关于近期南亚APT组织在境内高度活跃报告
字数 2801 2025-08-10 16:34:31
南亚APT组织攻击活动分析与防御教学文档
1. 宏观态势分析
1.1 攻击来源
-
活跃APT组织:
- CNC组织
- BITTER(蔓灵花)
- Patchwork(白象)
- Conficius(摩罗桫桫)
- SideWinder(响尾蛇)
- Donot(肚脑虫)
-
组织关联性:多个组织在基础设施、攻击手法与战术、相似样本等方面存在交叉,可能存在一定关联性
1.2 目标行业
-
主要目标行业:
- 教育机构
- 航空工业
- 科研单位
- 军工企业
- 政府部门
-
各组织侧重:
- CNC组织:教育、科研行业
- 白象(Patchwork):高等教育、政府气象数据、医疗卫生机构
- 蔓灵花(BITTER):政府(外交、国防)、军工、核工业、航空工业、船舶工业
1.3 目标地区
- 受影响地区:辽宁、山西、山东、北京、湖北、广东
- 最活跃地区:湖北和北京
1.4 攻击手法演进
初始入侵阶段
- 高度定制化钓鱼邮件:
- 通过暗网邮箱泄漏渠道获取内部邮箱权限
- 劫持通信双方之前的邮件会话记录
- 针对不同人群发送高度关注的钓鱼邮件主题
- 与目标进行互动交流以提高信任度
横向移动和持久化阶段
-
技术更新:
- 对旧攻击工具的功能迭代改进
- 检测规避手法日益精进
- 采用多种技术进行伪装、混淆和隐藏
-
具体案例:
- Patchwork组织:使用窃取的签名伪装恶意代码,引入开源加密库更新加密算法
- CNC组织:伪造国内安全厂商证书和翻译软件证书
2. 主要APT组织分析
2.1 CNC组织
组织画像
| 属性 | 描述 |
|---|---|
| 疑似来源 | 印度 |
| 组织别名 | CNC |
| 组织类别 | 间谍活动 |
| 目标国家 | 中国、巴基斯坦、菲律宾、印度尼西亚 |
| 目标行业 | 航空航天、水利、教育、军工 |
| 目标平台 | Windows |
| 攻击动机 | 间谍行为、数据窃取 |
| 常用语言 | 英语 |
近期动态
-
攻击目标:
- 国立科研机构
- 重点实验室
- 国家级别工程研究中心
- 双一流大学的高新科技专业实验室
-
攻击手法:
- 使用"学术交流"、"科学研究"或"文章出版"等伪装话术
- 通过钓鱼邮件诱导下载远控、反弹shell、浏览器窃密等恶意程序
技术手法
-
恶意组件示例:
- 名称:imagedrvhost.exe
- 功能:监控存储设备并传播恶意软件
- 反沙箱技术:检测C盘容量是否接近100G
-
证书伪造:
- 伪造国内企业证书
- 使用"SangSupportApp"名称创建任务计划
- 伪装国内翻译软件
2.2 白象(Patchwork)组织
组织画像
| 属性 | 描述 |
|---|---|
| 疑似来源 | 印度 |
| 组织别名 | APT-C-09、魔诃草、白象、HangOver等 |
| 组织类别 | 间谍活动 |
| 目标国家 | 中国、巴基斯坦 |
| 目标行业 | 政府、外交、军事、电力 |
| 目标平台 | Windows、Android |
| 攻击动机 | 间谍行为、数据窃取 |
| 常用语言 | 英语、中文 |
近期动态
- 攻击活动:
- 针对水利、航空等专业的高等院校
- 攻击政府气象机关单位窃取数据
- 使用招聘信息、职场性骚扰事件通报等主题的钓鱼邮件
技术手法
-
攻击流程:
- 发送双后缀文件(.pdf.lnk)
- 执行PowerShell命令下载诱饵文件
- 下载BADNEWS远控程序
