360公布2016上半年十大APT攻击组织

 　　近几年来，APT攻击事件此起彼伏，从针对乌克兰国家电网的网络攻击事件，到孟加拉国央行被黑客攻击导致8100元美元被窃取，APT攻击以其无孔不入的触角延伸到了全世界各地，几乎所有的重要行业如政府、金融、电力、教育都受到了APT攻击的威胁。神秘的APT攻击从攻击开始到达成目的，有的甚至可能潜伏长达数年，对APT组织的未知导致人们在面临APT攻击时的茫然无措。

　　在本届ISC2016中国互联网安全大会召开前夕，360威胁情报中心追日团队再出力作，正式对外公布2016上半年十大APT攻击组织，揭密那些曾经造成重大网络安全事件的神秘黑客组织。

　　No.1：DarkHotel(APT-C-06)

　　APT-C-06组织是境外APT组织，其主要目标除了中国，还有其他国家。主要目的是窃取敏感数据信息，DarkHotel的活动可以视为APT-C-06组织一系列攻击活动之一。在针对中国地区的攻击中，该组织主要针对政府、科研领域进行攻击，且非常专注于某特定领域，相关攻击行动最早可以追溯到2007年，至今还非常活跃。从我们掌握的证据来看该组织有可能是由境外政府支持的黑客团体或情报机构。

　　该组织多次利用0day漏洞发动攻击，进一步使用的恶意代码非常复杂，相关功能模块达到数十种，涉及恶意代码数量超过200个。该组织主要针对Windows系统进行攻击，近期还会对基于Android系统的移动设备进行攻击。另外该组织进行载荷投递的方式除了传统的鱼叉邮件和水坑式攻击等常见手法，还主要基于另一种特殊的攻击手法。

　　No.2：APT28(APT-C-20)

　　APT28(APT-C-20)，又称Pawn Storm、Sofacy、Sednit、Fancy Bear和Strontium。APT28组织被怀疑幕后和俄罗斯政府有关，该组织相关攻击时间最早可以追溯到2007年。其主要目标包括国防工业、军队、政府组织和媒体。期间使用了大量0day漏洞，相关恶意代码除了针对windows、Linux等PC操作系统，还会针对苹果IOS等移动设备操作系统。

　　早前也曾被怀疑与北大西洋公约组织网络攻击事件有关。APT28组织在2015年第一季度有大量的活动，用于攻击NATO成员国和欧洲、亚洲、中东政府。目前有许多安全厂商怀疑其与俄罗斯政府有关，而早前也曾被怀疑秘密调查MH17事件。从2016年开始该组织最新的目标瞄准了土耳其高级官员。

　　No.3：Lazarus(APT-C-26)

　　2016年2月25日，Lazarus黑客组织以及相关攻击行动由卡巴斯基实验室、AlienVault实验室和Novetta等安全企业协作分析并揭露。2013年针对韩国金融机构和媒体公司的DarkSeoul攻击行动和2014年针对索尼影视娱乐公司(Sony Pictures Entertainment，SPE)攻击的幕后组织都是Lazarus组织。

　　Lazarus组织历史活动相关重大事件节点

　　2016年2月孟加拉国央行被黑客攻击导致8100万美元被窃取的事件被曝光后，如越南先锋银行、厄瓜多尔银行等，针对银行SWIFT系统的其他网络攻击事件逐一被公开。在相关事件曝光后，我们立即对相关攻击事件的展示溯源分析，就越南先锋银行相关攻击样本，我们形成了技术报告：《SWIFT之殇——针对越南先锋银行的黑客攻击技术初探》。

　　在分析孟加拉国央行和越南先锋银行攻击事件期间，我们发现近期曝光的这4起针对银行的攻击事件并非孤立的，而很有可能是由一个组织或多个组织协同发动的不同攻击行动。另外通过对恶意代码同源性分析，我们可以确定本次针对孟加拉国央行和越南先锋银行的相关恶意代码与Lazarus组织有关联，但我们不确定幕后的攻击组织是Lazarus组织

　　No.4：海莲花(APT-C-00)

