双子座实验室 2021-08 2021 年上半年 全球主要 APT 攻击活动报告 2021 年上半年全球主要 APT 攻击活动报告 2021 年上半年全球主要 APT 攻击活动报告 2021 年上半年全球主要 APT 攻击活动报 2021 年上半年全球主要 APT 攻击活动报告 2021 年上半年全球主要 APT 攻击活动报告 2021 年上半年全球主要 APT 攻击活动报 2021 年上半年全球主要 APT 攻击活动报告 2021 年上半年全球主要 APT 攻击活动报告 2021 年上半年全球主要 APT 攻击活动报2021 年上半年全球主要 APT 攻击活动报告 contents 目录 1、APT 全球攻击活动概述 4 2、APT 组织主要活动情况分析 5 3、与地缘政治相关 APT 攻击活动 7 4、全球重点行业 APT 组织攻击活动 8 5、其它重大 APT 攻击活动 11 6、总结 12 7、2021 年上半年 APT 活动时间表 13 2021 年上半年全球主要 APT 攻击活动报告 2021 年上半年全球主要 APT 攻击活动报告 2021 年上半年全球主要 APT 攻击活动报 2021 年上半年全球主要 APT 攻击活动报告 2021 年上半年全球主要 APT 攻击活动报告 2021 年上半年全球主要 APT 攻击活动报 2021 年上半年全球主要 APT 攻击活动报告 2021 年上半年全球主要 APT 攻击活动报告 2021 年上半年全球主要 APT 攻击活动报3 2021 年上半年全球主要 APT 攻击活动报告 2021 年上半年全球主要 APT 攻击活动报告 2021 年上半年全球主要 APT 攻击活动报 2021 年上半年全球主要 APT 攻击活动报告 2021 年上半年全球主要 APT 攻击活动报告 2021 年上半年全球主要 APT 攻击活动报4 2021 年上半年全球主要 APT 攻击活动报告 APT 全球攻击活动概述 01 2021 年上半年披露了 70 余个 APT 组织近 100 余起攻击活动，结合全球安全研究机构及安全厂商对 APT 组织的分析，我们总结出 2021 年上半年的 APT 组织活动具有以下特点： 从活跃组织上看 老牌 APT 组织如 BITTER、Lazarus、Donot 等组织持续活跃，不断更新完 善工具集， 同时也出现了数个新命名APT组织， 如 ： LazyScripter和UNC2198等。 从攻击手段上看 利用钓鱼邮件、0day 及高危漏洞依然是 APT 组织青睐的主要手段，2021 年 Q1 造成较大影响范围的是微软系列 RCE 漏洞链利用，虽然微软已及时发布 补丁，但此漏洞已被多个黑客组织广泛利用。在 2021 年 Q2，还有多个 VPN 的 零日漏洞被黑客组织使用。 从恶意软件角度看 从恶意软件角度看，几乎每一个黑客组织都会使用公开或定制的恶意软件 （如后门软件、窃密软件、挖矿软件、勒索软件等）进行后续攻击，近期的特 点是黑客组织开始利用挖矿、勒索软件频率增多，甚至多种功能恶意软件叠加 使用，这样不仅可以快速赚取可观的经济收益，还能同时进行数据窃取、泄密 等活动。 从地域上看 地缘政治有关的国家和地区依然是 APT 组织攻击活动的热点地区，而主要 攻击的行业依然集中在政府、军工等行业。 2021 年上半年全球主要 APT 攻击活动报告 2021 年上半年全球主要 APT 攻击活动报告 2021 年上半年全球主要 APT 攻击活动报 2021 年上半年全球主要 APT 攻击活动报告 2021 年上半年全球主要 APT 攻击活动报告 2021 年上半年全球主要 APT 攻击活动报 2021 年上半年全球主要 APT 攻击活动报告 2021 年上半年全球主要 APT 攻击活动报告 2021 年上半年全球主要 APT 攻击活动报5 BITTER 组织是一个近年来较为活跃的 APT 组织，长期以来针对巴基斯坦和中国进行活动，其在 2021 年上半年 被披露的攻击活动包括： 2020 年末至 2021 年初，BITTER 组织使用 Warzone RAT 针对中国研究南亚关系的多位社会科学学者进行攻 击。攻击者伪造研究讨论学会邀请信，对目标发起网络钓鱼，最终在受害者机器中植入 Warzone RAT 进行远程控制。 Warzone RAT 是一款 C/C+ 开发的商业木马程序，具备密码采集、远程执行任意程序、键盘记录、远程桌面控制、 上传下载文件、远程打开摄像头等多种远程控制功能。 