虎符智库|起底国家级APT组织:响尾蛇(APT-Q-39)

时间:2021-11-23 作者:奇安信集团

分享到:


    国家级APT(AdvancedPersistentThreat,高级持续性威胁)组织是有国家背景支持的顶尖黑客团伙,专注于针对特定目标进行长期的持续性网络攻击。

    奇安信旗下的高级威胁研究团队红雨滴(RedDripTeam)每年会发布全球APT年报【1】、中报,对当年各大APT团伙的活动进行分析总结。

    虎符智库特约奇安信集团旗下红雨滴团队,开设“起底国家级APT组织”栏目,逐个起底全球各地区活跃的主要APT组织。本次锁定是南亚地区另一个常年活跃的国家级黑客团伙:响尾蛇(Sidewinder)。

    06

    响尾蛇

    响尾蛇是据称有南亚背景的APT组织,2012年至今一直处于活跃状态。

    响尾蛇组织主要针对巴基斯坦、中国、阿富汗、尼泊尔、孟加拉等国家展开攻击,旨在窃取政府外交机构、国防军事部门、高等教育机构等领域的机密信息。奇安信内部跟踪编号为APT-Q-39

虎符智库|起底国家级APT组织:响尾蛇(APT-Q-39)

    背景

    响尾蛇,又名Sidewinder,由国外安全厂商卡巴斯基在2018年第一季度APT趋势报告中率先披露。

    2018年5月,国内某安全厂商也报告了响尾蛇APT组织针对巴基斯坦等南亚国家军事目标的定向攻击活动。该APT组织最早攻击活动可追溯到2012年,至今一直处于活跃状态。

    响尾蛇APT组织主要针对巴基斯坦、中国、阿富汗、尼泊尔、孟加拉等国家展开攻击,以窃取政府外交机构、国防军事部门、高等教育机构等领域的机密信息为目的,攻击活动具有强烈的政治背景。

    近年来,响尾蛇APT组织常用的漏洞为CVE-2017-0199和CVE-2017-11882。但在历史攻击活动中,也使用过其他漏洞,比如针对Android平台的恶意软件获取root权限时使用了CVE-2019-2215,以及在一次对我国某高校的定向攻击中使用了浏览器漏洞CVE-2020-0674。这两个漏洞在其利用的时候皆属于已公开披露的漏洞,并且从其相关的利用代码来看,存在该组织依托于网络军火商的可能。

    攻击手段与工具

    响尾蛇APT组织常通过钓鱼网站窃取攻击目标机构相关人员的登录凭据,并通过鱼叉邮件投递LNK快捷方式文件或者携带漏洞的恶意文档。

    这些恶意文件则通过执行包含js代码的hta文件或者js脚本反射加载C#模块,然后在受害者机器上释放木马程序,木马程序通常为恶意dll文件,利用对系统中正常exe文件的dll侧加载技术(即“白加黑”)启动运行。

    (一)攻击手段

    1.钓鱼网站

    响尾蛇(Sidewinder)托管钓鱼网页的服务器域名会模仿攻击目标网站的域名,比如钓鱼域名“mail-nepalgovnp[.]duckdns[.]org”用来伪装为尼泊尔政府使用的域名“mail[.]nepal[.]gov[.]np”。钓鱼网页从攻击目标的邮件网站复制而来,经过一定的修改后用来窃取目标机构相关人员的邮箱登录凭据。

    这些钓鱼网页在受害者发送登录凭据后大多数都会重定向到原始的邮件网站,还有一部分会重定向为显示文档或者新闻网页,文档与新闻的内容一般与COVID-19疫情和南亚地区的领土争端有关。

    2.鱼叉攻击

    通过鱼叉邮件投递恶意文档是响尾蛇(Sidewinder)组织最常用的攻击手段,这些作为诱饵的恶意文档常见的有如下几种类型:

    (1)LNK文件

    LNK文件的目标程序路径被指定为用mshta.exe远程加载运行hta文件,进而释放诱饵文档和完成后续的恶意软件植入操作。

    (2)携带漏洞的Office文档,频繁利用漏洞CVE-2017-11882和CVE-2017-0199。

    在响尾蛇组织制作的恶意Office文档中,一类是利用CVE-2017-11882漏洞执行自身释放的或者远程下载的hta文件或js脚本,从而完成后续的恶意软件植入操作;另一类则是利用CVE-2017-0199漏洞远程加载携带CVE-2017-11882漏洞的文档。

    (二)使用工具及技术特征

    响尾蛇组织具有Windows和Android双平台攻击能力。在Windows平台的攻击手法比较固定,以LNK文件或者漏洞文档为攻击入口,通过执行包含js代码的hta文件或js脚本反射加载C#dll文件,最后借由该dll文件植入木马程序组件。

    响尾蛇组织的攻击流程整体基本不变,但为了对抗研究人员的发现披露和安全软件的检测查杀,近年来该组织也升级了攻击手法,比如:

    (1)后续的木马程序组件不再直接在本地释放,而是从远程服务器下载,使得该组织在攻击过程中及时关停服务器,降低代码暴露的风险;

    (2)提高了代码混淆度,比如作为中间组件的js代码通过引入自定义的Base64编码进行混淆,C#组件中函数调用由直接引用系统API变为用自定义繁杂的函数名封装所需调用的API。

    (3)响尾蛇组织针对Android平台的恶意软件通过漏洞利用获取root权限或者诱骗受害者授权以安装木马程序callCam。木马程序收集设备参数、位置、文件、账户、社交软件数据等敏感信息并以加密形式上传到C&C服务器。

    著名攻击事件

    (一)响尾蛇(Sidewinder)首次曝光

    2018年4月,卡巴斯基2018年第一季度APT趋势报告提到了名为“Sidewinder”的APT组织【2】,该组织攻击目标为巴基斯坦的军事部门,最早可追溯至2012年。

    2018年5月23日,国内某安全厂商发布报告披露了响尾蛇组织针对南亚攻击活动的细节【3】:利用CVE-2017-11882漏洞远程加载并执行hta文件,文件中的脚本调用powershell命令释放其中保存的木马程序。

    (二)2019年针对我国的多次定向攻击

    2019年7月,国内某安全厂商发现响尾蛇组织针对我国的定向攻击事件。在此次攻击事件中,响尾蛇以我国国防部国际合作部门发送的通知文件为诱饵,向他国驻华使馆人员发起攻击【4】。

    攻击使用的携带CVE-2017-11882漏洞的恶意文档为RTF格式文件,文件打开后会自动释放Package对象保存的js脚本,漏洞利用后执行释放的js脚本,脚本拷贝Windows系统中正常的exe文件,并释放加密的木马程序数据和用于加载木马程序的恶意dll文件,与拷贝的exe文件组成“白加黑”组合。

    此后,响尾蛇多次针对我国的定向攻击被披露【5、6】,包括针对国内某国防科研企业,向其内部发送虚假的安全保密手册和管理文件;将伪装的《中国人民解放军文职人员条例》的文档投放至国家政府部门;针对国防及军事等相关部门,向其发送虚假的“第九届北京香山论坛会议”议程。这些攻击事件中,响尾蛇采用了与攻击他国驻华使馆相同的手法。

    (三)移动端攻击武器曝光

    2020年1月,国外安全厂商趋势科技披露了响尾蛇组织针对Android平台的恶意软件【7】。

    这些恶意软件在GooglePlay应用商店中伪装为图片和文件管理器工具,经过两个阶段的下载过程在受害者设备上植入最终的木马程序callCam。其中一个恶意软件通过利用CVE-2019-2215漏洞和MediaTek-SU获取root权限,可以在受害者无交互的情况下静默安装木马程序,其他恶意软件则诱骗受害者授权从而实现木马程序的安装。木马程序收集设备上保存的敏感数据并加密上传到C&C服务器。

    (四)利用疫情信息对巴基斯坦等国的攻击活动

    2020年5月,奇安信威胁情报中心捕获到响尾蛇组织利用疫情相关信息作为诱饵的恶意LNK样本【8】,此类样本以受害国家的军方抗击疫情战略、空军大学疫情期间网络在线课程政策等热点信息作为伪装。

