您所在的位置: 首頁 >
安全研究 >
安全通告 >
全球疫情相關(guān)網(wǎng)絡攻擊分析報告
概要
自今年年初新冠病毒在國內(nèi)全面爆發(fā),奇安信威脅情報中心便立刻意識到在這樣的非常時期,網(wǎng)絡攻擊者絕不會自我“隔離”。保障關(guān)鍵業(yè)務系統(tǒng)的安全穩(wěn)定運行及信息安全、重要網(wǎng)站的正常運轉(zhuǎn)和內(nèi)容不被篡改、防范和阻斷利用疫情相關(guān)熱點的APT、黑產(chǎn)等網(wǎng)絡攻擊,是另一個當務之急。
在春節(jié)期間,奇安信紅雨滴團隊和奇安信CERT便建立了圍繞疫情相關(guān)網(wǎng)絡攻擊活動的監(jiān)控流程,以希冀在第一時間阻斷相關(guān)攻擊,并發(fā)布相關(guān)攻擊預警。
截至目前,奇安信紅雨滴團隊捕獲了數(shù)十個APT團伙利用疫情相關(guān)信息針對境內(nèi)外進行網(wǎng)絡攻擊活動的案例,捕獲了數(shù)百起黑產(chǎn)組織傳播勒索病毒、遠控木馬等多類型惡意代碼的攻擊活動。并通過基于奇安信威脅情報中心威脅情報數(shù)據(jù)的全線產(chǎn)品阻斷了數(shù)千次攻擊。相關(guān)詳細信息均及時上報國家和地方相關(guān)主管部門,為加強政企客戶和公眾防范意識,也將其中部分信息摘要發(fā)布。
在本報告中,我們將結(jié)合公開威脅情報來源和奇安信內(nèi)部數(shù)據(jù),針對疫情期間利用相關(guān)信息進行的網(wǎng)絡攻擊活動進行分析,主要針對疫情相關(guān)網(wǎng)絡攻擊態(tài)勢、APT高級威脅活動、網(wǎng)絡犯罪攻擊活動,以及相關(guān)的攻擊手法進行詳細分析和總結(jié)。
主要觀點
從奇安信對疫情期間監(jiān)控到的各類網(wǎng)絡攻擊活動來看。在疫情爆發(fā)初期,我們捕獲到的攻擊來源主要集中在嗅覺靈敏的國家級APT組織以及網(wǎng)絡黑產(chǎn)團伙,例如:海蓮花、摩訶草、毒云藤、金眼狗等等。他們利用受害者對于疫情熱點信息的高關(guān)注度,使用疫情相關(guān)內(nèi)容作引誘,并多采用釣魚、社交網(wǎng)絡等方式針對特定人群和機構(gòu)進行定向攻擊。
而在疫情爆發(fā)的中期,各類網(wǎng)絡犯罪團伙輪番登場。我們持續(xù)監(jiān)控到國內(nèi)外諸多網(wǎng)絡犯罪團伙通過疫情熱點信息傳播勒索病毒、銀行木馬、遠控后門等惡意程序的斂財活動。
隨著新冠肺炎的全球性蔓延,當前我們監(jiān)控到越來越多的APT組織、黑產(chǎn)團伙、網(wǎng)絡犯罪組織加入到利用疫情熱點的攻擊活動中。例如近期新冠肺炎爆發(fā)的國家意大利,我們就捕獲了多個針對意大利并利用新冠肺炎為誘餌的網(wǎng)絡攻擊活動。從當前奇安信針對疫情期間的網(wǎng)絡攻擊大數(shù)據(jù)分析來看,隨著疫情的全球性蔓延,相關(guān)的網(wǎng)絡攻擊已存在蔓延態(tài)勢的苗頭。
全球疫情相關(guān)網(wǎng)絡攻擊趨勢
數(shù)量和趨勢
