热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

全球独家披露:中亚上空的情报刺客“黄金雕”APT组织

 故明君贤将,所以动而胜人,成功出于众者,先知也。——《孙子兵法》【导语】近日,360威胁情报中心全球独家捕获了一起一直活跃在中亚地区,从未被外界知晓的APT组织,并将其命名为黄金雕(APT-C-34

 

故明君贤将,所以动而胜人,成功出于众者,先知也。——《孙子兵法》

【导语】近日,360威胁情报中心全球独家捕获了一起一直活跃在中亚地区,从未被外界知晓的APT组织,并将其命名为黄金雕(APT-C-34)。透过层层研究分析,我们发现这个有着哈萨克斯坦背景的组织,不仅向臭名昭著的军火商Hacking Team采购“武器”,更为重要的是它还自主研发“网络军火”。中亚内陆国家尚且能够投入大量人力、物力、财力,聚焦网络情报收集,将网络战上升到首要高度,足见在网络空间第五维世界里,任何一个国家都在努力构建网络攻防军事强国,而掌握关键性“军火武器”也成为其重要途径。

在披露今天的主角APT组织黄金雕(APT-C-34)前,我们先介绍下对主角的发现,起着决定性作用的网络军火商公司——Hacking Team。

 

知名网络军火商反被“Hacked”,数万吨“武器炸药”被随意领取

Hacking Team是一家向全世界出售商业网络武器的公司。它专注于开发网络监听软件,涵盖几乎所有桌面计算机和智能手机。除提供监听程序外,Hacking Team还提供能够协助偷偷安装监听程序的未公开漏洞(0day),无国界记者组织曾将“HT”列为“网络敌人索引”。它的客户不仅涵盖各国的执法机构,甚至包括了联合国武器禁运清单上的国家。

然而,就在2015年7月5日,这家早已“闻名于世”的军火商因被“Hacked”再次轰动全球。

400GB文件被泄密,已经工程化的漏洞和后门代码一时间全部公开,包括Flash、Windows字体、IE、Chrome、Word、PPT、Excel、Android等诸多未公开0day漏洞,覆盖大部分的桌面电脑和超过一半的智能手机。

可以说,这次泄露不亚于将数万吨TNT“军火炸药”的导火线公之于众,国家乃至世界都处于一个随时可能被“引爆”的处境中。

历经此事,Hacking Team公司也被迫宣布破产被并购。但这并不是故事结局,或者可以说是事件的开端。

 

2018乌俄大战,“HT军火”再现世,360全球首家披露黄金雕(APT-C-34)组织

历经一段时间的沉寂,很快Hacking Team因2018年11月乌俄两国突发的“刻赤海峡”事件而重回大众视野。

在此危机中,360高级威胁应对团队率先发现了一起针对俄罗斯总统办公室所属的医疗机构的APT攻击行动。更为重要的是,这起被命名为“毒针”的APT行动使用了Flash 0day漏洞CVE-2018-15982 ,而其后门程序正是出自Hacking Team。

不难推断,Hacking Team的生意并没有消失,“毒针”行动背后的APT组织仍在采购商业网络武器。而这,也启发了网络安全专家的持续追踪。

惊喜的是,就在对Hacking Team网络武器的深入溯源中,一支活跃在中亚地区,未被披露过的俄语系APT组织也“浮出水面”。由于这是360全球首次发现披露,该团队参照中亚地区擅长驯养猎鹰狩猎的习俗特性,将该组织命名为黄金雕(APT-C-34)。

 

网络武器的应用早已不分国界与大小,APT组织黄金雕幕后“金主”竟是该国?

