东巽科技:南亚某国APT组织对中国发起“丰收行动”

8月8日,国内新兴的APT技术厂商东巽科技发布了一份题为《东巽科技2046Lab团队APT报告:“丰收行动”》的安全报告。报告中提到,2016年7月,东巽科技2046Lab团队追溯到一起来自南亚某国隐匿组织的APT攻击,目标以巴基斯坦、中国等国的科研院所、军事院校和外交官员为主,通过窃取文件的方式获取与军事相关情报。由于样本的通信密码含有“January14”关键词,这一天正好是南亚某国盛行的“丰收节”,东巽把该APT事件命名为“丰收行动”。

东巽科技:南亚某国APT组织对中国发起

C&C服务器建立时间的分析

东巽科技:南亚某国APT组织对中国发起

受害者群体、领域分析

据了解,事件的起因是东巽科技2046Lab团队在7月捕获到一例疑似木马的样本,该木马样本伪装成Word文档,实为利用CVE-2015-1641漏洞(Word类型混淆漏洞)的RTF格式文档,以邮件附件的形式发给攻击目标,发动“鱼叉式攻击”。在将文件提交到多引擎杀毒平台检测后,发现54款杀软仅8款可以检出威胁,说明木马做了大量的免杀处理。随后,研究人员对样本进行了深入的人工分析,发现其C&C服务器依然存活,于是对其进行了跟踪溯源和样本同源分析,又发现了其他两处C&C服务器和更多样本。

东巽科技:南亚某国APT组织对中国发起

失窃文件截图

东巽科技:南亚某国APT组织对中国发起

失窃数据截图

与友商用大量样本统计来分析APT方式不同,2046Lab针对“丰收行动”的分析虽也利用了样本分析手法,但更多是利用跟踪溯源的方式。这种跟踪溯源和分析过程,剥离出了更多的真相。“从一个样本到一个C&C服务器,再到另一个样本,到另一个C&C服务器,每跟踪溯源一次,我们对攻击者的了解就加深一些,包括攻击者的目标对象、使用工具、C&C服务器据点、惯用手法,最后云开雾散,终于发现了攻击者的具体IP,找到了其在南亚某国的幕后大本营。这一过程不免让我们再次感叹,“人与人”的对抗确实是APT防护对抗的本质所在。”东巽科技CTO李薛表示。

本次“丰收行动”,再一次证明了APT攻击的存在和长期活跃,而导致攻击成功的主要因素是:防守在明、攻击在暗,受害者的防御措施与攻击者攻击手段存在能力差距,尤其是未知威胁的检测和预警能力。

李薛还认为,本次的揭露只是全球APT攻击事件的冰山一角,中国也是APT攻击的受害者之一。需要警醒的是,攻击者并不会因为本次的揭露而销声匿迹,至多是偃旗息鼓一段时间,然后以更隐蔽的方式卷土重来,并用上新的免杀技术、新的漏洞或者新的攻击方式。所以,通过本报告希望能给用户,尤其是可能遭受APT攻击的重要机构一些提醒和建议,落实习总书记4.19讲话精神,树立正确的网络安全观,充分识别自己的防御措施和攻击技术之间的差距,加快构建安全保障体系提前部署防御措施,尤其是未知威胁的检测和识别方面的能力建设,增强网络安全防御能力和威慑能力,防患于未然。

上一篇:锐捷交换机:8年稳定运行“零故障” 耐用高可靠书写“长跑记录”

下一篇:瑞星:未来中国信息安全趋势展望