企業動態

    本文3758字閲讀約需11分鐘

    國家級APT（AdvancedPersistentThreat，高級持續性威脅）組織是有國家背景支持的頂尖黑客團伙，專注於針對特定目標進行長期的持續性網絡攻擊。

    奇安信旗下的高級威脅研究團隊紅雨滴（RedDripTeam）每年會發布全球APT年報【1】、中報，對當年各大APT團伙的活動進行分析總結。

    虎符智庫特約奇安信集團旗下紅雨滴團隊，開設“起底國家級APT組織”欄目，逐個起底全球各地區活躍的主要APT組織。本次鎖定是南亞地區另一個常年活躍的國家級黑客團伙：響尾蛇（Sidewinder）。

    06

    響尾蛇

    響尾蛇是據稱有南亞背景的APT組織，2012年至今一直處於活躍狀態。

    響尾蛇組織主要針對巴基斯坦、中國、阿富汗、尼泊爾、孟加拉等國家展開攻擊，旨在竊取政府外交機構、國防軍事部門、高等教育機構等領域的機密信息。奇安信內部跟蹤編號為APT-Q-39

    背景

    響尾蛇，又名Sidewinder，由國外安全廠商卡巴斯基在2018年第一季度APT趨勢報告中率先披露。

    2018年5月，國內某安全廠商也報告了響尾蛇APT組織針對巴基斯坦等南亞國家軍事目標的定向攻擊活動。該APT組織最早攻擊活動可追溯到2012年，至今一直處於活躍狀態。

    響尾蛇APT組織主要針對巴基斯坦、中國、阿富汗、尼泊爾、孟加拉等國家展開攻擊，以竊取政府外交機構、國防軍事部門、高等教育機構等領域的機密信息為目的，攻擊活動具有強烈的政治背景。

    近年來，響尾蛇APT組織常用的漏洞為CVE-2017-0199和CVE-2017-11882。但在歷史攻擊活動中，也使用過其他漏洞，比如針對Android平台的惡意軟件獲取root權限時使用了CVE-2019-2215，以及在一次對我國某高校的定向攻擊中使用了瀏覽器漏洞CVE-2020-0674。這兩個漏洞在其利用的時候皆屬於已公開披露的漏洞，並且從其相關的利用代碼來看，存在該組織依託於網絡軍火商的可能。

    攻擊手段與工具

    響尾蛇APT組織常通過釣魚網站竊取攻擊目標機構相關人員的登錄憑據，並通過魚叉郵件投遞LNK快捷方式文件或者攜帶漏洞的惡意文檔。

    這些惡意文件則通過執行包含js代碼的hta文件或者js腳本反射加載C#模塊，然後在受害者機器上釋放木馬程序，木馬程序通常為惡意dll文件，利用對系統中正常exe文件的dll側加載技術（即“白加黑”）啓動運行。

    （一）攻擊手段

    1.釣魚網站

    響尾蛇（Sidewinder）託管釣魚網頁的服務器域名會模仿攻擊目標網站的域名，比如釣魚域名“mail-nepalgovnp[.]duckdns[.]org”用來偽裝為尼泊爾政府使用的域名“mail[.]nepal[.]gov[.]np”。釣魚網頁從攻擊目標的郵件網站複製而來，經過一定的修改後用來竊取目標機構相關人員的郵箱登錄憑據。

    這些釣魚網頁在受害者發送登錄憑據後大多數都會重定向到原始的郵件網站，還有一部分會重定向為顯示文檔或者新聞網頁，文檔與新聞的內容一般與COVID-19疫情和南亞地區的領土爭端有關。

