域。

海莲花是另一个长期以我国为主要攻击对象的APT组织,其控制我国境内IP地址数量与C2服务器数量占比相对一致,说明海莲花组织会在不同攻击活动中使用不同的C2服务器。

2022上半年针对我国的活跃组织

基于奇安信红雨滴团队和奇安信安服在客户现场处置排查的真实APT攻击事件,结合使用威胁情报的全线产品产生的告警数据,分析可知针对我国目标进行高频攻击的APT组织主要为海莲花、APT-Q-12、金眼狗等。

奇安信威胁情报中心整理了以上三个组织的真实APT攻击处置案例,由此来分析2022上半年内针对我国的全球APT组织。

APT-Q-31(海莲花)

关键词:跳板、国产化系统、Nday漏洞

海莲花在2022年利用测绘平台使用Nday漏洞对我国境内资产进行撒网式攻击,受害者中竟存在色情网站,海莲花拿到权限后从中挑出高价值的目标进行内网渗透,剩下的则作为跳板或者代理用来扫描和攻击。

最近我们观察到海莲花开始针对中国台湾、中国香港等地区的IoT设备进行批量入侵并将其当作跳板攻击中国大陆重要基础设施。攻击者在攻击过程中尝试上传busybox和Dropbear等软件包,最终在IoT设备上运行端口转发工具tinyPortMapper,将特定端口的流量转发到自己的Cobalt Strike服务器,同时我们在这些受控的IoT设备上发现了海莲花最新的Arm架构的木马。

在代码层面,海莲花使用msbuild.exe编译源码的方式规避杀软查杀,执行Loader程序最终内存加载Cobalt Strike,除此之外还会使用github上最新出现的免杀loader来加载后续木马,例如shhhloader和Mortar Loader。在有些攻击事件中海莲花仅使用由Golang编写的隧道木马来实现远程控制。

经过研判,海莲花在2022年5月份针对国产化系统进行了定向攻击,我们拿到了海莲花首个针对mips架构的木马程序,其代码逻辑和通信协议与Arm架构的木马相同,我们将其命名为“Caja”。

图2.5 Caja木马执行流程

奇安信威胁情报中心会在2022年下半年择机披露该组织最新的攻击活动。

APT-Q-12(伪猎者)

关键词:鱼叉、驻韩使馆、芯片制造业、风投公司

由于朝韩地区的APT组织通常会给攻击目标的个人邮箱账号投递鱼叉邮件,受害IP多为家庭宽带,这加大了我们对该方向的监控难度。APT-Q-12团伙在今年上半年活动非常猖獗,该团伙将目标瞄准为芯片制造业和风投公司,向上述行业的HR投递钓鱼邮件,邮件内容如下:

图2.6 APT-Q-12投递的邮件内容

邮件附件包含一个LNK木马,执行流程与我们去年披露的报告一致,不同的是我们获取到了最终的远控木马和下发的键盘记录插件。

图2.7 键盘记录模块加密逻辑

在年中时我们发现APT-Q-12开始投递hlp类型的样本,双击运行后会执行恶意js代码向远程服务器下载bmp图片并解密出第一阶段的木马,将本机信息和文件目录加密打包发送到远程服务器,并等待后续阶段木马的下发。

奇安信威胁情报中心会在2022年下半年择机披露该组织最新的攻击活动。

APT-Q-27(金眼狗)

关键词:通讯软件0day、博彩、金融

金眼狗早披露于2019年,起初我们认为该团伙投递模式较为单一,但随着数据的积累我们发现该团伙整体水平非常高,其设计的攻击链刻意对EDR监控流程进行了规避,这是目前主流APT团伙都不曾达到的技术水平。

在2022年我们捕获到的APT-Q-27最新0day攻击活动中,EXP利用链设计得非常简练,且全过程没有恶意代码落地。金眼狗在窃取文件时设计了两种执行流程:第一种使用EXP执行命令将桌面和相关目录的文档上传到云盘;第二种则是借助Chrome Nday漏洞实现“白加黑”,在Chrome进程中加载Cobalt Strike远控木马来窃取文件。我们在其中一个云盘上发现了高达300G的博彩从业人员数据,并且推测攻击者用于接收文件数据的云盘和服务器共有5-10个,受害面之广超乎想象。0day漏洞利用截图如下:

图2.8 通讯软件0day漏洞利用截图

根据奇安信大数据遥测,APT-Q-27在2015年-2022年使用了多个通讯软件0day漏洞进行攻击,我们捕获到的时间线如下:

1、2015年使用知名聊天软件的XX秀漏洞对博彩行业进行攻击

2、2017年使用某通讯软件对博彩行业进行攻击

3、2021-2022年使用某通讯软件对博彩行业进行攻击

这些年来,我们仅捕获到该团伙的三个0day漏洞利用,可能只是其攻击活动的冰山一角。奇安信威胁情报中心会在未来择机披露该组织过去的攻击活动。

2022上半年境内受害行业分析

从整体上对奇安信红雨滴团队和奇安信安服在客户现场处置排查的真实APT攻击事件及威胁情报的全线产品告警数据进行分析,得到2022上半年境内受害行业分布情况:攻击者主要针对我国政府机构、金融、互联网科技等行业进行攻击。详情如下图所示。

图2.9 2022上半年高级威胁事件涉及境内行业分布情况

延伸阅读

更多内容 可以 全球高级持续性威胁(APT)2022年中报告. 进一步学习

联系我们

T-CACEM 00009-2016 公路预应力钢绞线用锚具.pdf

中国境内高级持续性威胁综述相关推荐

  1. 全球高级持续性威胁 APT 2021年度报告

    声明 本文是学习全球高级持续性威胁 APT 2021年度报告. 而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们 中国境内高级持续性威胁综述 基于中国境内海量DNS域名解析和奇安信 ...