自今年1月底新冠疫情爆發(fā)開始,嗅覺靈敏的國家級APT組織以及網(wǎng)絡黑產(chǎn)團伙便率先展開在網(wǎng)絡空間借疫情信息進行的網(wǎng)絡攻擊活動。1月底到2月中旬,由于大規(guī)模疫情僅限于中國境內(nèi),這一期間,疫情相關(guān)的網(wǎng)絡攻擊活動也主要表現(xiàn)為針對中國境內(nèi)。而隨著2月中旬后,新冠疫情開始在全球范圍內(nèi)爆發(fā),隨之而來的網(wǎng)絡攻擊行動也逐步擴撒到世界范圍,攻擊活動越發(fā)頻繁,越來越多的APT組織、黑產(chǎn)團伙、網(wǎng)絡犯罪組織加入到利用疫情熱點的攻擊活動中。
誘餌關(guān)鍵字
根據(jù)奇安信紅雨滴團隊基于疫情相關(guān)網(wǎng)絡攻擊活動的監(jiān)控來看,網(wǎng)絡空間的攻擊隨著新冠病毒的擴撒而變化。前期,只有中國境內(nèi)疫情嚴重時,相關(guān)網(wǎng)絡攻擊便集中針對漢語使用者,并多借以疫情相關(guān)中文熱點誘餌信息進行攻擊。相關(guān)誘餌包含的信息例如:“口罩價格”、“疫情防控”、“逃離武漢”、”信息收集”、”衛(wèi)生部”等等。
而到了2月中旬,歐洲、日韓等國家疫情突然進入爆發(fā)期,針對全球范圍的網(wǎng)絡攻擊開始激增,誘餌信息開始轉(zhuǎn)變?yōu)槎喾N語言,以” Covid19”、”Covid”、”mask”、”CORONA VIRUS”、”Coronavirus”、”COVID-19”等誘餌信息為主。
惡意文件類型
而在本輪疫情相關(guān)的網(wǎng)絡攻擊活動中涉及的惡意文件類型來看,大部分攻擊者傾向于直接將PE文件加上疫情相關(guān)的誘餌名并通過郵件、社交媒體等方式傳播。其次是帶有惡意宏或者Nday漏洞的文檔類樣本。同時,移動端的攻擊數(shù)量也不在少數(shù)。
受害目標的國家和地區(qū)
通過疫情相關(guān)的網(wǎng)絡攻擊目標來看,中國、美國、意大利等疫情影響最為嚴重的國家也恰巧成為疫情相關(guān)攻擊最大的受害地區(qū),這說明網(wǎng)絡攻擊者正是利用了這些地區(qū)疫情關(guān)注度更高的特點來執(zhí)行誘導性的網(wǎng)絡攻擊。下圖為受疫情相關(guān)網(wǎng)絡攻擊的熱度地圖,顏色越深代表受影響更大。
活躍的APT和黑產(chǎn)團伙
通過紅雨滴團隊的疫情攻擊監(jiān)測發(fā)現(xiàn),黑產(chǎn)團伙仍然是疫情相關(guān)網(wǎng)絡攻擊活動的最主要來源,其通過疫情相關(guān)誘餌傳播銀行木馬、遠控后門、勒索挖礦、惡意破壞軟件等惡意代碼,近期紅雨滴團隊還捕獲了偽裝成世衛(wèi)組織傳播惡意木馬的多起網(wǎng)絡攻擊活動。
而國家級APT組織當然也是嗅覺最靈敏的網(wǎng)絡攻擊團伙,在疫情爆發(fā)的整個周期,針對疫情受害嚴重的國家和地區(qū)的APT攻擊活動就沒有停止過。已被公開披露的APT攻擊事件就已達數(shù)十起。我們在下圖中列舉了截止目前借疫情進行APT攻擊的團伙活躍度。
疫情相關(guān)攻擊活動分析
奇安信紅雨滴團隊基于疫情網(wǎng)絡攻擊事件感知系統(tǒng),捕獲了數(shù)百例疫情相關(guān)的APT攻擊與網(wǎng)絡犯罪等攻擊活動。以下部分分別介紹APT和網(wǎng)絡犯罪相關(guān)的威脅活動和攻擊技術(shù)。
針對性的APT高級威脅活動