似乎以往我们所熟知的APT组织多隶属于美国、俄罗斯、以色列这样的网络大国、网络强国,然而在此次APT归属分析中,我们发现它竟隶属于“名不见经传”的国家——哈萨克斯坦。

足见,网络武器的应用早已不分国界与大小,任何一个国家都在努力通过掌握关键性“军火武器”这一途径,构建网络攻防军事强国。

01.对该组织基础设施布局及受害者分析:

报告显示:黄金雕(APT-C-34)组织的基础设施和绝大部分的受害者均集中在哈萨克斯坦国境内,涉及各行各业,包括哈国境内:教育行业、政府机关人员、科研人员、媒体工作人员、部分商务工业、军方人员、宗教人员、政府异见人士和外交人员等。其中也波及到了我国驻哈萨克斯坦境内的机构和人员。

02.对该组织主要攻击方式分析:

而在攻击方式上:黄金雕(APT-C-34)组织除了常规的社会工程学攻击手段,也喜欢使用物理接触的手段进行攻击,同时还采购了无线电硬件攻击设备。

a.社会工程学攻击方式:

该组织制作了大量的伪装的文档和图片文件作为鱼叉攻击的诱饵,这些文件通过伪装图标诱导用户点击,这些文件实际上是EXE和SRC后缀的可执行文件,同时会释放弹出真正的文档和图片欺骗受害者。

有意思的是,诱饵文档的内容五花八门,有华为路由器的说明书、伪造的简历和三星手机说明书等。

此外,其中部分诱饵程序安装包脚本会自动将程序添加到注册表项中,实现自启动驻留。

b.物理接触攻击方式

U盘一直是攻击者很喜欢的攻击载体。黄金雕(APT-C-34)组织也不例外。报告显示:部分受害者曾经接入过包含恶意程序和安装脚本的U盘。如下图所示,其中以install开头的bat文件为恶意程序安装脚本。

同时,攻击者也使用了Hacking Team的物理攻击套件,该套件需要通过恶意硬件物理接触目标机器,在系统引导启动前根据系统类型植入恶意程序,支持Win、Mac和Linux平台。

c.无线电监听攻击方式

除以上攻击方式外,黄金雕(APT-C-34)组织还采购了一家俄罗斯公司“YURION”的硬件设备产品(该公司是一家安全防务公司,专门出售无线电监听、窃听等设备)。有证据显示:该组织很有可能使用“YURION”公司的一些特殊硬件设备直接对目标的通讯等信号进行截取监听。

03.对该组织核心后门程序技术说明文档分析:

通过对该组织核心后门程序Harpoon的技术说明文档分析看,该工具被命名为Гарпун(Harpoon),中文实际含义是鱼叉,后门的版本号为5.0。该文档的内容大量引用标注了哈萨克斯坦城市名和哈萨克斯坦政府机构名,显示该后门程序疑似是由哈萨克斯坦的政府机构支持开发。

然而,其实早在2015年,Hacking Team被攻击泄露数据后,哈萨克斯坦的国家情报机关就被证实采购了Hacking Team的软件。在这份报告中,展示了哈萨克斯坦曾与Hacking Team官方来往邮件,以寻求网络武器的技术支持。

这里有个非常有意思的点,讲的是:在疑似针对中国的攻击中,其涉及的后门程序因360的查杀导致目标不上线的案例。

 

为收集网络情报,哈萨克斯坦煞费苦心,不止向网络军火商采购武器,还自主研发

《孙子兵法》有云:故明君贤将,所以动而胜人,成功出于众者,先知也。开宗明义地指明,“先知”是“动而胜人”的先决条件,指出“情报”在战争中发挥着举足轻重的作用,甚至是对战役的胜负有着决定性作用。可谓,知己知彼,方能百战不殆。

传统战争如此,网络战亦然。网络情报的收集获取同样是赢得网络战胜利的重要先决条件。而在此报告中,我们发现,为收集重要网络情报,哈萨克斯坦可是“煞费苦心”,它不仅向网络军火商Hacking Team采购网络武器,同时还自主研发,已达其目的。

01.多渠道采购网络军火武器

采购网络军火商Hacking Team的商业后门。该组织购买了Hacking Team的远程控制软件Remote Control System(RCS),并有完整的控制端软件。

