2019年,全球APT威胁与攻防日趋白热化,全球安全报告频繁披露各APT组织攻击行动就是有力实证。就在今年8月,360安全大脑再次率先发现一新型Android木马,并根据CC特点将其命名为SlideRAT。而在对SlideRAT深度分析后,发现该样本来自于APT组织“蔓灵花”。
此后,在对恶意样本持续且严密的监控中,360安全大脑终于在11月捕捉到SlideRAT先后瞄准中国军工行业从事人员、中国驻巴基斯坦人员,并展开定向攻击行动,严重威胁政治军工领域安全。对此,360安全大脑基于长期追踪所获情报及数据,独家发布《蔓灵花(APT-C-08)移动平台攻击活动揭露》报告,全盘披露蔓灵花(APT-C-08)组织肆虐中巴区域的攻击内情与威胁。
瞄准中巴政企及军工,定向打击窃取敏感信息
从360安全大脑追踪监测情况来看,2016年首次曝光至今,蔓灵花(APT-C-08)组织就一直针对中巴一带进行攻击活动,重点瞄准政府、军工和电力等行业相关单位,旨在窃取敏感数据,获得中巴区域情报信息,是目前针对境内目标较为活跃的海外APT组织之一。此次360安全大脑追踪到的最新攻击动向,蔓灵花(APT-C-08)组织就再次将毒手伸向中国、巴基斯坦,以及印巴交界的克什米尔区域,精准渗透党政干部、军工从业人员、赴巴基斯坦留学人员、企业客服人员等具有鲜明军政背景人群。
而在360安全大脑所追踪到的一系列攻击事件中,蔓灵花(APT-C-08)组织将SlideRAT样本伪装成军工业邮件系统辅助登录工具,预谋对一频繁出差沙特的军工业人员发起精准打击。
(某军工业邮件系统首页新手指引)
无独有偶,追溯到2016年7月,某综合性、开放式干部网络学习平台培训的用户,也成为了蔓灵花(APT-C-08)组织的攻击目标。此次攻击中,该组织伪装成某旅游公司,对攻击目标发送钓鱼短信,预谋窃取信息。让人倍感担心的是,从被攻击目标参加培训等信息推测,其极可能为该省一党政干部。
(某干部网络学院官网)
除此之外,还有赴巴基斯坦留学人员也遭遇了蔓灵花(APT-C-08)组织的精准打击。不难看出,蔓灵花(APT-C-08)组织针对军事、政治等敏感机构,意图窃取情报、进行破坏攻击的背后,是昭然若揭的政治预谋。
水坑攻击钓鱼齐上阵,蔓灵花瞄准移动平台
曾有国外安全报告显示:近年来,移动攻击已逐渐从APT组织的“新宠”演变成了“攻击标配”。而360安全大脑对蔓灵花(APT-C-08)组织所捕获的最新攻击样本,亦正印证了这一论点。
从360安全大脑公开数据来看,蔓灵花(APT-C-08)组织移动平台载荷投递的方式主要为水坑攻击和钓鱼链接,其次还会通过短信和WhatsApp进行载荷投递。2017年3月,巴基斯坦某重要工程机械、备件和土木工程项目交易公司官网,发现托管SlideRAT家族样本。2017年9月,交通运输部“智能交通技术与设备”行业研发中心、北京市企业技术中心核心支撑单位,北京一科技有限公司网络发现暗藏SlideRAT家族样本。
(水坑攻击网站)
此外,360安全大脑通过对SlideRAT进行溯源分析发现,该木马还仿冒了GooglePlay、安邮ID、旅游APP等多个合法软件进行钓鱼传播。
(钓鱼网站相关信息)
在载荷投递之外,360安全大脑对SlideRAT样本分析时发现,2016年6月蔓灵花(APT-C-08)组织既已开始使用SlideRAT发起持续性攻击。而相比于其早起使用的开源远程管理工具AndroRAT,两种RAT在代码结构和功能上存在较大差异。对比可见,早起的AndroRAT功能偏向于远程控制,而后期使用的SlideRAT则更倾向于隐私窃取。
(左为AndroRAT结构,右为SlideRAT结构)
全球APT攻防趋于白热化 网络安全威胁一触即发
值得一提的是,报告中360安全大脑详细梳理了一直以来,组织典型攻击事件,再现该组织异常活跃的攻击动向。而渐趋频繁且精准面向军工政企的APT攻击,也证实了近年全球范围内愈演愈烈地APT攻击态势。
(蔓灵花组织攻击时间线)
在APT攻击的巨浪下,不只蔓灵花(APT-C-08)组织异常活跃。2019年,一面是南美洲多国频频因网络攻击遭遇大规模断电、伊朗宣称攻击美国纽约电网;另一面则是北约举办最大网络安全演习“锁盾2019”让4000个虚拟军事系统承受了2000多次攻击、全球100多个国家成立超过200多支网军部队,全球网络安全生态摇摇欲坠。
360董事长兼CEO周鸿祎曾表示,在大安全时代,APT(高级持续威胁)是对国家安全、国防安全、社会安全、基础设施安全等最大的威胁,能够对整个国家的社会生活进行远程打击。APT攻击与过去的网络攻击不可同日而语,也与传统的热战不同。当下貌似和平已久,但战争从未远离,只是形式不同,所以我们必须用作战的视角看待网络安全,全面理解APT攻击。
全球披露发现蔓灵花(APT-C-08)最新移动端攻击的 360烽火实验室
关于360烽火实验室,致力于Android病毒分析、移动黑产研究、移动威胁预警以及Android漏洞挖掘等移动安全领域及Android安全生态的深度研究。作为全球顶级移动安全生态研究实验室,360烽火实验室在全球范围内首发了多篇具备国际影响力的Android木马分析报告和Android木马黑色产业链研究报告。实验室在为360手机卫士、360手机急救箱、360手机助手等提供核心安全数据和顽固木马清除解决方案的同时,也为上百家国内外厂商、应用商店等合作伙伴提供了移动应用安全检测服务,全方位守护移动安全。
更多《蔓灵花(APT-C-08)移动平台攻击活动揭露》报告详情请查阅原报告。链接:http://zt.360.cn/1101061855.php?dtid=1101062514&did=610394995