    2.魚叉攻擊

    通過魚叉郵件投遞惡意文檔是響尾蛇（Sidewinder）組織最常用的攻擊手段，這些作為誘餌的惡意文檔常見的有如下幾種類型：

    (1)LNK文件

    LNK文件的目標程序路徑被指定為用mshta.exe遠程加載運行hta文件，進而釋放誘餌文檔和完成後續的惡意軟件植入操作。

    (2)攜帶漏洞的Office文檔，頻繁利用漏洞CVE-2017-11882和CVE-2017-0199。

    在響尾蛇組織製作的惡意Office文檔中，一類是利用CVE-2017-11882漏洞執行自身釋放的或者遠程下載的hta文件或js腳本，從而完成後續的惡意軟件植入操作；另一類則是利用CVE-2017-0199漏洞遠程加載攜帶CVE-2017-11882漏洞的文檔。

    （二）使用工具及技術特徵

    響尾蛇組織具有Windows和Android雙平台攻擊能力。在Windows平台的攻擊手法比較固定，以LNK文件或者漏洞文檔為攻擊入口，通過執行包含js代碼的hta文件或js腳本反射加載C#dll文件，最後藉由該dll文件植入木馬程序組件。

    響尾蛇組織的攻擊流程整體基本不變，但為了對抗研究人員的發現披露和安全軟件的檢測查殺，近年來該組織也升級了攻擊手法，比如：

    （1）後續的木馬程序組件不再直接在本地釋放，而是從遠程服務器下載，使得該組織在攻擊過程中及時關停服務器，降低代碼暴露的風險；

    （2）提高了代碼混淆度，比如作為中間組件的js代碼通過引入自定義的Base64編碼進行混淆，C#組件中函數調用由直接引用系統API變為用自定義繁雜的函數名封裝所需調用的API。

    （3）響尾蛇組織針對Android平台的惡意軟件通過漏洞利用獲取root權限或者誘騙受害者授權以安裝木馬程序callCam。木馬程序收集設備參數、位置、文件、賬户、社交軟件數據等敏感信息並以加密形式上傳到C&C服務器。

    著名攻擊事件

    （一）響尾蛇（Sidewinder）首次曝光

    2018年4月，卡巴斯基2018年第一季度APT趨勢報告提到了名為“Sidewinder”的APT組織【2】，該組織攻擊目標為巴基斯坦的軍事部門，最早可追溯至2012年。

    2018年5月23日，國內某安全廠商發佈報告披露了響尾蛇組織針對南亞攻擊活動的細節【3】：利用CVE-2017-11882漏洞遠程加載並執行hta文件，文件中的腳本調用powershell命令釋放其中保存的木馬程序。

    （二）2019年針對我國的多次定向攻擊

    2019年7月，國內某安全廠商發現響尾蛇組織針對我國的定向攻擊事件。在此次攻擊事件中，響尾蛇以我國國防部國際合作部門發送的通知文件為誘餌，向他國駐華使館人員發起攻擊【4】。

    攻擊使用的攜帶CVE-2017-11882漏洞的惡意文檔為RTF格式文件，文件打開後會自動釋放Package對象保存的js腳本，漏洞利用後執行釋放的js腳本，腳本拷貝Windows系統中正常的exe文件，並釋放加密的木馬程序數據和用於加載木馬程序的惡意dll文件，與拷貝的exe文件組成“白加黑”組合。

    此後，響尾蛇多次針對我國的定向攻擊被披露【5、6】，包括針對國內某國防科研企業，向其內部發送虛假的安全保密手冊和管理文件；將偽裝的《中國人民解放軍文職人員條例》的文檔投放至國家政府部門；針對國防及軍事等相關部門，向其發送虛假的“第九屆北京香山論壇會議”議程。這些攻擊事件中，響尾蛇採用了與攻擊他國駐華使館相同的手法。

    （三）移動端攻擊武器曝光

    2020年1月，國外安全廠商趨勢科技披露了響尾蛇組織針對Android平台的惡意軟件【7】。

    這些惡意軟件在GooglePlay應用商店中偽裝為圖片和文件管理器工具，經過兩個階段的下載過程在受害者設備上植入最終的木馬程序callCam。其中一個惡意軟件通過利用CVE-2019-2215漏洞和MediaTek-SU獲取root權限，可以在受害者無交互的情況下靜默安裝木馬程序，其他惡意軟件則誘騙受害者授權從而實現木馬程序的安裝。木馬程序收集設備上保存的敏感數據並加密上傳到C&C服務器。