    一旦受害者执行此类恶意样本,LNK文件将从远程服务器下载恶意hta脚本文件执行,恶意脚本将释放展示正常的诱饵文档以迷惑受害者,并继续从远程获取第二阶段恶意hta脚本文件执行。第二阶段恶意脚本将在受害者计算机上部署相关恶意软件,并通过白加黑的方式加载最终的远程木马,控制受害者机器,从而窃取敏感信息。

    (五)利用浏览器漏洞攻击我国某高校

    2020年国内某安全团队披露了响尾蛇组织针对我国某高校的攻击活动【9】,诱饵文档内容为2020年春季疫情防控工作的优秀教师推荐名单。

    在此次攻击活动中,响尾蛇使用了与以往不同的攻击手法:

    (1)首先恶意文档通过远程模板注入的方式加载携带CVE-2017-0199漏洞的文档;

    (2)然后CVE-2017-0199漏洞文档再远程加载hta文件;

    (3)hta文件中包含2020年初公开披露的浏览器漏洞CVE-2020-0674利用代码,漏洞利用成功后释放木马组件。

    (六)对多国实施钓鱼攻击

    2020年12月,国外安全厂商趋势科技发布报告披露了响尾蛇组织长期对尼泊尔、阿富汗、中国等多个国家的政府、外交、国防军事机构展开钓鱼攻击活动【10】。

    响尾蛇组织通过模仿攻击目标的域名创建托管钓鱼页面的域名,复制目标机构邮件网站的网页并制作钓鱼页面,从而窃取相关人员的邮箱登录凭据,为后续的定向攻击活动做准备。

    总结

    自首次曝光以来,响尾蛇(Sidewinder)组织频繁活动,攻击目标集中在南亚多国和中国的政府、外交、军事领域,体现了该组织攻击活动中强烈的政治动机和背后的国家力量支持。

    多年来,响尾蛇组织的攻击流程整体没有太大变化,但为了对抗安全软件检测和分析人员追踪,该组织也在不断改进升级攻击手法。

    此外,响尾蛇组织在历史攻击活动中使用的漏洞表明,该组织可能与网络军火商存在关联。

    目前,该组织对包括我国在内的多个国家仍然构成严重威胁,需要我们持续跟踪关注。

    注解

    https://ti.qianxin.com/uploads/2021/02/08/dd941ecf98c7cb9bf0111a8416131aa1.pdf

    https://securelist.com/apt-trends-report-q1-2018/85280/

    https://s.tencent.com/research/report/479

    https://www.secrss.com/articles/13390

    https://ti.dbappsecurity.com.cn/blog/articles/2019/08/30/sidewinder-apt-group-attack-embassy-in-china-disclosed/

    http://it.rising.com.cn/dongtai/19656.html

    https://www.trendmicro.com/en_us/research/20/a/first-active-attack-exploiting-cve-2019-2215-found-on-google-play-linked-to-sidewinder-apt-group.html

    https://ti.qianxin.com/blog/articles/the-recent-rattlesnake-apt-organized-attacks-on-neighboring-countries-and-regions/

    https://bbs.pediy.com/thread-260640.htm

    https://www.trendmicro.com/en_us/research/20/l/sidewinder-leverages-south-asian-territorial-issues-for-spear-ph.html

    关于作者

    奇安信集团红雨滴团队(RedDripTeam,@RedDrip7),依托全球领先的安全大数据能力、多维度多来源的安全数据和专业分析师的丰富经验,自2015年持续发现多个包括海莲花在内的APT组织在中国境内的长期活动,并发布国内首个组织层面的APT事件揭露报告,开创了国内APT攻击类高级威胁体系化揭露的先河。截至目前,持续跟踪分析的主要APT团伙超过47个,独立发现APT组织14个,持续发布APT组织的跟踪报告超过90篇,定期输出半年和全年全球APT活动综合性分析报告。

奇安信 95015网络安全服务热线

95015网络安全服务热线

扫一扫关注

奇安信 在线客服 奇安信 95015

您对奇安信的任何疑问可用以下方式告诉我们

将您对奇安信的任何疑问

用以下方式告诉我们