2021 年 4 月，研究人员捕获到 Bitter 组织的最新信息窃取木马，可以获取主机信息，用户名，系统版本等信息。 Lazarus 是一个隶属于朝鲜政府的网络间谍组织，自 2009 年以来一直处于高度活跃状态。在 2021 年上半年被 披露的攻击活动包括： 2021 年 1 月，发现 Lazarus 组织的攻击活动样本。该样本使用职业描述主题，带有恶意附件，通过网络钓鱼活 动传播。恶意宏滥用了合法的 Windows API 功能来实现代码执行。 2021 年 2 月，Lazarus 组 织 被 披 露 使 用 ThreatNeedle 集 群 对 国 防 工 业 发 起 攻 击，ThreatNeedle 集 群 是 Manuscrypt（又名 NukeSped）的高级恶意软件集群。活动中使用鱼叉式网络钓鱼作为初始感染媒介。钓鱼邮件中 包含恶意的 Word 文档或者带有指向远程服务器的恶意链接。打开恶意文档并允许宏后，恶意软件将被释放并进入多 阶段部署。ThreatNeedle 后门具有操作文件 / 目录、系统信息收集、控制后门进程、更新后门配置、进入睡眠或休 眠模式、执行接收命令的功能。 2021 年 3 月，黑客组织 Lazarus 利用恶意软件 VSingle 和 ValeforBeta 攻击日本实体。VSingle 和 ValeforBeta 是 Delphi 编写的 HTTP 机器人，能够远程执行任意代码。前者具有下载和运行插件的能力。ValeforBeta 功能比 VSingle 少，并且只能上传和下载文件，而不能远程执行任意代码。 2021 年 4 月，黑客组织 Lazarus 使用一种新后门 Vyveva 攻击南非一家货运和物流公司。安全公司还发现 Lazarus 针对医药公司的攻击，这次使用的后门为 CommsCacher。 同月，Lazarus APT 组织利用 BMP 图像分发 RAT 木马，主要针对韩国。研究人员认为这次攻击主要是名为 Andariel 的 Lazarus 的一个子集团所为。这次攻击在受害者中发现了自定义勒索软件，该勒索软件加密除了系统关键 文件之外的其他所有文件。 2021 年 5 月，针对加密货币交易所的 CryptoCore 攻击归因于 LAZARUS，该活动已经进行了三年，也被称为 CryptoMimic，Dangerous Password 和 Leery Turtle，主要集中在盗窃加密货币钱包上，估计攻击者已经获得数亿 美元的收益。 APT 组织主要活动情况分析 02 2.1BITTER（别名：蔓灵花、APT-C-08） 2.2Lazarus（别名：HiddenCobra 等） 2021 年上半年全球主要 APT 攻击活动报告 2021 年上半年全球主要 APT 攻击活动报告 2021 年上半年全球主要 APT 攻击活动报 2021 年上半年全球主要 APT 攻击活动报告 2021 年上半年全球主要 APT 攻击活动报告 2021 年上半年全球主要 APT 攻击活动报6 2021 年上半年全球主要 APT 攻击活动报告 Donot是一个针对克什米尔地区相关国家的政府机构等领域进行网络间谍活动， 以窃取敏感信息为主的攻击组织。 在 2021 年上半年被披露的攻击活动包括： 在 2021 年第一季度，Donot 利用恶意 RTF 模板注入以及公式编辑漏洞（CVE-2017-11882）对周边国家地区开 展了多次攻击活动。其使用特定主题作为诱饵文档，疑似开始针对泰国开展攻击活动。 2021 年 6 月，Donot 使用了一系列新型的后门框架，并多次对其程序进行更新。恶意组件功能包括文件搜集、 文件上传、浏览器文件搜集、键盘鼠标消息记录、获取屏幕截图、获取可移动磁盘文件等。 SideWinder 是于 2018 年被披露的黑客组织，疑似与印度有关。该组织主要针对巴基斯坦，中国及其它东南亚 国家的政府，军事目标，其攻击活动最早可追溯至 2012 年。 2021 年 6 月，安全公司捕获到几例响尾蛇 APT 组织利用相关国家外交政策为诱饵的恶意样本。此类样本利用钓 鱼邮件传播，主要针对巴基斯坦。最终的远程木马控制受害者机器，窃取敏感信息。 LazyScripter 是一个被 Malwarebytes 发现并命名的一个新黑客组织。 该组织的攻击活动最早可追溯至 2018 年。 