APT攻擊,即高級可持續(xù)威脅攻擊,也稱為定向威脅攻擊,指某組織對特定對象展開的持續(xù)有效的攻擊活動。這種攻擊活動具有極強的隱蔽性和針對性,通常會運用受感染的各種介質(zhì)、供應鏈和社會工程學等多種手段實施先進的、持久的且有效的威脅和攻擊。
摩訶草
摩訶草組織(APT-C-09),又稱 HangOver、VICEROY TIGER、The Dropping Elephant、 Patchwork,是一個來自于南亞地區(qū)的境外 APT 組織,該組織已持續(xù)活躍了 7 年。摩訶草組 織最早由 Norman 安全公司于 2013 年曝光,隨后又有其他安全廠商持續(xù)追蹤并披露該組織的最新活動,但該組織并未由于相關(guān)攻擊行動曝光而停止對相關(guān)目標的攻擊,相反從 2015 年開始更加活躍。摩訶草組織主要針對中國、巴基斯坦等亞洲地區(qū)國家進行網(wǎng)絡間諜活動,其中以竊取敏感信息為主。相關(guān)攻擊活動最早可以追溯到 2009 年 11 月,至今還非?;钴S。在針對中國地區(qū)的攻擊中,該組織主要針對政府機構(gòu)、科研教育領域進行攻擊,其中以科研教育領域為主。
在疫情爆發(fā)初期,該組織便利用” 武漢旅行信息收集申請表.xlsm”,” 衛(wèi)生部指令.docx”等誘餌對我國進行攻擊活動。同時,該組織也是第一個被披露利用疫情進行攻擊的APT組織。
蔓靈花
蔓靈花(Bitter)是疑似具有南亞背景的APT組織,長期針對中國、巴基斯坦等國家進行攻擊活動,該組織主要針對政府、軍工業(yè)、電力、核等單位進行攻擊,竊取敏感資料,具有強烈的政治背景。
摩訶草率先借疫情發(fā)動攻擊后,同樣具有南亞背景的蔓靈花也開始偽裝國內(nèi)某政府單位進行攻擊活動。
海蓮花
海蓮花(OceanLotus)是一個據(jù)稱越南背景的 APT 組織。該組織最早于 2015 年 5 月被天眼 實驗室所揭露并命名,其攻擊活動最早可追溯到 2012 年 4 月,攻擊目標包括中國海事機構(gòu)、 海域建設部門、科研院所和航運企業(yè),后擴展到幾乎所有重要的組織機構(gòu),并持續(xù)活躍至今。
而實際上,根據(jù)各安全廠商機構(gòu)對該組織活動的拼圖式揭露,海蓮花團伙除針對中國發(fā)起攻擊之外,其攻擊所涉及的國家分布非常廣泛,包括越南周邊國家,如柬埔寨、泰國、老撾等, 甚至包括越南的異見人士、媒體、地產(chǎn)公司、外資企業(yè)和銀行。
奇安信紅雨滴(RedDrip)安全研究團隊(前天眼實驗室)一直對海蓮花團伙的活動保持高強度的跟蹤,疫情期間,一直針對國內(nèi)進行攻擊的海蓮花自然不會放過機會。不但利用疫情相關(guān)信息進行攻擊,還利用了湖南爆發(fā)的禽流感等信息進行攻擊。并采用WPS白加黑的方式執(zhí)行木馬。
毒云藤
毒云藤,又稱APT-C-01, 綠斑,是一個長期針對中國國防、政府、科技、教育以及海事機構(gòu)等重點單位和部門的APT組織,該組織最早的活動可以追溯到2007年。
疫情期間,該組織開展了多次疫情相關(guān)的釣魚行動,分別構(gòu)造了虛假的qq郵箱,163郵箱等登陸界面,以”《南部杜氏中醫(yī)》獻方”,“新表.xls”等為誘餌,誘導受害者輸入賬戶密碼登陸下載文件。從而竊取受害者賬號密碼
Hades