    （四）利用疫情信息對巴基斯坦等國的攻擊活動

    2020年5月，奇安信威脅情報中心捕獲到響尾蛇組織利用疫情相關信息作為誘餌的惡意LNK樣本【8】，此類樣本以受害國家的軍方抗擊疫情戰略、空軍大學疫情期間網絡在線課程政策等熱點信息作為偽裝。

    一旦受害者執行此類惡意樣本，LNK文件將從遠程服務器下載惡意hta腳本文件執行，惡意腳本將釋放展示正常的誘餌文檔以迷惑受害者，並繼續從遠程獲取第二階段惡意hta腳本文件執行。第二階段惡意腳本將在受害者計算機上部署相關惡意軟件，並通過白加黑的方式加載最終的遠程木馬，控制受害者機器，從而竊取敏感信息。

    （五）利用瀏覽器漏洞攻擊我國某高校

    2020年國內某安全團隊披露了響尾蛇組織針對我國某高校的攻擊活動【9】，誘餌文檔內容為2020年春季疫情防控工作的優秀教師推薦名單。

    在此次攻擊活動中，響尾蛇使用了與以往不同的攻擊手法：

    （1）首先惡意文檔通過遠程模板注入的方式加載攜帶CVE-2017-0199漏洞的文檔；

    （2）然後CVE-2017-0199漏洞文檔再遠程加載hta文件；

    （3）hta文件中包含2020年初公開披露的瀏覽器漏洞CVE-2020-0674利用代碼，漏洞利用成功後釋放木馬組件。

    （六）對多國實施釣魚攻擊

    2020年12月，國外安全廠商趨勢科技發佈報告披露了響尾蛇組織長期對尼泊爾、阿富汗、中國等多個國家的政府、外交、國防軍事機構展開釣魚攻擊活動【10】。

    響尾蛇組織通過模仿攻擊目標的域名創建託管釣魚頁面的域名，複製目標機構郵件網站的網頁並製作釣魚頁面，從而竊取相關人員的郵箱登錄憑據，為後續的定向攻擊活動做準備。

    總結

    自首次曝光以來，響尾蛇（Sidewinder）組織頻繁活動，攻擊目標集中在南亞多國和中國的政府、外交、軍事領域，體現了該組織攻擊活動中強烈的政治動機和背後的國家力量支持。

    多年來，響尾蛇組織的攻擊流程整體沒有太大變化，但為了對抗安全軟件檢測和分析人員追蹤，該組織也在不斷改進升級攻擊手法。

    此外，響尾蛇組織在歷史攻擊活動中使用的漏洞表明，該組織可能與網絡軍火商存在關聯。

    目前，該組織對包括我國在內的多個國家仍然構成嚴重威脅，需要我們持續跟蹤關注。

    註解

    https://ti.qianxin.com/uploads/2021/02/08/dd941ecf98c7cb9bf0111a8416131aa1.pdf

    https://securelist.com/apt-trends-report-q1-2018/85280/

    https://s.tencent.com/research/report/479

    https://www.secrss.com/articles/13390

    https://ti.dbappsecurity.com.cn/blog/articles/2019/08/30/sidewinder-apt-group-attack-embassy-in-china-disclosed/

    http://it.rising.com.cn/dongtai/19656.html

    https://www.trendmicro.com/en_us/research/20/a/first-active-attack-exploiting-cve-2019-2215-found-on-google-play-linked-to-sidewinder-apt-group.html

    https://ti.qianxin.com/blog/articles/the-recent-rattlesnake-apt-organized-attacks-on-neighboring-countries-and-regions/

    https://bbs.pediy.com/thread-260640.htm

    https://www.trendmicro.com/en_us/research/20/l/sidewinder-leverages-south-asian-territorial-issues-for-spear-ph.html