初始攻击方式为使用钓鱼邮件，主要针对寻求移民加拿大的人和航空公司，特别是使用国际航空运输协会（IATA） 提供的 BSPLink 财务结算软件的公司。该组织使用的工具除了各种常见的远程访问木马 (RAT)，如 Quasar、njRat、 Remcos 和 LuminosityLink 外，也包含开源木马 Octopus 和 Koadic，已及修改后的 Powershell Empire。 UNC2198 是一个被 FireEye 命名的威胁组织，目前主要针对北美地区展开活动。主要目标是通过部署勒索软件 破坏受害网络，从而进行入侵操作获取利益。2020 年 7 月， UNC2198 利用 ICEDID 感染部署 MAZE 勒索软件。10 月和 11 月，又发现在其他活动中部署了 EGREGOR 勒索软件，同时还会安装其他恶意软件或工具以进行敏感数据的 渗漏。 2.3Donot（别名：肚脑虫、APT-C-35） 2.4SideWinder （别名 T-APT-04、 响尾蛇） 2.5LazyScripter 2.6UNC2198 2021 年上半年全球主要 APT 攻击活动报告 2021 年上半年全球主要 APT 攻击活动报告 2021 年上半年全球主要 APT 攻击活动报 2021 年上半年全球主要 APT 攻击活动报告 2021 年上半年全球主要 APT 攻击活动报告 2021 年上半年全球主要 APT 攻击活动报 2021 年上半年全球主要 APT 攻击活动报告 2021 年上半年全球主要 APT 攻击活动报告 2021 年上半年全球主要 APT 攻击活动报7 Patchwork（别名：APT-C-09 、Dropping Elephant、Chinastrats、Monsoon、Sarit）是来自印度的攻击组织， 于 2015 年 12 月首次被发现，主要对中国、巴基斯坦等东南亚政府、军工等单位进行攻击，窃取机密资料，特别是 那些与东南亚和南海问题相关的工作机构。Patchwork 为近些年来最活跃的 APT 攻击组织之一。2016 年安全厂商追 踪到该组织的攻击范围逐渐扩大，除了公共部门和企业外，涉及到的行业包括：航空，广播，能源，金融，非政府组 织，制药，公有企业，出版，软件。攻击目标的地理位置也扩展到了美国之外，包括中国，日本，东南亚，英国等。 其攻击手段主要利用发送与中国相关主题的附带恶意链接的钓鱼邮件以此吸引被攻击目标的兴趣。 2021 年 1 月份，研究人员发现一份带有中国和巴基斯坦的军事演习图片的文件。疑似该文件通过钓鱼邮件附件 传播，并使用 CVE-2019-0808 漏洞攻击代码，在受害者机器上释放并执行 Patchwork APT 有效载荷。在最近的攻 击中，Patchwork 组织一直在使用自定义或修改版的 RAT 作为恶意有效负载，而非使用现成的 RAT 工具。 Charming Kitten（别名：APT35 或 Phosphorus）是一个来自伊朗的网络间谍组织，自 2014 年以来一直利用 社交媒体从事精心设计的网络间谍活动。该组织通常会尝试访问目标的私人电子邮件和 Facebook 等社交账户，并且 通过渗透社交网络，收集信息或破坏其他关联账户。其主要目标是学术研究人员，学者，人权活动者以及媒体，尤其 是与伊朗持有不同政治意见的人。 研究人员发现 Charming Kitten 组织从 2020 年圣诞节假期和新年期间，该组织开始对不同的个人进行间谍活动， 收集个人信息，如电子邮件凭据。主要通过发送 SMS 钓鱼消息、伪造电子邮件进行初始访问。攻击者仿冒 Google， 向目标发送伪造的 “Google 账户恢复” SMS 消息， 让目标必须点击 SMS 中的链接以确认身份。 链接经过几次重定向后， 将受害者指向最终的网络钓鱼域。 其钓鱼范围包括为政府、 工业和军事等特殊领域提供在线卫星图像服务防御的公司。 Static Kitten （别名：MuddyWater、 T-APT-14）是一个来自伊朗的黑客组织。该组织主要进行网络间谍活动， 受害者主要分布在巴基斯坦，沙特，阿联酋和伊拉克等国家。该 APT 组织显著的攻击特点为善于利用 Powershell 等 脚本后门，通过 Powershell 在内存中执行，可以减少恶意文件落地执行。这种方式使得该组织的样本有着较低的检 测率，另一方面也加大了安全机构的取证难度。