Hades組織最早被披露是在2017年12月22日針對韓國平昌冬奧會的攻擊事件,其向冬奧會郵箱發(fā)送帶有惡意附件的魚叉郵件,投遞韓文的惡意文檔,控制域名為偽裝的韓國農(nóng)林部域名地址。
該組織使用被命名為OlympicDestroyer的惡意代碼,其對目標主機系統(tǒng)具有破壞性
奇安信紅雨滴團隊在日常的疫情攻擊監(jiān)測中,發(fā)現(xiàn)一例偽裝為烏克蘭衛(wèi)生部公共衛(wèi)生中心發(fā)布疫情信息的攻擊樣本。在捕獲該樣本的第一時間便對其進行了公開披露。
ProjectM
ProjectM又稱APT36, Transparent Tribe,Operation C-Major。是疑似具有南亞政府背景的攻擊組織,其主要針對周邊國家地區(qū)進行攻擊活動。
奇安信威脅情報中心公開披露了該組織利用新冠病毒信息進行攻擊的樣本。
Kimsuky
Kimsuky,別名Mystery Baby,Baby Coin,Smoke Screen,Black Banshe。疑似具有東北亞背景,主要針對韓國,俄羅斯進行攻擊活動,最早有卡巴斯基披露。韓國安全公司認為其與Group123存在部分重疊。
3月初,韓國疫情開始爆發(fā),而作為長期針對韓國進行網(wǎng)絡攻擊行動的APT,Kimsuky自然不會放過如此好機會,也利用疫情相關(guān)信息對韓國進行了攻擊活動。
KONNI
Konni組織被認為是來自東北亞的APT團伙,韓國安全廠商ESTsecurity通過關(guān)聯(lián)分析,認為其與Kimsuky組織存在聯(lián)系。
在疫情期間,Konni組織也沒讓Kimsuky單兵作戰(zhàn),Konni使用其常用的攻擊手法展開了疫情期間的攻擊活動。
TA505
TA505組織由Proofpoint在2017年9月首次命名,其相關(guān)活動可以追溯到2014年。該組織主要針對銀行金融機構(gòu),采用大規(guī)模發(fā)送惡意郵件的方式進行攻擊,并以傳播Dridex、Locky等惡意樣本而臭名昭著
在疫情期間,紅雨滴團隊捕獲該團伙多個以“COVID-19-FAQ.xls”為名的攻擊文檔。
網(wǎng)絡犯罪及相關(guān)攻擊技術(shù)
黑產(chǎn)等網(wǎng)絡犯罪攻擊不同于APT攻擊具有非常獨特的定向性,通常采用撒網(wǎng)的方式,四處傳播惡意代碼,以達到牟利的目的。在疫情期間,紅雨滴團隊捕獲多個黑產(chǎn)團體的攻擊行動,包括已被披露的金眼狗等。
由于黑產(chǎn)團伙組織較多,且攻擊活動基本一致,故本節(jié)不以團伙分類,而從攻擊手法上進行闡述。
魚叉郵件攻擊
釣魚郵件在網(wǎng)絡攻擊活動中是最常見的一種投遞方式,黑客通過熱點新聞等信息誘導受害者執(zhí)行郵件附件,從而控制受害者計算機。以下為部分利用疫情熱詞并通過釣魚郵件分發(fā)的不同惡意附件類型樣本分析。
Windows平臺相關(guān)攻擊活動
此類攻擊方式中,黑客通常將疫情相關(guān)的熱門詞匯作為文件名,通過社交媒體等方式進行傳播。
博彩相關(guān)
近幾年隨著在線博彩的需求逐漸上升,東南亞等國從事博彩相關(guān)人員越來越多,而一些黑產(chǎn)團伙則格外喜歡針對這些人群,上演黑吃黑。