  2. 高级持续性威胁检测无法检测出自定义恶意软件?

    Nick Lewis(CISSP,GCWN))是一名信息安全分析师.他主要负责风险管理项目,并支持该项目的技术PCI法规遵从计划.2002年,Nick获得密歇根州立大学的电信理学硕士学位;2005年, ...

  3. APT(Advanced Persistent Threat高级持续性威胁)——网络安全

    APT(高级持续性威胁) 特点 攻击过程 防御策略 APT攻击常用的攻击手段 与APT相关的加密技术(学习侧重)   网络安全APT(Advanced Persistent Threat高级持续性威胁 ...

  4. 解构APT:高级持续性威胁的前生今世

    本文讲的是 解构APT:高级持续性威胁的前生今世,就像来自IT.信息.网络安全行业很多缩略词一样,APT(高级持续性威胁)这个术语正变得广为人知.就像新生概念一样,它和它的兄弟词语AET(高级逃逸技术 ...

  5. 【高级持续性威胁跟踪】红队视角看Sunburst后门中的TTPs

    针对SolarWinds供应链攻击简介 最近FireEye披露的UNC2452黑客组织入侵SolarWinds的供应链攻击让安全从业人员印象深刻.一是影响规模大,SolarWinds官方称受影响的客户 ...

  6. APT(高级可持续性威胁)

    APT攻击,即高级可持续威胁攻击,也称为定向威胁攻击,指某组织对特定对象展开的持续有效的攻击活动.这种攻击活动具有极强的隐蔽性和针对性,通常会运用受感染的各种介质.供应链和社会工程学等多种手段实施先进 ...

  7. 深入剖析某国外组织针对中国境内企业的APT攻击(CVE-2015-8651)

    原文章:点击打开链接 2015年12月31日,微步在线对一起利用Flash零日漏洞的APT攻击做了分析和预警,并通过溯源分析确定了其幕后的黑客组织为"DarkHotel". 此后, ...

  8. 青茶什么时候拆_为什么日本绿茶那么绿?比中国的高级绿茶还要绿

    我们经常可以从电影.电视.动画片.日式抹茶看到日本绿茶所呈现出来的样子,绿的,鲜脆欲滴的绿.到了日本,待客之道泡煎茶,可以更直观的看到煎茶的绿,这种绿是我们在国内不曾见到的绿,中国的高级绿茶也呈现不出 ...

  9. 微信Mac版更新:在电脑上刷朋友圈;领英暂停中国境内新用户注册;Git 恶意仓库可以在克隆时执行远程代码 | 极客头条...

    「极客头条」-- 技术人员的新闻圈! CSDN 的读者朋友们早上好哇,「极客头条」来啦,快来看今天都有哪些值得我们技术人关注的重要新闻吧. 整理 | 张红月 出品 | CSDN(ID:CSDNnews ...

最新文章

  1. 1-6 数据查询(下)——复杂查询
  2. 每天学一点儿shell:shell字符串变量的基本操作
  3. boost::describe模块实现枚举转字符串的测试程序
  4. 从Zero到Hero,一文掌握Python关键代码
  5. semaphore 的原理与实现
  6. 前端lvs访问多台nginx代理服务时出现404错误的处理
  7. 江南大学物联网工程学院数据库课程实验二作业2实验报告
  8. 那些年我们追过的网络库(PartI)
  9. 中国中医科学院中药资源中心2021年公开招聘应届毕业生预公告
  10. html中foreach遍历list,foreach遍历----for(object o: list)
  11. Python简单的多线程demo:装逼写法
  12. vue axios封装以及登录token过期跳转问题
  13. POJ3274 Gold Balanced Lineup【Hash函数】
  14. jstack分析线程状态
  15. 传智播客扫地僧C/C++学习笔记冒泡排序
  16. DataFormatString属性语法介绍及解决DataFormatString无效的问题
  17. ASP.NET的gridview设置数据格式DataFormatString(链接)
  18. 微小宝编辑器修改html代码,怎么在微小宝编辑器提取永久链接
  19. 计算机中 b、KB、MB、GB、TB之间的换算关系
  20. 大调查:7成网友呼吁共享单车免押金和上保险

热门文章

  1. 【读书总结】《联盟》——员工与老板的新关系
  2. 一张图看清客户价值-运用Tableau作RFM客户价值分析
  3. 仿制QQ会员官网主页Html
  4. Metric评价指标-Perplexity语言模型
  5. foreach循环符合就不往下走了_双下巴不可怕,2招搞定它!
  6. UE4-解决报错:Plugin ‘XXX‘ failed to load because module ‘XXX‘ could not be found. Please, ensure....
  7. WindowsServer2012史记6-Windows To Go的实践
  8. 杰里之烧录配置【篇】
  9. np.mat()函数与np.array()函数的辨析
  10. Mac下Xcode(C++)+OpenCV环境配置