提起“熊猫烧香”这款病毒，相信很多人仍然能够忆起，那个出现在全民网络时代前夜、憨态可掬地抱着三支香的熊猫图标。同时，“熊猫烧香”也致使全国数万电脑被控制，该“疫情”的出现更是让不少人心有余悸。幸运的是，微软于2011年开始对Windows自动运行功能进行了限制，屏蔽了除光盘外的其它存储介质的自动运行功能，有效避免了来自此类病毒的攻击。

然而，近期360烽火实验室在监测黄金鼠组织(APT-C-27)的攻击活动过程中，发现其新版本的移动端手机攻击样本首次具备了针对PC的RAT诱导跨越攻击。这也就意味着，当移动端手机作为移动存储介质存在时，存在有一定的安全隐患，极有可能被不法分子利用，通过手机端的伪装攻击文件向PC端发起APT攻击。为此，360烽火实验室联合360互联网安全中心共同发布了《移动端跨越攻击预警：新型APT攻击方式解析》报告。

跨越组合型APT攻击：偏爱“图片目录”作伪装

APT攻击作为一种行之有效的手段不断出现在各类对抗战中，如目前业界认为属于“灭霸级别”的两个APT组织：方程式和索伦之眼，便将APT攻击视为秘密武器。随着APT对抗烈度的增加，跨平台的攻击逐渐成为主流，而不再单一聚焦于单一的Windows平台，移动设备、智能硬件等领域也是攻击者目标。但是此前的跨平台攻击中，各平台均为独立存在。

据360安全专家介绍，通过分析对比发现，新版本的移动端手机攻击样本除了保留原版的移动端RAT功能之外，还新增了移动存储介质诱导攻击方式，首次实现了从移动端到PC端的攻击跨越，移动端手机会释放PC端恶意软件，组合型APT攻击方式已出现。

图1：携带的PE RAT攻击文件

当移动端攻击样本携带有针对PC的PE格式RAT攻击文件“hmzvbs”并运行后，该攻击文件便会被释放到指定好的移动端外置存储设备中的图片目录下，并且伪装成特殊名称，这个伪装便是跨越攻击前的特殊准备。据悉，该伪装还具备如下两个特点：攻击文件名称伪装成常见的图片相关目录名;攻击文件的扩展名为“.PIF”。

而为使用户中招，不法分子还需借助用户不定期使用PC浏览手机里照片这一习惯。假如用户在使用PC浏览移动端手机照片，一旦被诱导触发了伪装后的“图片目录”，该PE RAT攻击文件就会即刻运行，从而使受到移动端攻击的PC目标受损。

图2：正常目录和伪装后的攻击文件对比虚拟图

攻击或与政治活动挂钩 安全防护措施必不可少

现阶段，智能手机已成为人们生活中不可分割的一部分，它影响到个人的隐私和财产安全，甚至也可能会威胁到企业和国家安全。据360安全专家披露，黄金鼠组织(APT-C-27)攻击的目标便是叙利亚及其周边的军事机构和政府机关，其目标人群在办公及日常生活中通常都同手机和电脑紧密联系在一起。而一旦攻击目标的手机和电脑被成功攻破，由此产生的危害和损失不可预估。