　　海莲花(APT-C-00)组织是我们2015年5月发布的针对中国攻击的某著名境外APT组织，该组织主要针对中国政府、科研院所和海事机构等重要领域发起攻击。基于海量情报数据和研究分析，我们还原了APT-C-00组织的完整攻击行动，相关攻击行动最早可以追溯到2011年，期间不仅针对中国，同时还针对其他国家发起攻击。该组织大量使用水坑式攻击和鱼叉式钓鱼邮件攻击，攻击不限于Windows系统，还针对其他非Windows操作系统，相关攻击至今还非常活跃。

　　No.5：Carbanak(APT-C-11)

　　Carbanak(即Anunak)攻击组织，是一个跨国网络犯罪团伙。2013年起，该犯罪团伙总计向全球约30个国家和地区的100家银行、电子支付系统和其他金融机构发动了攻击，目前相关攻击活动还很活跃。在《2015年中国高级持续性威胁(APT)研究报告》中我们提到了Carbanak，通过研究分析该组织相关攻击手法和意图，我们将该组织视为针对金融行业的犯罪型APT组织。

　　Carbanak组织一般通过社会工程学、漏洞利用等方式攻击金融机构员工的计算机，进而入侵银行网络。进一步攻击者通过内部网络，对计算机进行视频监控，查看和记录负责资金转账系统的银行员工的屏幕。通过这种方式，攻击者可以了解到银行职工工作的全部详情，从而模仿银行职工的行为，盗取资金和现金。

　　另外该组织还可以控制、操作银行的ATM机，命令这些机器在指定的时间吐出现金。当到支付时间时，该组织会派人在ATM机旁边等待，以取走机器“主动”吐出的现金。

　　No.6：摩诃草(APT-C-09)

　　摩诃草组织(APT-C-09)，又称HangOver、VICEROY TIGER、The Dropping Elephant、Patchwork，是一个来自于南亚地区的境外APT组织，该组织已持续活跃了7年。摩诃草组织最早由Norman安全公司于2013年曝光，随后又有其他安全厂商持续追踪并披露该组织的最新活动，但该组织并未由于相关攻击行动曝光而停止对相关目标的攻击，相反从2015年开始更加活跃。

　　摩诃草组织主要针对中国、巴基斯坦等亚洲地区国家进行网络间谍活动，其中以窃取敏感信息为主。相关攻击活动最早可以追溯到2009年11月，至今还非常活跃。在针对中国地区的攻击中，该组织主要针对政府机构、科研教育领域进行攻击，其中以科研教育领域为主。

　　从2009年至今该组织针对不同国家和领域至少发动了3次攻击行动和1次疑似攻击行动，期间使用了大量漏洞，其中至少包括一次0day漏洞攻击，相关恶意代码非常繁杂，恶意代码数量超过了上千个。载荷投递的方式，主要是以鱼叉邮件进行恶意代码的传播，另外会涉及少量水坑攻击，在最近一次攻击行动中基于即时通讯工具和社交网络也是主要的恶意代码投递途径。进一步还会使用钓鱼网站进行社会工程学攻击。该组织主要针对Windows系统进行攻击，同时也会针对Mac OS X系统进行攻击，从2015年开始还会针对Android系统的移动设备进行攻击。

　　No.7：沙虫(APT-C-13)

　　沙虫组织的主要目标领域有：政府、教育、能源机构和电信运营商。进一步主要针对欧美国家政府、北约，以及乌克兰政府展开间谍活动。该组织曾使用0day漏洞(CVE-2014-4114)针对乌克兰政府发起了一次钓鱼攻击。而在威尔士举行的讨论乌克兰危机的北约峰会针对美国也进行了攻击。该组织还使用了BlackEnergy恶意软件。而且沙虫组织不仅仅只进行常规的网络间谍活动，还针对SCADA系统进行了攻击，研究者认为相关活动是为了之后的网络攻击进行侦查跟踪。另外有少量证据表明，针对乌克兰电力系统等工业领域的网络攻击中涉及到了BlackEnergy恶意软件。如果此次攻击的确使用了BlackEnergy恶意软件的话，那有可能幕后会关联到沙虫组织。

　　No.8：洋葱狗(APT-C-03)

　　2016年2月25日，Lazarus黑客组织以及相关攻击行动由卡巴斯基实验室、AlienVault实验室和Novetta等安全企业协作分析并揭露。2013年针对韩国金融机构和媒体公司的DarkSeoul攻击行动和2014年针对索尼影视娱乐公司(Sony Pictures Entertainment，SPE)攻击的幕后组织都是Lazarus组织。该组织主要攻击以韩国为主

