国内实验室监测到一个长期针对报社媒体企业实施定向攻击的 APT 团伙,由于该团伙成员手法老道且经验丰富,我们将命名为“OldFox”(老狐狸),其主要特征包括:
OldFox 至少自2014年起开始活跃,近年来已成功入侵多家国内报社媒体的企业内网,大肆窃取企业内部敏感信息,并伺机投放非法链接。
OldFox 通常利用 Web 侧漏洞、暴破等方式入侵目标企业的 Web 服务器,在部署自制后门木马(基于开源工具 PRISM 后门)后,伺机在企业内网进行横向移动,窃取用户数据、内部文档等敏感信息,危害程度极高。
OldFox 选择的攻击目标分布在报社媒体、手机厂商、政府、金融等行业,攻击时多为手工操作,并大量使用自行编译的开源攻击工具,隐蔽性强。
OldFox 平均每三个月更换一次木马回连服务器地址,相关IP均位于美国、中国香港等地,警惕性高,具备较强的反侦察意识。
实验室通过对相关样本、IP 和域名的溯源分析,提取多条相关 IOC ,可用于威胁情报检测。
实验室在某报社媒体企业的应急响应中取证到一款修改版的 Pirsm 后门木马,该木马在受害主机上会伪装成 Linux 常见文件,利用系统自启动项实现开机运行,攻击者几乎可以随时登录操作。
经过对某受控服务器的排查,事实表明攻击者早在2017年就利用 Struts2 漏洞获取了该服务器的控制权限,在植入后门程序后,还将 ssh 服务的 sshd 文件替换为木马化版本,该木马化 sshd 可记录所有 ssh 登录者的账户密码至特定文件。在长达一年的控制期中,攻击者以该服务器为跳板,利用窃密工具记录的敏感信息攻陷了企业内网中的其他机器,窃取大量敏感信息,甚至将网络博彩广告植入该报社媒体的网站中进行推广。
OldFox 团伙一般会利用 Web 应用漏洞攻陷受害者 Web 服务器,部署后门木马建立初始立足点。为扩大战果,攻击者会将常用工具例如 sshd 替换为木马化版本收集 ssh 登录账号和密码,并使用内网扫描工具进行内网扫描,伺机进行横向移动。当攻击者横向移动到核心服务器例如数据库服务器后,会通过窃取数据和植入推广链接来获取利益。
进一步排查发现,攻击者还修改了受控主机的系统服务程序 sshd,恶意程序内含一个万能密码“gre*****”,可供攻击者直接登录,此外还会持续记录所有登录者的用户名和密码存放至“/var/log/”目录下,核心代码如下所示:
以 sshd 为例,木马化 sshd 存有后门密码,并且会记录所有 ssh 登录的用户名和密码。
利用用户态预加载的动态链接库实现对系统调用的 hook,来隐藏木马进程名。
在追踪 OldFox 团伙的过程中,我们曾获取了该组织一台位于香港服务器的部分权限,通过对服务器文件和日志分析发现:
2.OldFox 在登录管理该服务器时多使用美国、柬埔寨、香港、台湾等地的境外代理IP,具备较强的反侦察意识。
3.OldFox 团伙控服务器超百台,涉及国内多家报社媒体企业以及部分金融、媒体和政府网站,危害程度较高。
综合上述信息分析认为,OldFox 是一个专业黑客团伙,在入侵特定用户窃取敏感资料的同时,还长期参与赌博、色情、诈骗等非法活动,对企业和网民的危害性极高,需要引起相关部门的关注。该团伙画像如下:
修改系统启动目录/etc/init.d/下的文件,添加后门木马运行命令,实现开机自启动。
替换sshd等常用工具为木马化版本,收集ssh登录该服务器的账户、密码等信息。
金刚象是一个来自南亚某国军方背景的APT组织,该组织最早于2022年3月进行全球独家首次公开披露。
金刚象组织的攻击活动最早可追溯到2021年,一年多的持续攻击已经影响到巴基斯坦、阿联酋、尼泊尔、沙特阿拉伯、斯里兰卡、马尔代夫等印度周边国家。
金刚象(VajraEleph),是一个来自南亚某国军方背景的APT组织,该组织的攻击活动最早于2022年3月进行全球首次公开披露。金刚象组织的攻击活动最早可追溯到2021年,迄今为止该组织一直处于活跃状态。
金刚象组织主要针对巴基斯坦、阿联酋、尼泊尔、沙特阿拉伯、斯里兰卡、马尔代夫等印度周边国家发起攻击,对政府机构、国防军事部门人员实施网络间谍活动,攻击活动具有强烈的军事意图。其中巴基斯坦是最主要的受害国家,目前已受害人员近600名,受害占比96.6%。
