人物动态

直到达到目的,360披露南亚APT组织 社交网站与即时通讯成攻击手段


2016-08-01
 

  直到达到目的,360披露南亚APT组织 社交网站与即时通讯成攻击手段   

从报告中看,恶意文件是摩诃草组织投递的鱼叉邮件中最多的,其相关恶意可执行程序多为“,

钓鱼一般伪装成某个知名商业的邮箱登陆页面,诱骗用户在钓鱼页面输入用户名和密码,来达到窃取目标用户账号信息的目的,

追日团队研究人员表示,摩诃草组织的攻击显然不是个人或普通组织能发起的,幕后应该有大财团甚至是国家支撑。   360披露南亚APT组织 社交网站与即时通讯成攻击手段   

近日,360威胁情报中心追日团队发布《摩诃草组织》APT报告,披露针对中国的境外APT组织——摩诃草。报告称,摩诃草组织来自南亚地区,至今已活跃7年,主要针对中国、巴基斯坦等亚洲地区国家进行网络间谍活动,以窃取敏感信息为主;截止到目前,该组织已对多个国家至少发动了3次攻击和1次疑似攻击。   

报告披露了摩诃草组织攻击的主要渠道,包括载荷投递、钓鱼以及漏洞利用。其中, 摩诃草组织使用的载荷投递方式,除了鱼叉邮件、水坑攻击等常用方式,还使用了即时通讯工具QQ,以及社交。   

从报告中看,恶意文件是摩诃草组织投递的鱼叉邮件中最多的,其相关恶意可执行程序多为“.exe”和“.scr”扩展名,并精心伪装成文档、图片等图标,压缩后向预定好的目标投送出去。鱼叉邮件除了恶意文件,还有恶意网址。恶意网址以超链接形态存在于邮件正文中,然后指向一个文档型漏洞文件,相关文档型漏洞文件被放置在钓鱼。攻击者采用这种载荷投递的方式,可以有效地绕过以检测邮件附件为主的防御体系。   

在APT攻击中利用即时通讯工具进行载荷投递的情况比较少,主要是由于基于即时通讯工具的攻击成本远大于使用邮件。 追日团队发现,摩诃草组织在-期间展开的第四次攻击行动中,利用用户的好奇心理,大规模使用QQ等通讯工具向目标发送伪造成MP4格式的木马文件,并针对不同的目标进行多次投放,用户只要点击这些文件,电脑会立即被木马病毒侵入。   

此外,摩诃草组织也瞄准了社交网络庞大的用户群。他们主要采取放置二进制可执行程序或文档型漏洞文件的形式,给社交网络上的用户留言或是发布消息,用户一旦点击这些链接就会导致病毒乘虚而入。   

图2:攻击目标社交网络帐号页面   

追日团队还发现:摩诃草组织除了对目标用户进行基于二进制可执行程序的攻击以外,还会对目标用户进行传统的钓鱼攻击。   

钓鱼一般伪装成某个知名商业的邮箱登陆页面,诱骗用户在钓鱼页面输入用户名和密码,来达到窃取目标用户账号信息的目的。这种方法没有利用一般的二进制木马或漏洞程序,完全通过社会工程学的方法进行攻击。   

攻击从未停止且不计成本 背后隐现国家背景支持   

摩诃草组织针对中国等国家的攻击,自2009年至今已经持续7年之久。从2013年Norman安全公司将摩诃草组织曝光后,该组织并未因此停止相关攻击活动,尤其从2015年至2016年期间,相关攻击活动愈演愈烈。追日团队研究人员表示,对摩诃草组织这四次攻击行动的分析,我们发现其攻击意图中主要的攻击目标和目的也都未发生改变,这也体现出幕后组织意志的坚定性和达到目标的决心。   

“摩诃草组织不会因为一次攻击失败就放弃目标,而是蛰伏起来,重新制定战术、分配资源,等待新一轮的攻击,直到达到目的。”   

除了持续性,摩诃草组织的攻击不计成本也是其最大的特点。在资源使用方面,摩诃草组织基本是对目标所存在的所有受影响攻击面都会涉及考虑到,采用各种方式,从各个角度进行攻击。几乎是一种为达到目的,不择手段,不计成本的攻击方式。 报告数据显示,摩诃草相关攻击行动中使用了大量漏洞,其中至少包括一次0day漏洞使用,相关恶意代码非常繁杂——恶意代码HASH数量有995个,C&C数量为731个,相关恶意代码会持续的迭代更新。载荷投递的方式,主要是以鱼叉邮件进行恶意代码的传播,另外会涉及少量水坑攻击,尤其是该组织选择了基于即时通讯工具这种高成本的攻击。   

图4:已知摩诃草组织利用过的文档类漏洞   

追日团队研究人员表示,摩诃草组织的攻击显然不是个人或普通组织能发起的,幕后应该有大财团甚至是国家支撑。虽然暂时没有直接的证据证实摩诃草组织是一个由国家支持的APT组织,但攻击过程中所使用的大量资源,都表明这不是个人或一般组织能承受的攻击成本,除非幕后有一个强大的财团支持,另外,该组织相关攻击所表达出明确的意图和坚定的意志,这也不是个体所能达到的,结合这些客观现象,追日团队认为摩诃草更有可能是由一个国家背景长期支持的APT组织。   报告称,摩诃草组织来自南亚地区,至今已活跃7年,主要针对中国、巴基斯坦等亚洲地区国家进行网络间谍活动,以窃取敏感信息为主;截止到目前,该组织已对多个国家至少发动了3次攻击和1次疑似攻击,

在APT攻击中利用即时通讯工具进行载荷投递的情况比较少,主要是由于基于即时通讯工具的攻击成本远大于使用邮件,

摩诃草组织针对中国等国家的攻击,自2009年至今已经持续7年之久,”。

 



Baidu