追蹤調查來(lái)自印度的針對中國和南亞國家的大規模APT攻擊

　　Forcepoint安全實(shí)驗特別小組這次發(fā)布的APT攻擊跟蹤報告被命名為MONSOON。 調查表明，這些攻擊活動(dòng)主要針對中國的各個(gè)行業(yè)，以及南亞地區的一些國家政府機構。MONSOON從2015年12月開(kāi)始發(fā)起攻擊，截至2016年7月攻擊活動(dòng)仍在持續。在調查MONSOON過(guò)程中所收集到的證據里，有一些指標表明MONSOON和OPERATION HANGOVER存在高度相似。這些指標包括相同的攻擊架構，類(lèi)似的戰術(shù)、技術(shù)與規程（即TTP），人口統計學(xué)意義上相似的受害者，以及都在印度次大陸進(jìn)行的地理屬性。

　　總體來(lái)看， MONSOON所用的惡意軟件一般通過(guò)附有“武器化”文檔的電子郵件發(fā)送給特定目標。這些文檔的主題幾乎都與政治相關(guān)，大多選自近期的熱門(mén)政治事件。其所使用的惡意軟件包括Unknown Logger Public, TINYTYPHON, BADNEWS和AutoIt后門(mén)。其中非常獨特的是，BADNEWS利用RSS訂閱、GitHub、論壇、博客和動(dòng)態(tài)DNS主機向遠程C&C服務(wù)器進(jìn)行通信。調查所收集到的證據表明， OPERATION HANGOVER這個(gè)團體操縱MONSOON至少自2010年開(kāi)始活躍，在跟蹤的時(shí)間內，他們使用了至少72個(gè)誘餌文件中，大多數使用了當前熱門(mén)新聞主題詞，并高度契合受害者的興趣，其中，用的最多的誘餌文件名為China_Military_PowerReport（中國軍事力量報告）。MONSOON的受害者遍布 110多個(gè)國家，被攻擊的IP地址多達6300多個(gè)，其中，61%的受害者來(lái)自中國，而攻擊則來(lái)自印度次大陸。

　　該報告的追蹤調查采用的是Forcepoint公司獨特的APT攻擊七步曲方法論。具體分析攻擊全過(guò)程如下：

　　Forcepoint安全實(shí)驗室特別調查組在跟蹤調查中發(fā)現，APT攻擊者起初通過(guò)對當下中國和南亞地區關(guān)注的時(shí)事進(jìn)行分析，并針對受害人的關(guān)注點(diǎn)，偽造相關(guān)“時(shí)事新聞”及報告誘使他們去點(diǎn)擊查看。在相關(guān)樣本的分析過(guò)程中，我們還發(fā)現APT攻擊者對受害者可能使用的防病毒軟件進(jìn)行猜測（例如360 Total Security）并通過(guò)Virus Total網(wǎng)站對惡意文件進(jìn)行防病毒軟件繞過(guò)檢測。

　　為了吸引受害者的注意，APT攻擊者采用第三方郵件服務(wù)器向受害者發(fā)送魚(yú)叉式釣魚(yú)郵件，并偽裝郵件發(fā)送者，其釣魚(yú)郵件的主題多與中國時(shí)事政治相關(guān)，以吸引受害者查看閱讀郵件及相關(guān)連接。與此同時(shí)，攻擊者通過(guò)建立多個(gè)虛假新聞網(wǎng)站、操控多個(gè)發(fā)布虛假新聞的社交軟件（FACEBOOK、TWITTER、Google Plus）發(fā)布虛假新聞以引誘受害者點(diǎn)擊和注冊等。

　　通過(guò)對釣魚(yú)郵件的分析，我們發(fā)現APT攻擊者會(huì )在郵件中附加一個(gè)或多個(gè)惡意連接，這些鏈接指向惡意文檔的下載地址，以此利用受害者的好奇心誘使他們去閱讀和下載惡意文檔。

　　通過(guò)分析相關(guān)惡意文檔的樣本，我們發(fā)現，這些文檔均包含了多個(gè)已知的微軟Office漏洞（具體參看相關(guān)報告中涉及CVE編號）。 同時(shí)，惡意站點(diǎn)還會(huì )探測受害者的計算機是否安裝了Silverlight軟件，并對該關(guān)鍵漏洞進(jìn)行滲透。

　　一旦受害者訪(fǎng)問(wèn)了包含漏洞的惡意文檔，攻擊者將會(huì )利用漏洞將多個(gè)木馬及后門(mén)程序植入到目標計算機中。然后這些惡意程序會(huì )通過(guò)偽裝系統進(jìn)程、軟件加密、隱藏免殺、DLL注入、修改注冊表等多種技術(shù)在受害者計算機中駐留。

　　通過(guò)對惡意軟件的逆向分析，我們獲取了大量包含惡意C&C服務(wù)器的地址及指令。其中包括：RSS訂閱、GitHub、論壇、博客及動(dòng)態(tài)DNS等。攻擊者在這些渠道發(fā)布加密的惡意指令，以控制受害者的計算機，并同時(shí)更新升級惡意軟件。

　　攻擊者通過(guò)C&C方式控制受害者的計算機，并利用本地惡意軟件對受害者的資料實(shí)施檢索、鍵盤(pán)記錄、截屏等操作，最終將獲取的機密文檔上傳至遠程惡意C&C服務(wù)器中。據初步估計，我們所掌握的C&C服務(wù)器中就有上千份被竊取的文檔，大部分為政府機構文檔，還有一些高度涉秘文檔，如海關(guān)清關(guān)文檔、金融數據、技術(shù)說(shuō)明文檔等。

　　來(lái)自印度的針對中國和南亞國家的大規模APT攻擊的調查追蹤分析表明，OPERATION HANGOVER這個(gè)團體所采用的攻擊方案更加隱蔽，攻擊技術(shù)不斷升級，用戶(hù)畫(huà)像越來(lái)越精準，所以，用戶(hù)在使用網(wǎng)絡(luò )時(shí)應該時(shí)刻防范惡意軟件的加載和攻擊。Forcepoint安全實(shí)驗室會(huì )持續提供安全的見(jiàn)解、技術(shù)和專(zhuān)業(yè)知識，使客戶(hù)專(zhuān)注于自己的核心業(yè)務(wù)發(fā)展，而不必太過(guò)在安全性上花費時(shí)間和精力。Forcepoint也會(huì )不斷加強和主流機構的合作，繼續追蹤和調查各種攻擊的狀況，努力識別新出現的網(wǎng)絡(luò )威脅并對其進(jìn)行深入了解，并提供實(shí)用的決策方案，向包括客戶(hù)、合作伙伴及大眾等在內的廣大利益相關(guān)者傳遞有用的安全警醒信息，為廣大網(wǎng)絡(luò )用戶(hù)保駕護航。

　　Forcepoint的產(chǎn)品系列，覆蓋了安全威脅的全過(guò)程，極大地保障了用戶(hù)、數據和網(wǎng)絡(luò )免受最強悍的對手、意外或惡意的內外部威脅與攻擊。Forcepoint保護云中、路上或者辦公室里等所有時(shí)點(diǎn)的數據安全，簡(jiǎn)化合規性，優(yōu)化決策并實(shí)施有效修復。在世界各地，有超過(guò)20,000家機構在使用Forcepoint。Forcepoint總部設在美國德克薩斯州的Austin，我們的銷(xiāo)售業(yè)務(wù)、服務(wù)業(yè)務(wù)、安全實(shí)驗室和產(chǎn)品開(kāi)發(fā)部門(mén)遍布世界各地。