此類攻擊中誘餌一般以“色情”,“暴力”,“熱點新聞”等關(guān)鍵字為主。
Windows勒索軟件
勒索病毒,是伴隨數(shù)字貨幣興起的一種新型病毒木馬,通常以垃圾郵件、服務器入侵、網(wǎng)頁掛馬、捆綁軟件等多種形式進行傳播。機器一旦遭受勒索病毒攻擊,將會使絕大多數(shù)文件被加密算法修改,并添加一個特殊的后綴,且用戶無法讀取原本正常的文件,對用戶造成無法估量的損失。勒索病毒通常利用非對稱加密算法和對稱加密算法組合的形式來加密文件,絕大多數(shù)勒索軟件均無法通過技術(shù)手段解密,必須拿到對應的解密私鑰才有可能無損還原被加密文件。黑客正是通過這樣的行為向受害用戶勒索高昂的贖金,這些贖金必須通過數(shù)字貨幣支付,一般無法溯源,因此危害巨大。
疫情期間,多類勒索軟件也開始利用相關(guān)信息進行傳播,包括Dharma/Crysis,CXK惡搞勒索,Android勒索等,其中一例勒索樣本還將自己命名為COVID-19RANSOMWARE
挖礦
當今互聯(lián)網(wǎng)的高速發(fā)展,孕育出了一批高新產(chǎn)業(yè),如人工智能、分布式計算、區(qū)塊鏈、無人駕駛等。這些高新技術(shù)為人們生活帶來便利的同時,引發(fā)的安全問題也日益凸顯。隨著區(qū)塊鏈技術(shù)的普及,其涉及的虛擬數(shù)字貨幣也創(chuàng)造了巨大的財富。這些虛擬貨幣可以通過“挖礦”的形式獲取,“礦工”越多,利益越大。因此,近年來有越來越多的黑客團伙通過非法入侵控制互聯(lián)網(wǎng)上的計算機并植入木馬程序偷偷進行挖礦活動,為自己謀取暴利。
疫情期間,也有不法分子以新型冠狀病毒查詢?yōu)檎T餌,投遞了永恒之藍挖礦蠕蟲。
移動終端相關(guān)攻擊活動
隨著移動辦公的發(fā)展,不論是企業(yè)員工還是國家單位工作人員,都會用手機訪問公司內(nèi)部數(shù)據(jù),根據(jù)IBM的研究,用戶對移動設備上的網(wǎng)絡釣魚攻擊的回應是桌面的三倍,而原因僅僅是因為手機是人們最先看到消息的地方,而且企業(yè)數(shù)據(jù)、政府數(shù)據(jù)的泄露導致的損失,很多時候是無法挽回的。如今,移動安全已經(jīng)不僅僅是個人手機安全的問題,移動訪問也越來越成為企業(yè)安全威脅的重要的來源,甚至影響到國家安全。
在疫情期間,Android木馬也相繼出現(xiàn)蹭”新冠肺炎”的熱度。不少Android木馬以”新冠病毒”為關(guān)鍵字進行投遞,包括老牌Android木馬家族Anubis、Cerberus(地獄犬)、新型木馬家族Cerberus、SMS蠕蟲以及CovidLock勒索病毒等等。
Anubis
本次監(jiān)測到的Anubis銀行木馬變種繼承了之前的功能,代碼核心以遠控為主體,釣魚、勒索等其它功能為輔,目的則為獲取用戶關(guān)鍵信息,竊取用戶財產(chǎn)。不同之處在于,其將一部分配置信息加密存放在了本地等,而且配置信息中使用了大量的中文,其獲取C2的方式也進行了改變。
Cerberus
Cerberus木馬與其它銀行木馬一樣功能眾多,而且由于其一直在地下論壇中進行租賃,可以根據(jù)“客戶”的不同需求進行功能的增加等,加上其作者的高調(diào)做派,儼然已經(jīng)接過了Anubis的邪惡傳承,成為了目前威脅最大的銀行木馬。
