独家披露:悬在政企头上的无形尖刀“蔓灵花(APT-C-08)”

2019年,全球APT威胁与攻防日趋白热化,全球安全报告频繁披露各APT组织攻击行动就是有力实证。就在今年8月,360安全大脑再次率先发现一新型Android木马,并根据CC特点将其命名为SlideRAT。而在对SlideRAT深度分析后,发现该样本来自于APT组织“蔓灵花”。

此后,在对恶意样本持续且严密的监控中,360安全大脑终于在11月捕捉到SlideRAT先后瞄准中国军工行业从事人员、中国驻巴基斯坦人员,并展开定向攻击行动,严重威胁政治军工领域安全。对此,360安全大脑基于长期追踪所获情报及数据,独家发布《蔓灵花(APT-C-08)移动平台攻击活动揭露》报告,全盘披露蔓灵花(APT-C-08)组织肆虐中巴区域的攻击内情与威胁。

瞄准中巴政企及军工,定向打击窃取敏感信息

从360安全大脑追踪监测情况来看,2016年首次曝光至今,蔓灵花(APT-C-08)组织就一直针对中巴一带进行攻击活动,重点瞄准政府、军工和电力等行业相关单位,旨在窃取敏感数据,获得中巴区域情报信息,是目前针对境内目标较为活跃的海外APT组织之一。此次360安全大脑追踪到的最新攻击动向,蔓灵花(APT-C-08)组织就再次将毒手伸向中国、巴基斯坦,以及印巴交界的克什米尔区域,精准渗透党政干部、军工从业人员、赴巴基斯坦留学人员、企业客服人员等具有鲜明军政背景人群。

而在360安全大脑所追踪到的一系列攻击事件中,蔓灵花(APT-C-08)组织将SlideRAT样本伪装成军工业邮件系统辅助登录工具,预谋对一频繁出差沙特的军工业人员发起精准打击。

独家披露:悬在政企头上的无形尖刀“蔓灵花(APT-C-08)”

(某军工业邮件系统首页新手指引)

无独有偶,追溯到2016年7月,某综合性、开放式干部网络学习平台培训的用户,也成为了蔓灵花(APT-C-08)组织的攻击目标。此次攻击中,该组织伪装成某旅游公司,对攻击目标发送钓鱼短信,预谋窃取信息。让人倍感担心的是,从被攻击目标参加培训等信息推测,其极可能为该省一党政干部。

独家披露:悬在政企头上的无形尖刀“蔓灵花(APT-C-08)”

(某干部网络学院官网)

除此之外,还有赴巴基斯坦留学人员也遭遇了蔓灵花(APT-C-08)组织的精准打击。不难看出,蔓灵花(APT-C-08)组织针对军事、政治等敏感机构,意图窃取情报、进行破坏攻击的背后,是昭然若揭的政治预谋。

水坑攻击钓鱼齐上阵,蔓灵花瞄准移动平台

曾有国外安全报告显示:近年来,移动攻击已逐渐从APT组织的“新宠”演变成了“攻击标配”。而360安全大脑对蔓灵花(APT-C-08)组织所捕获的最新攻击样本,亦正印证了这一论点。

从360安全大脑公开数据来看,蔓灵花(APT-C-08)组织移动平台载荷投递的方式主要为水坑攻击和钓鱼链接,其次还会通过短信和WhatsApp进行载荷投递。2017年3月,巴基斯坦某重要工程机械、备件和土木工程项目交易公司官网,发现托管SlideRAT家族样本。2017年9月,交通运输部“智能交通技术与设备”行业研发中心、北京市企业技术中心核心支撑单位,北京一科技有限公司网络发现暗藏SlideRAT家族样本。

独家披露:悬在政企头上的无形尖刀“蔓灵花(APT-C-08)”

(水坑攻击网站)

此外,360安全大脑通过对SlideRAT进行溯源分析发现,该木马还仿冒了GooglePlay、安邮ID、旅游APP等多个合法软件进行钓鱼传播。

独家披露:悬在政企头上的无形尖刀“蔓灵花(APT-C-08)”

(钓鱼网站相关信息)

在载荷投递之外,360安全大脑对SlideRAT样本分析时发现,2016年6月蔓灵花(APT-C-08)组织既已开始使用SlideRAT发起持续性攻击。而相比于其早起使用的开源远程管理工具AndroRAT,两种RAT在代码结构和功能上存在较大差异。对比可见,早起的AndroRAT功能偏向于远程控制,而后期使用的SlideRAT则更倾向于隐私窃取。

独家披露:悬在政企头上的无形尖刀“蔓灵花(APT-C-08)”

(左为AndroRAT结构,右为SlideRAT结构)

全球APT攻防趋于白热化 网络安全威胁一触即发

值得一提的是,报告中360安全大脑详细梳理了一直以来,组织典型攻击事件,再现该组织异常活跃的攻击动向。而渐趋频繁且精准面向军工政企的APT攻击,也证实了近年全球范围内愈演愈烈地APT攻击态势。

独家披露:悬在政企头上的无形尖刀“蔓灵花(APT-C-08)”

(蔓灵花组织攻击时间线)

在APT攻击的巨浪下,不只蔓灵花(APT-C-08)组织异常活跃。2019年,一面是南美洲多国频频因网络攻击遭遇大规模断电、伊朗宣称攻击美国纽约电网;另一面则是北约举办最大网络安全演习“锁盾2019”让4000个虚拟军事系统承受了2000多次攻击、全球100多个国家成立超过200多支网军部队,全球网络安全生态摇摇欲坠。

360董事长兼CEO周鸿祎曾表示,在大安全时代,APT(高级持续威胁)是对国家安全、国防安全、社会安全、基础设施安全等最大的威胁,能够对整个国家的社会生活进行远程打击。APT攻击与过去的网络攻击不可同日而语,也与传统的热战不同。当下貌似和平已久,但战争从未远离,只是形式不同,所以我们必须用作战的视角看待网络安全,全面理解APT攻击。

全球披露发现蔓灵花(APT-C-08最新移动端攻击的 360烽火实验室

关于360烽火实验室,致力于Android病毒分析、移动黑产研究、移动威胁预警以及Android漏洞挖掘等移动安全领域及Android安全生态的深度研究。作为全球顶级移动安全生态研究实验室,360烽火实验室在全球范围内首发了多篇具备国际影响力的Android木马分析报告和Android木马黑色产业链研究报告。实验室在为360手机卫士、360手机急救箱、360手机助手等提供核心安全数据和顽固木马清除解决方案的同时,也为上百家国内外厂商、应用商店等合作伙伴提供了移动应用安全检测服务,全方位守护移动安全。

极客网企业会员

免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。

2019-12-20
独家披露:悬在政企头上的无形尖刀“蔓灵花(APT-C-08)”
2019年,全球APT威胁与攻防日趋白热化,全球安全报告频繁披露各APT组织攻击行动就是有力实证。

长按扫码 阅读全文