金刚象组织在一些攻击活动中使用的工具特征和网络基础设施与南亚的其他攻击组织,如响尾蛇SideWinder、蔓灵花Bitter、肚脑虫Donot等没有显著关联(仅与肚脑虫Donot存在少量相似性),具有很强的独立性和独立特征。
金刚象组织的攻击活动主要针对Android平台。该组织主要把恶意软件伪装成小众化的聊天应用,在几大社交平台上进行鱼叉攻击。
金刚象组织擅长把恶意软件伪装成小众化的聊天应用,发布到国外某知名应用商店平台。虽然有一部分被下架处理,但还有一批仍在上架继续进行着水坑攻击。这部分应用虽也能作为水坑攻击,但我们认为这并不是该组织主要的线. 鱼叉攻击
金刚象组织通过在几个公开的社交平台搜索进行筛选高价值目标,再结合色情话术等聊天诱导目标用户安装指定的诱饵聊天攻击应用进行窃取信息攻击。这有别于PC常见的鱼叉形式,但这也算是移动端对鱼叉攻击形式的一种“新发展”。
金刚象组织针对Android平台使用的是该组织特有的定制化RAT,被我们命名为VajraSpy。Android平台的恶意软件通常伪装为正常聊天应用诱使受害者安装运行,该组织的Android木马可获取受害者设备的通讯录、短信、通话记录、音视频、文本文档、相册等敏感数据。
2022年3月,国内病毒响应中心将该APT组织命名为金刚象组织(VajraEleph)并进行全球首次公开披露。报告中提到了该组织针针对巴基斯坦和尼泊尔国家进行了攻击,主要涉及了巴基斯坦多种部队的军事人员。
2022年4月,国内病毒响应中心关注到该组织把斯里兰卡也列入了其攻击国家目标中,其中斯里兰卡的两位军方少将手机疑似已遭受攻击,两位军方高层分别为:56步兵师现任指挥官LDSS Liyanage少将和66步兵师现任指挥官Ajith Dissanayake少将。
2022年4月,国内病毒响应中心关注到该组织把马尔代夫也列入了其攻击国家目标中,其中马尔代夫的一位军方少校手机疑似已遭受攻击。
至今,国内病毒响应中心已发现到巴基斯坦有近600名人员手机受到攻击,大多为巴基斯坦的陆、海和空三军军方人员。被窃取的资料近10w个,除了人员的生活相关信息,还包含了大量的军方文档文件、人物武器地点相关图片等,甚至包含有巴基斯坦的三军情报局(ISI)相关。
金刚象这个“新起之秀”攻击组织在短短一年多的时间里,已悄然完成覆盖攻击了多个周边国家,获取到大量的军事情报,即使是有相当经验的军事高层也不能幸免。除了该组织是来自南亚某国专业化的军方情报机构支持外,我们认为主要还有以下几个方面:
首先,利用进行上架带用正常功能的恶意应用到国外某知名应用商店平台的形式,致受害用户会轻易进行安装而极大提高攻击成功率。
第二,很多发展中国家的网络安全建设水平、管理水平相对落后,导致仅仅通过针对智能手机的攻击,就有可能获得大量的敏感、机密信息。
第三,智能手机普及度越来越高,针对安全意识不足的涉密人员,通过社交平台发动网络攻击,是一种低成本,高效率的攻击方式。
第四,智能手机,往往存在更多未修复的安全漏洞,加之移动安全软件的普及率不高,导致针对移动平台发起网络攻击的技术门槛相对更低。
那么,对于政企机构,特别是军方、警方等涉密或敏感机构来说,应当怎样做好防护,尽可能的避免或减少针对移动平台、社交平台的APT活动给自身带来的影响呢?我们在此给予如下一些实用建议。
相关机构应努力避免工作人员使用个人智能手机进行日常办公活动。有条件的单位,可以为工作人员配发工作手机或涉密手机。如果条件确实不允许,可以使用企业级安全移动工作平台进行内部的交流和办公,比如蓝信、云手机安全管理系统等。
相关机构应加强员工安全意识教育,不要使用个人手机拍摄、存储敏感或涉密信息,更不能通过社交平台分享敏感信息;不去点击陌生人发来的不明链接;拒绝色情、赌博等非法信息的诱惑。同时,相关机构还应制定切实可行的网络安全管理标准与员工行为规范,并进行严格的监督与审查。
相关机构应要求员工,不论是办公手机还是个人手机,都要做到及时更新操作系统与核心软件,以确保智能手机始终处于最佳安全状态。同时安装必要的手机安全软件,以尽可能的减少各类木马、病毒的侵害。
相关机构应与专业安全厂商一起,补齐网络安全短板,及时根据网络发展时代趋势,迅速引入有效的移动端、物联网等安全防护产品,实现一体化综合安全体系。
相关机构应与专业安全厂商一起,共建高效的威胁情收集、分析与处置能力,及时发现、拦截和追踪各类APT活动,将APT活动带来的影响和损失降到最低。