Cerberus木馬運行以后會誘騙用戶激活設備管理器、隱藏自身圖標、防止卸載等方式進行自我保護。Cerberus木馬會獲取并上傳用戶手機中短信、通訊錄、手機已安裝的應用信息、gmail信息等。此外Cerberus木馬還可以截取用戶手機屏幕,電話呼叫轉(zhuǎn)移,獲取用戶銀行賬號、密碼等惡意操作,并可以通過Team Viewe進行遠控。
SMS蠕蟲
樣本運行后,會打開在線口罩購買平臺https[:]//masksbox[.]com,嘗試竊取用戶購買時輸入的卡號和密碼。
同時,該惡意程序還會以SMS短信的方式將自己傳播給通訊錄上的所有人。短信內(nèi)容為:Get safety from corona virus by using Facemask, click on this link download the app and order your own face mask – http[:]//coronasafetymask[.]tk
手機勒索軟件
該勒索木馬跟一般勒索病毒一樣,運行后誘騙用戶激活設備管理器,之后強制對用戶手機進行鎖屏,并修改用戶手機解鎖密碼,同時對用戶進行勒索。勒索軟件威脅要在48小時之內(nèi)索要100美元的比特幣,否則會刪除用戶手機個人信息
該樣本將解鎖密碼硬編碼在樣本中,若不小心中招,可通過輸入“4865083501“進行解鎖
各類特殊文件格式
奇安信紅雨滴團隊捕獲的樣本集中,除了常見的文件格式外,還捕獲幾例特殊文件格式樣本,如SLK,CHM等,此類樣本通過也是通過社交媒體或郵件進行傳播,但基于公開信息未捕獲其傳播油價,故將此類樣本單獨闡述
SLK
近期,意大利疫情出現(xiàn)大爆發(fā),隨之而來的網(wǎng)絡攻擊活動也越演越烈,奇安信紅雨滴團隊捕獲一例利用特殊格式(slk)在意大利傳播的惡意樣本。
SymbolicLink (Slk)是一種Microsoft文件格式,通常用于Excel表格更新數(shù)據(jù),黑客利用這一特性將惡意的powershell代碼添加其中,當用Excel打開文件時,惡意代碼將被執(zhí)行起來。由于這類格式不常見,所以具有一定程度的免殺效果。
CHM
CHM(Compiled HelpManual)即“已編譯的幫助文件”。是微軟新一代的幫助文件格式,利用HTML作源文,把幫助內(nèi)容以類似數(shù)據(jù)庫的形式編譯儲存。CHM支持Javas cript、VBs cript、ActiveX、Java Applet、Flash、常見圖形文件(GIF、JPEG、PNG)、音頻視頻文件(MID、WAV、AVI)等等。所以在大多數(shù)人眼中,CHM等同于電子書,是沒有危害的軟件。
LNK
LNK是MicrosoftWindows用于指向可執(zhí)行文件或應用程序的快捷方式文件的文件擴展名。LNK文件通常用于創(chuàng)建開始菜單和桌面快捷方式。LNK代表LiNK。LNK文件可以通過更改圖標偽裝成合法文檔。
惡意腳本類
JAR
JAR文件是在安裝了JRE等JAVA運行環(huán)境的操作系統(tǒng)上能直接運行的可執(zhí)行程序。由于JAVA具有跨平臺的特性,所以這類文件可以在安裝了JAVA運行時庫的大部分操作系統(tǒng)上運行,包括Windows、Linux、macOSX、Android。