该组织自 2017 年 11 月被曝光以来，不但没有停止攻击，反而更加积 极地改进攻击武器，在土耳其等国家持续活跃，主要攻击目标集中在政府，金融，能源，电信等行业用户。 2021 年 2 月底，Anomali 确定了一场针对阿拉伯联合酋长国（UAE）以及中东地区政府机构的网络间谍活动。 3.1Patchwork 组织针对中国，利用中巴军事演习主题诱饵钓鱼 3.2CharmingKitten 组织展开广泛的网络钓鱼活动事演习主题诱饵钓鱼 3.3StaticKitten 针对阿联酋和科威特政府机构的网络间谍活动 与地缘政治相关 APT 攻击活动 03 2021 年上半年全球主要 APT 攻击活动报告 2021 年上半年全球主要 APT 攻击活动报告 2021 年上半年全球主要 APT 攻击活动报 2021 年上半年全球主要 APT 攻击活动报告 2021 年上半年全球主要 APT 攻击活动报告 2021 年上半年全球主要 APT 攻击活动报8 2021 年上半年全球主要 APT 攻击活动报告 活动目标是安装一个名为 ScreenConnect 的远程管理工具，使用的恶意可执行文件和 url 伪装成科威特外交部相关。 攻击者诱骗用户下载有关阿拉伯国家与以色列之间的相关报告或奖学金主题文件，通过这些邮件中分发的 URL 将收 件人定向到 Onehub 上的文件存储地址，下载包含 ScreenConnect 恶意程序的 .zip 文件。该文件通过远程支持，后 台持久远程控制服务器、共享屏幕会议（包括聊天和语音通信、录制视频和截屏）三个主要功能窃取受害者敏感信息 或下载恶意软件以进行其他攻击操作。 Gamaredon 自 2013 年以来一直很活跃，主要利用受感染域名、动态 DNS 提供商，俄罗斯和乌克兰国家代码顶 级域名（ccTLD）以及俄罗斯托管服务提供商来分发其定制的恶意软件。 2021 年初，研究人员发现了该组织针对乌克兰政府官员的攻击活动，投毒样本以 word 文档附件形式通过钓鱼 邮件传播。攻击方式为 word 模板注入，在打开 word 文档时就会回连 C&C 服务器下载恶意代码。攻击活动从 1 月持 续到今，并使用了围绕时事主题的诱饵文件。 （1）FIN7 犯罪集团近期使用 JSSLoader 进行攻击活动 FIN7 （别名：Carbanak、 Anunak、 Carbon Spider） 是一个针对银行等金融行业的组织， 主要目的是获取经济利益。 其目标包括乌克兰，俄罗斯等东欧国家，以及美国，德国，中国甚至东南亚以及非洲的众多国家及地区。该组织主要 使用针对目标金融机构员工的带有恶意附件的鱼叉式网络钓鱼邮件，受害者一旦打开附件，设备就会被感染并下载恶 意软件， 从而进一步渗透进企业内部。 1月初， Morphisec Labs对FIN7供应链中的新组件JSSLoader进行了详细分析。 JSSLoader 是一个 RAT（远程访问木马），主要功能包括：反调试、数据渗漏、持久性维护、远程命令执行。在最 近被截获的攻击过程中，RAT 通常会执行 DiceLoader，其负责反射加载和执行一个 Cobalt beacon。 2021 年 4 月，FIN7 组织开发了新的 Lizar 工具包（之前称为 Tirion）以在受感染的系统上应用。Lizar 工具包的 结构类似于 Carbanak 后门，主要由客户端、服务器、加载程序、服务端插件、客户端插件组成。Lizar 工具包目前 正处于积极的开发和测试阶段，并且已经用于管理受感染的计算机。 （2）黑客组织 FIN8 携新版 BADHATCH PoS 恶意软件回归 FIN8 是一个为了经济利益对零售，宾馆和医院发起钓鱼攻击的黑客组织。Bitdefender 研究人员发现 FIN8 使用 了新版 BADHATCH 后门攻击美国、加拿大、南非、波多黎各、巴拿马和意大利的保险、零售、化工公司。该组织主 要对 BADHATCH 后门进行了一系列改进以提高持久性和数据收集能力。 （3）CryptoMimic 继续活跃，更新 Cabbage RAT 3.4APT 组织 Gamaredon 使用新版后门持续攻击乌克兰军政人员 4.1金融行业 全球重点行业 APT 组织攻击活动 04 2021 年上半年全球主要 APT 攻击活动报告 2021 年上半年全球主要 APT 攻击活动报告 2021 年上半年全球主要 APT 攻击活动报 2021 年上半年全球主要 APT 攻击活动报告 2021 年上半年全球主要 APT 攻击活动报告 2021 年上半年全球主要 APT 攻击活动报 2021 年上半年全球主要 APT 攻击活动报告 2021 年上半年全球主要 APT 攻击活动报告 2021 年上半年全球主要 APT 攻击活动报9 （1）TeamTNT 利用新恶意软件 Hildegard 攻击 Kubernetes 集群 TeamTNT是一个近年来十分活跃的黑客团伙，其主要通过攻击云服务器进行挖矿活动。2021年1月， TeamTNT 开始利用新恶意软件 Hildegard 攻击 Kubernetes 集群。通过错误配置的 kubelet 获得初始访问权限，该 kubelet 允许匿名访问。一旦在 Kubernetes 集群中站稳脚跟，恶意软件就试图扩散到更多的容器中，并最终发起加 密劫持操作。 （2）TeamTNT 攻击 AWS 用户 TeamTNT 使用硬编码的 shell 脚本窃取 AWS 凭据。其中最终发现超过 4000 例感染实例，这些实例并非都运行 在 AWS 服务器上，但其上部署的恶意软件旨在攻击 AWS 用户。攻击者利用配置错误（例如对外开放的 Redis 实例 和泄露的安全凭据）和漏洞，以获得对系统的远程访问权限并部署下一阶段的攻击，例如安装加密货币矿工。 （3）Sandworm 针对法国 IT 托管提供商进行攻击活动 Sandworm（别名：BlackEnergy）是一个俄罗斯网络间谍组织，从 2009 年开始运作。Sandworm 被发现在过 去四年的时间里攻击了多个法国 IT 提供商。攻击者将 Centreon IT 监视软件作为目标以部署恶意软件，Centreon 的 客户名单包括空客，法航，荷航，法新社（AFP），Euronews，Orange，安赛乐米塔尔，丝芙兰，甚至法国司法部 等知名机构。恶意软件包括 Exaramel 和 PAS Web Shell（又名 Fobushell）后门。攻击者在连接到后门时使用了公共、 商业 VPN 和匿名服务。 （1）APT28 以高碳铬铁生产商登记表为钓鱼诱饵的攻击活动 APT28 是一个具备政府背景的的黑客组织。2021 年 3 月份捕获到两例哈萨克斯坦地区上传的样本，样本以哈 萨克斯坦高碳铬铁生产商 Kazchrome 企业信息为诱饵，启用恶意宏后，恶意宏将执行并释放疑似是 APT28 常用的 Zebrocy 变种远控木马。后续又发现针对俄罗斯和蒙古组织的入侵活动。攻击者使用的 PlugX C2 服务器上托管多个 冒充蒙古新闻实体的域名以及两个与美国的新闻机构“彭博社”有关的子域名。 （1）Lebanese Cedar 针对全球电信公司和互联网服务提供商 Lebanese Cedar（别名：Volatile Cedar）， 该组织自 2012 年以来一直在活动，主要针对国防承包商，电信等 行业。2020 年 1 月，黑客组织 Lebanon Cedar 被披露攻击了电信公司、互联网服务提供商、托管服务提供商以及 专用托管和应用公司。攻击者利用漏洞攻破目标系统，使用 ASPXSpy、Caterpillar 2、Mamad Warning 等多种 web 4.2互联网软件行业 4.3能源行业 4.4电信行业 新的黑客组织CryptoMimic， 其攻击目标是包括日本在内的世界各地的金融机构(尤其是与虚拟货币相关的机构)， 并与 Lazarus 组织有关系。CryptoMimic 在攻击的早期阶段使用 Cabbage RAT 来调查攻击目标，执行 msoRAT 等， 本次更新的 Cabbage RAT 具有多级读取和执行的功能，结构更为复杂。 2021 年上半年全球主要 APT 攻击活动报告 2021 年上半年全球主要 APT 攻击活动报告 2021 年上半年全球主要 APT 攻击活动报 2021 年上半年全球主要 APT 攻击活动报告 2021 年上半年全球主要 APT 攻击活动报告 2021 年上半年全球主要 APT 攻击活动报10 2021 年上半年全球主要 APT 攻击活动报告 shell 进行持久化或部署其它工具，还使用一个名为 JSP 文件浏览器的开源工具的修改版本，以获得基于网络的访问 权并操作存储在远程服务器上的文件。进入网络后，攻击者会部署 Explosive V4 RAT。攻击的主要目标是情报收集 和盗窃目标公司的敏感数据。 （1）Thallium：针对俄罗斯科学院远东研究所的钓鱼攻击 Thallium 是一个来自于朝鲜的攻击组织，通常使用鱼叉式网络钓鱼技术针对包括政府，高等院校等目标，大多数 目标位于美国、日本和韩国。在 2021 年 2 月，Thallium 发起了针对俄罗斯科学院远东研究所韩国学中心高级研究人 员的电子邮件攻击，该研究员主要研究领域是朝鲜经济、对外经济关系、朝韩经济关系。攻击者使用短 URL 生成器 创建了一个特定的短 URL 地址，界面显示为俄罗斯 rambler.ru 服务的登录屏幕且包含默认的受害者账户，以窃取受 害者的密码。当受害者输入密码登录后，登录凭据将会发送给攻击者的远程服务器。 （1）Kimsuky APT 组织针对韩国政府的攻击活动 Kimsuky 是一个来自朝鲜的威胁组织， 至少自 2013 年 9 月以来一直活跃。 该组织长期针对韩国政府、 新闻、 医疗、 金融等机构进行攻击活动，经常以政府相关热点事件为诱饵进行定向攻击。2021 年上半年以来，攻击者不断通过钓 鱼页面来窃取凭据，包括模仿 Gmail、Hotmail、Microsoft Outlook 等，并且通过 Twitter 账户来查找和监控其目标， 以投放精心制作的鱼叉式网络钓鱼邮件。 在最近几次针对韩国政府的攻击中， 其重用托管其网络钓鱼网站的基础设施， 用于 AppleSeed 后门 C2 通信。除了使用 AppleSeed 后门针对 Windows 用户外，该攻击者还使用了 Android 后门 来针对 Android 用户。 （2）APT37 传播 RokRat 变体，利用 VBA 自解码技术 APT37 是一个与朝鲜政府相关的网络威胁组织，该组织至少从 2012 年开始活跃，后来攻击目标逐渐扩展到日本 及东南亚地区。该组织的所使用的攻击方法主要通过电子邮件或手机短信发送带有恶意 .vbs 或者 .exe 等格式的恶意 文件，从而感染受害者。国外研究人员最近发现一个疑似用来攻击韩国政府的会议主题钓鱼文档。该文件包含一个嵌 入式宏，该宏使用 VBA 自解码技术在 Microsoft Office 的存储空间内对其自身进行解码，而无需写入磁盘。该 RAT 功能包括：捕获屏幕截图、收集系统信息（用户名，计算机名，BIOS）、数据渗漏、窃取凭证、文件和目录管理。 （1）Charming Kitten 组织针对医学研究人员展开凭证窃取钓鱼活动 从 2020 年下半年开始，伊朗威胁组织 Charming Kitten 发起以窃取凭据为目的的网络钓鱼活动，活动针对美国 和以色列从事基因、神经病学和肿瘤学研究的高级医学专业人士，该活动被命名为 BadBlood。活动中攻击者使用伪 装成以色列著名物理学家的 Gmail 账户，发送包含核武器主题的钓鱼邮件，最终将受害者引导至伪造的 Microsoft 登 录页面，尝试获取用户凭据。 （2）Transparent Tribe 利用新冠疫苗热点，针对印度医疗行业进行定向攻击 4.5科研机构 4.6政府机构 4.7医疗行业 2021 年上半年全球主要 APT 攻击活动报告 2021 年上半年全球主要 APT 攻击活动报告 2021 年上半年全球主要 APT 攻击活动报 2021 年上半年全球主要 APT 攻击活动报告 2021 年上半年全球主要 APT 攻击活动报告 2021 年上半年全球主要 APT 攻击活动报 2021 年上半年全球主要 APT 攻击活动报告 2021 年上半年全球主要 APT 攻击活动报告 2021 年上半年全球主要 APT 攻击活动报11 2020 年 12 月 13 日，安全公司 FireEye 发布报告，声称全球知名 IT 管理及监控软件供应商 SolarWinds 遭 受供应链攻击。攻击者篡改了 SolarWinds Orion 平台软件更新包，分发被追踪为 SUNBURST 的恶意软件。由于 SolarWinds 的客户群体十分庞大，给全球许多知名公司和政府组织机构都带来了安全危机，范围涉及北美，欧洲， 亚洲和中东的政府，咨询，技术，电信和采掘业实体。 在2021年1月份，安全研究人员发现SolarWinds攻击中使用的另一种被命名为Raindrop的恶意软件。 Raindrop 主要作为 Loader，可提供 Cobalt Strike 有效负载。2021 年 3 月，Microsoft 继续跟踪披露了 Solarwinds 活动后期阶段（横向移动后）使用的三个系列恶意组件（GoldMax、Sibot、GoldFinder）。