值得注意的是,这里的版本号均为10以上,而Hacking Team在2015年泄露的RCS版本号为9.6。在这里,我们有个大胆的推测:黄金雕组织与Hacking Team的“军火贸易”或许一直都在,或者黄金雕组织已在原有“武器”上进行了“二次加工”,对“武器”进行了“全新升级”。

同时,不止于采购Hacking Team的网络武器,该组织也是著名的移动手机网络军火商 NSO Group的客户。

在黄金雕(APT-C-34)的基础设施中,显示含有NSO最出名的网络武器pegasus的培训文档,其中还包括与NSO相关的合同信息,采购时间疑似在2018年。依靠pegasus网络武器,黄金雕(APT-C-34)组织应该具备针对iPhone、Android等移动设备使用0day漏洞的高级入侵能力。

02.自主研发网络军火武器

更为需要引起注意的是,就是哈萨克斯坦这样一国家,它却早已有了自主研发网络军火武器的意识与能力,甚至可以说其能力不容小觑。

Haroon便是黄金雕(APT-C-34)组织自主研发的一款针对特定用户的后门程序,使用Delphi实现。通过对该后门的说明手册分析,发现该后门具备强大的信息收集功能,包括:屏幕定时截图、录音、剪切板记录、键盘记录、特定后缀名文件偷取等功能。

不单采购了大量网络军火武器还有实力自主研发,黄金雕(APT-C-34)组织的背后实体机构——哈萨克斯坦,正不惜投入了大量的人力、物力和财力在支持其运作。中亚内陆国家尚且拥有足够意识重视网络情报收集,将网络战上升到首要高度,足见在网络空间第五维世界里,任何一个国家都在努力构建网络攻防军事强国。

同时,我们还应看到:以漏洞为主的网络武器日益受到各国重视,某些国家政府与网络武器军火商交易的脚步从未停歇,网络军火交易正进行地如火如荼,全球面临着前所未有巨大安全威胁与挑战。

面对如此紧张的局势里,在这个没有网络安全就没有国家安全的大背景下,我们又该如何自处呢?

 

写在最后:

关于哈萨克斯坦:其在民族问题上存在很大隐患。哈萨克斯坦国内目前有125个民族,其中主体民族哈萨克族占64.6%,俄罗斯族占到了22.3%,哈萨克族多信仰伊斯兰教(逊尼派),俄罗斯族多信仰东正教。一旦处理不好与美、俄的关系,哈萨克斯坦很有可能面临乌克兰式的命运。所以,通过网络武器等方式获取对该国有用的价值情报,对于该国的政治稳定而言,具有重要的军事战略意义。

全球首次发现黄金雕(APT-C-34)的360威胁情报中心及协助分析的360烽火实验室

关于360高级威胁应对团队(360 ATA Team):专注于APT攻击、0day漏洞等高级威胁攻击的应急响应团队,团队主要技术领域包括高级威胁沙盒、0day漏洞探针技术和基于大数据的高级威胁攻击追踪溯源。在全球范围内率先发现捕获了包括双杀、噩梦公式、毒针等在内的数十个在野0day漏洞攻击,独家披露了多个针对中国的APT组织的高级行动,团队多人上榜微软TOP100白帽黑客榜,树立了360在威胁情报、0day漏洞发现、防御和处置领域的核心竞争力。

关于360烽火实验室:致力于Android病毒分析、移动黑产研究、移动威胁预警以及Android漏洞挖掘等移动安全领域及Android安全生态的深度研究。作为全球顶级移动安全生态研究实验室,360烽火实验室在全球范围内首发了多篇具备国际影响力的Android木马分析报告和Android木马黑色产业链研究报告。实验室在为360手机卫士、360手机急救箱、360手机助手等提供核心安全数据和顽固木马清除解决方案的同时,也为上百家国内外厂商、应用商店等合作伙伴提供了移动应用安全检测服务,全方位守护移动安全。

更多资料详情:

此外,更多《盘旋在中亚地区的飞影-黄金雕(APT-C-34)组织攻击活动揭露》报告详情请查阅。http://zt.360.cn/1101061855.php?dtid=1101062514&did=210975667