　　的亚洲国家，进一步针对的行业有政府、娱乐&媒体、军队、航空航天、金融、基础建设机构。

　　在2015年我们监控到一个针对朝鲜语系国家的APT攻击组织，涉及政府、交通、能源等行业。通过我们深入分析暂未发现该组织与Lazarus组织之间有联系。进一步我们将该组织2013年开始持续到2015年发动的攻击，命名为“洋葱狗”行动(Operation OnionDog)，命名主要是依据2015年出现的木马主要依托onion city作为C&C服务，以及恶意代码文件名有dog.jpg字样。相关恶意代码最早出现在2011年5月左右。至今至少发起过三次集中攻击。分别是2013年、2014年7月-8月和2015年7月-9月，在之后我们捕获到了96个恶意代码，C&C域名、IP数量为14个。

　　“洋葱狗”恶意程序利用了朝鲜语系国家流行办公软件Hangul的漏洞传播，并通过USB蠕虫摆渡攻击隔离网目标。此外，“洋葱狗”还使用了暗网网桥(Onion City)通信，借此无需洋葱浏览器就可直接访问暗网中的域名，使其真实身份隐蔽在完全匿名的Tor网络里。另外通过我们深入分析，我们推测该组织可能存在使用其他已知APT组织特有的技术和资源，目的是嫁祸其他组织或干扰安全研究人员进行分析追溯。

　　No.9：美人鱼(APT-C-07)

　　美人鱼行动是境外APT组织主要针对政府机构的攻击活动，持续时间长达6年的网络间谍活动，已经证实有针对丹麦外交部的攻击。相关攻击行动最早可以追溯到2010年4月，最近一次攻击是在2016年1月。截至目前我们总共捕获到恶意代码样本284个，C&C域名35个。

　　2015年6月，我们首次注意到美人鱼行动中涉及的恶意代码，并展开关联分析，通过大数据关联分析我们已经确定相关攻击行动最早可以追溯到2010年4月，以及关联出上百

　　个恶意样本文件，另外我们怀疑载荷投递采用了水坑攻击的方式，进一步结合恶意代码中诱饵文件的内容和其他情报数据，我们初步判定这是一次以窃取敏感信息为目的的针对性攻击，且目标熟悉英语或波斯语。

　　2016年1月，丹麦国防部情报局(DDIS，Danish Defence Intelligence Service)所属的网络安全中心(CFCS，Centre for Cyber Security)发布了一份名为“关于对外交部APT攻击的报告”的APT研究报告，报告主要内容是CFCS发现了一起从2014年12月至2015年7月针对丹麦外交部的APT攻击，相关攻击主要利用鱼叉邮件进行载荷投递。

　　CFCS揭露的这次APT攻击，就是我们在2015年6月发现的美人鱼行动，针对丹麦外交部的相关鱼叉邮件攻击属于美人鱼行动的一部分。从CFCS的报告中我们确定了美人鱼行动的攻击目标至少包括以丹麦外交部为主的政府机构，其载荷投递方式至少包括鱼叉式钓鱼邮件攻击。

　　通过相关线索分析，我们初步推测美人鱼行动幕后组织来自中东地区。

　　No.10：人面狮(APT-C-15)

　　人面狮行动是活跃在中东地区的网络间谍活动，主要目标可能涉及到埃及和以色列等国家的不同组织，目的是窃取目标敏感数据信息。活跃时间主要集中在2014年6月到2015年11月期间，相关攻击活动最早可以追溯到2011年12月。主要采用利用社交网络进行水坑攻击，截止到目前我总共捕获到恶意代码样本314个，C&C域名7个。

　　人面狮样本将主程序进行伪装成文档诱导用户点击，然后释放一系列的dll，根据功能分为9个插件模块，通过注册资源管理器插件的方式来实现核心dll自启动，然后由核心dll根据配置文件进行远程dll注入，将其他功能dll模块注入的对应的进程中，所以程序运行的时候是没有主程序的。用户被感染后比较难以发现，且使用多种加密方式干扰分析，根据PDB路径可以看出使用了持续集成工具，从侧面反映了项目比较庞大，开发者应该为专业的组织。

　　进一步我们分析推测人面狮行动的幕后组织是依托第三方组织开发相关恶意软件，使用相关恶意软件并发起相关攻击行动的幕后组织应该来自中东地区。