GoldMax 恶意软件采用 Go 语言编写，主要作为与 c2 进行通信的后门，通过模拟系统管理软件上的计划任务来保持持久性。Sibot 则是一个 由 VBScript 编写的恶意组件，功能包括持久性维护和下载执行有效负载。GoldFinder 是一个采用 Go 语言编写的恶 意组件，可以作为自定义 HTTP 跟踪器，其记录数据包到达硬编码的 C2 服务器的路由或跳数。 2021 年 4 月，安全公司发现 SolarWinds 间谍活动影响的网络基础设施覆盖范围比美国政府和私营行业先前 报告中确定的更为广泛。目前检测到的 18 台服务器很可能通过 Teardrop 和 Raindrop 与该活动中有针对性的次级 Cobalt Strike 有效载荷进行通信。 2021 年 5 月底，国内安全公司发现 Solarwinds 的攻击者利用合法的群发邮件服务 Constant Contact 伪装成一 家美国开发组织，并向各种组织和垂直行业分发恶意 URL，针对 150 多个组织的大约 3000 个帐户。 在 2021 年 3 月 2 日，Microsoft 发布了 Microsoft Exchange Server 2013、2016 和 2019 的紧急带外补丁程序， 更新修复预身份验证远程代码执行（RCE）漏洞链（CVE-2021-26855，CVE- 2021-26857，CVE-2021-26858 和CVE-2021-27065） 。 这些漏洞可以让攻击者在不知道有效帐户凭据的情况下接管任何可访问的Exchange服务器。 目前，研究人员发现多个 APT 组织已经开始使用该漏洞链展开攻击。其中就包括 HAFNIUM，这个黑客组织主要针 对美国多个行业部门的实体，包括传染病研究人员、律师事务所、高等教育机构、国防承包商、政策智库和非政府组 织。同时还有 Winnti Group，Tonto Team 等组织也利用此零日漏洞攻击了不同国家和行来的公司。 安全公司调查了世界各地的国防、政府和金融组织的多个涉及 Pulse Secure VPN 设备被入侵的安全事件，确定 5.1Solarwinds 供应链攻击后续活动 5.2多个零日漏洞被 APT 组织使用 2021 年 4 月，透明部落组织被发现利用疫情相关信息，针对印度医疗行业进行情报窃取的定向攻击活动。涉及 的诱饵文档是 ZIP 包形式，包含一个伪装成 PDF 的快捷方式，攻击者诱使目标点击后，lnk 文件会调用 mshta.exe 加 载隐藏在远程网页中的 hta 脚本。 其它重大 APT 攻击活动 05 2021 年上半年全球主要 APT 攻击活动报告 2021 年上半年全球主要 APT 攻击活动报告 2021 年上半年全球主要 APT 攻击活动报 2021 年上半年全球主要 APT 攻击活动报告 2021 年上半年全球主要 APT 攻击活动报告 2021 年上半年全球主要 APT 攻击活动报12 2021 年上半年全球主要 APT 攻击活动报告 攻击者利用先前披露的 Pulse Secure 漏洞和 2021 年 4 月发现的 CVE-2021-22893 零日漏洞的组合，获得对设备 的管理员级访问权。目前该漏洞补丁在 5 月份已发布。 今年上半年以来，勒索事件频出，不断有公司遭到勒索软件的入侵，有一些甚至已经交付赎金。两个典型的黑客 组织利用勒索软件的事件如下： UNC2447 针对欧洲和北美的组织的活动：利用 SonicWall VPN 零日漏洞（CVE-2021-20016）部署恶意软件 SOMBRAT 和 FIVEHANDS 勒索软件。FIVEHANDS 勒索软件是在 2020 年 10 月首次观察到的，和 HELLOKITTY 勒 索软件相似，基于 DeathRansom 勒索软件。 UNC2198 是一个针对北美各个行业的组织，其目标是通过部署勒索软件破坏网络，从而进行入侵操作获取利益。 2020 年 7 月，UNC2198 开始利用 EDID 感染部署 MAZE 勒索软件。后续又发现在其他活动中部署了 EGREGOR 勒 索软件。 2021 年 3 月，LemonDuck（小黄鸭）挖矿活动再次进行了大版本的更新。其 Linux 挖矿模块引用了大量 Outlaw 僵尸网络的代码，同时新增使用 WebLogic 未授权命令执行漏洞（CVE-2020-14882/14883）攻击模块。 