- 创建计划任务定期执行
-
BADNEWS远控功能:
- 文件下载执行
- 文件上传
- 命令执行
- 键盘记录
- 屏幕截图
2.3 蔓灵花(BITTER)组织
组织画像
| 属性 | 描述 |
|---|---|
| 疑似来源 | 印度 |
| 组织别名 | Bitter, 苦象, APT-C-08, T-APT-17 |
| 组织类别 | 间谍活动 |
| 目标国家 | 中国、巴基斯坦、孟加拉国等 |
| 目标行业 | 政府,航空航天,科研机构,军队等 |
| 目标平台 | Windows、Android |
| 攻击动机 | 间谍行为、数据窃取 |
| 常用语言 | 英语 |
技术手法
-
攻击依赖:社会工程学
-
攻击方式:
- 鱼叉攻击投递恶意载荷
- 凭证钓鱼(主要是邮箱)
-
恶意载荷类型:
- chm文件
- 远程模板注入文档
- lnk文件
- winrar自解压程序
-
远控组件:
- BDarkRAT(基于DarkAgent开源项目)
- BLilithRAT(基于Lilith开源项目)
3. APT事件案例分析
3.1 高校实验室鱼叉攻击案例
-
攻击流程:
- 从暗网获取受害者信息
- 监控邮件会话获取钓鱼素材
- 伪造顶会邀请、论文校对等主题邮件
- 长期伪装身份与受害者交流
- 通过U盘摆渡木马扩散感染
-
技术细节:
- 使用imagedrvhost.exe样本
- 外联恶意IP的流量检测
- 专用取证工具分析
3.2 政府机关钓鱼攻击案例
-
攻击流程:
- 发送钓鱼邮件
- 执行chm恶意附件
- 创建"AdobeUpdater"计划任务
- 下载cert.msi释放scroll_.exe远控
- 尝试使用anydesk远控
-
技术细节:
- 使用DarkRAT远控(基于DarkAgent)
- C2服务器:rusjamystarapp[.]com
- 异常启动项ceve.exe
3.3 高校招聘信息窃密攻击
-
攻击流程:
- 伪造招聘信息邮件
- 双后缀文件包含恶意PowerShell脚本
- 下载Badnews和Quasar家族远控
- 创建"OneDriveUpdate"计划任务
- 键盘记录数据存储为kednfbdnfby.dat
-
技术细节:
- C2服务器:charliezard[.]shop
- 攻击范围扩展到巴基斯坦、菲律宾、印度尼西亚
4. 防御建议
4.1 通用安全措施
-
邮件安全:
- 仔细检查发件人邮箱地址
- 避免直接点击邮件中的链接
- 不要打开未经验证的附件
-
个人信息保护:
- 不通过邮件回复敏感信息
- 使用强密码并定期更换
- 不同网站使用不同密码
-
系统安全:
- 定期更新操作系统和浏览器
- 发现可疑邮件立即报告
4.2 高级防御策略
-
钓鱼攻击防御:
- 实施DMARC、DKIM和SPF邮件认证
- 部署高级邮件安全解决方案
- 开展员工安全意识培训
-
终端防护:
- 部署EDR解决方案
- 监控异常进程和行为
- 限制PowerShell执行权限
-
网络防护:
- 实施网络流量分析
- 阻止已知恶意域名和IP
- 监控异常外联流量
-
应急响应:
- 建立APT事件响应流程
- 准备专用取证工具
- 定期进行红蓝对抗演练
5. 趋势研判
-
钓鱼攻击演进:
- 主题和内容质量提升
- 前期情报收集更详细
- 针对性更强,成功率更高
-
攻击工具趋势:
- 基于开源软件修改的攻击组件成为主流
- 快速迭代反调试、反分析技术
- 目标识别能力增强
-
防御挑战:
- 溯源归因难度增加
- 攻防较量更加复杂
- 需要多层防御体系