本文为国际安全智库作品 (微信公众号:guoji-anquanzhiku)

如需转载,请标注文章来源于:国际安全智库


推荐阅读
  • 雨林木风 GHOST XP SP3 经典珍藏版 YN2014.04
    雨林木风 GHOST XP SP3 经典珍藏版 YN2014.04 ... [详细]
  • 2023年1月28日网络安全热点
    涵盖最新的网络安全动态,包括OpenSSH和WordPress的安全更新、VirtualBox提权漏洞、以及谷歌推出的新证书验证机制等内容。 ... [详细]
  • BeautifulSoup4 是一个功能强大的HTML和XML解析库,它能够帮助开发者轻松地从网页中提取信息。本文将介绍BeautifulSoup4的基本功能、安装方法、与其他解析工具的对比以及简单的使用示例。 ... [详细]
  • 本文旨在介绍一系列提升工作效率的浏览器插件和实用小工具,帮助用户在日常工作中更加便捷高效。内容由原作者授权发布。 ... [详细]
  • 本文介绍了如何在Windows操作系统中安装FFTW库,并详细说明了使用Visual Studio 2010进行4096点快速傅里叶变换(FFT)的步骤。包括下载预编译文件、生成库文件以及配置环境等关键环节。 ... [详细]
  • 本文详细介绍了在 Windows 7 上安装和配置 PHP 5.4 的 Memcached 分布式缓存系统的方法,旨在减少数据库的频繁访问,提高应用程序的响应速度。 ... [详细]
  • 本文详细介绍了跨站脚本攻击(XSS)的基本概念、工作原理,并通过实际案例演示如何构建XSS漏洞的测试环境,以及探讨了XSS攻击的不同形式和防御策略。 ... [详细]
  • Python Selenium WebDriver 浏览器驱动详解与实践
    本文详细介绍了如何使用Python结合Selenium和unittest构建自动化测试框架,重点解析了WebDriver浏览器驱动的配置与使用方法,涵盖Chrome、Firefox、IE/Edge等主流浏览器。 ... [详细]
  • 本文详细介绍了PHP中的几种超全局变量,包括$GLOBAL、$_SERVER、$_POST、$_GET等,并探讨了AJAX的工作原理及其优缺点。通过具体示例,帮助读者更好地理解和应用这些技术。 ... [详细]
  • 本文详细介绍了在PHP中如何获取和处理HTTP头部信息,包括通过cURL获取请求头信息、使用header函数发送响应头以及获取客户端HTTP头部的方法。同时,还探讨了PHP中$_SERVER变量的使用,以获取客户端和服务器的相关信息。 ... [详细]
  • selenium通过JS语法操作页面元素
    做过web测试的小伙伴们都知道,web元素现在很多是JS写的,那么既然是JS写的,可以通过JS语言去操作页面,来帮助我们操作一些selenium不能覆盖的功能。问题来了我们能否通过 ... [详细]
  • 汇总了2023年7月7日最新的网络安全新闻和技术更新,包括最新的漏洞披露、工具发布及安全事件。 ... [详细]
  • 知识图谱与图神经网络在金融科技中的应用探讨
    本文详细介绍了融慧金科AI Lab负责人张凯博士在2020爱分析·中国人工智能高峰论坛上的演讲,探讨了知识图谱与图神经网络模型如何在金融科技领域发挥重要作用。 ... [详细]
  • Vulnhub DC3 实战记录与分析
    本文记录了在 Vulnhub DC3 靶机上的渗透测试过程,包括漏洞利用、内核提权等关键步骤,并总结了实战经验和教训。 ... [详细]
  • 本文介绍了编程语言的基本分类,包括机器语言、汇编语言和高级语言的特点及其优缺点。随后详细讲解了Python解释器的安装与配置方法,并探讨了Python变量的定义、使用及内存管理机制。 ... [详细]
author-avatar
泽旺多吉外_680
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有