成功利用 WebLogic 漏洞后，将针对 Windows 目标主机下载执行 logic/logico.jsp，针对 Linux 目标主机下载执行 core.png，从而实现横向传播。 2021年5月，Lemon Duck加密货币挖掘僵尸网络更新其基础架构和新组件，以未打补丁的Microsoft Exchange Server 为目标，并尝试下载和执行 Cobalt Strike DNS beacons 有效负载。 我们从 2021 年上半年的 APT 组织攻击活动可以看出，老牌黑客组织使用的 TTP 已经达到非常成熟的阶段，即 使新出现的 APT 组织，也能积极利用开源的各种工具及自动化框架等进行攻击；并且各个组织对于零日漏洞的利用 能力逐步提升，在提高攻击效率的同时，也在不断的加强自身的攻击手法以避免被检测。APT 攻击的主要目标依然 是以获取经济利益为根本的针对银行业及互联网行业的攻击活动，以及具有国家背景的以政府、外交、国防工业为主 要目标的黑客组织活动。 我们预测 2021 年下半年 APT 组织的攻击趋势会有更多变化： 从攻击方式上多种方式组合进行攻击已经常态化，其武器库随着需求不断进化来逃避检测； APT 组织的攻击目标会更具体和定向化，利用双重功能的勒索软件会更受青睐，一次攻击获取巨大的收益的可 5.3勒索软件攻击事件 5.4团伙挖矿活动依然活跃 总结 06 2021 年上半年全球主要 APT 攻击活动报告 2021 年上半年全球主要 APT 攻击活动报告 2021 年上半年全球主要 APT 攻击活动报 2021 年上半年全球主要 APT 攻击活动报告 2021 年上半年全球主要 APT 攻击活动报告 2021 年上半年全球主要 APT 攻击活动报 2021 年上半年全球主要 APT 攻击活动报告 2021 年上半年全球主要 APT 攻击活动报告 2021 年上半年全球主要 APT 攻击活动报13 2021 年上半年 APT 活动时间表 07 能性更高，同是还可获取受害者重要资料数据； 供应链攻击作为网络防御能力较强公司或组织的突破口，会被越来越多的 APT 组织使用，其波及范围和破坏影 响力也是不可估算的。 目标行业会进一步扩展，除了政府、军事、金融、医疗等热门行业，新兴的 5G 网络，体量庞大的 IOT 设备，移 动、远程办公设备等，都可能是 APT 组织下一步瞄准的目标。 时间 APT 事件 APT 组织名称 攻击行业 攻击目标 利用工具 2021 年 6 月 Transparent Tribe 利用印度军事主题诱饵 传播 Crimson 木马 Transparent Tribe 军事 印度 Crimson 2021 年 6 月 Kimsuky APT 组织对韩国国防安全相关部 门的定向攻击活动分析 Kimsuky 政府、 新闻、 医疗、金融 等 韩国 2021 年 6 月 Gamaredon 组织针对乌克兰的钓鱼攻击活 动 Gamaredon 政府 乌克兰 2021 年 6 月 黑客组织 RedFoxtrot，针对亚洲国家 RedFoxtrot 航空航天、 国防、 政府、 电信、 采矿、 研究组织 阿富汗、 印度、 哈萨克斯坦、 吉尔吉斯斯 坦、 巴基斯坦、 塔吉克斯坦和 乌兹别克斯坦 Icefog、PlugX、 RoyalRoad、 Poison Ivy、 ShadowPad、 PCShare 2021 年 6 月 Hades 勒索软件运营商 GOLD WINTER 攻 击策略分析 GOLD WINTER 软件与信息 技术 Cobalt Strike、 Mimikatz、 Advanced Port Scanner、 Hades、PsExec、 Metasploit、 MSBuild 2021 年 6 月 DARKSIDE 供应链攻击分析，针对 CCTV 厂商 DARKSIDE UNC2465 软件与信息 技术 2021 年 6 月 黑客组织 Molerats 使用新恶意软件，以中 东各国政府为目标 Molerats 政府 LastConn 2021 年 6 月 黑客组织 Ferocious Kitten，已在伊朗活 动六年 Ferocious Kitten 伊朗 MarkiRAT 2021 年上半年全球主要 APT 攻击活动报告 2021 年上半年全球主要 APT 攻击活动报告 2021 年上半年全球主要 APT 攻击活动报 2021 年上半年全球