# 2020上半年针对我重要机构定向攻击活动揭秘 ## 概述 毒云藤(APT-C-01)组织是一个长期针对国内国防、政府、科技和教育领域的重要机构实施网络间谍攻击活动的APT团伙,其最早的攻击活动可以追溯到2007年,360高级威研究院针对该团伙的攻击活动一直持续在进行追踪。 2019年上半年,360高级威研究院开始注意到APT-C-01组织针对国内科研机构,军工机构,国防机构,航空机构以及政府机构进行频繁的定向攻击活动。在使用360安全大脑进行溯源分析的过程中,我们发现该组织相关攻击活动从2019年5月开始至今持续活跃,从9月开始相关技战术迭代升级,目前针对相关重点目标进行集中攻击。 该组织2020年上半年主要进行了以下的定向攻击:
* 2020年初,在国内抗击疫情期间,该组织利用新型冠状肺炎为诱饵发起定向攻击,主要用于窃取相关的目标用户的邮箱密码 * 2020年上半年期间,该组织曾使用各类诱饵主题的鱼叉邮件,针对特定目标投递lnk恶意附件安装后门程序 * 2020年6月期间,该组织开始针对特定单一人物目标实施定向攻击。 * 近期,该组织针对相关目标又集中发起了一系列定向攻击活动
在本报告中,我们对APT-C-01组织上半年针对我重要机构等目标的定向攻击行动进行分析和总结,后续我们会持续披露该组织的最新攻击活动。 ## 影响范围 在360安全大脑观测的数据范围内,我们发现此次攻击活动主要涉及国内科研机构,军工机构,国防机构,航空机构以及政府机构,其中最多的为科研机构,占比51%。被攻击目标机构的范围分布如下: ![](https://172932098-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-MC0hWgbNjaxH4i6ny5D%2F-MKY_ZT-yLvpohUgNlY3%2F-MKY_pUgwFw10Sdm548_%2Fimage.png?alt=media\&token=5ca7524d-7357-4ff3-a6e1-737a56925dc2) ## 利用新型肺炎话题的攻击活动 2020年初,在国内抗击疫情之时,多个APT组织利用新型肺炎针对相关单位进行了攻击活动,APT-C-01也是其中之一。APT-C-01利用鱼叉邮件针对目标用户进行攻击,附件中通常携带伪造的邮箱钓鱼网站地址链接。 我们发现部分钓鱼链接利用知乎平台进行跳转。例如: 当用户点击钓鱼链接时,利用知乎进行跳转,最终跳转到钓鱼网站(伪造的qq/163等)邮箱文件中转站,诱惑目标用户输入账号密码信息。 ![利用知乎跳转](https://172932098-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-MC0hWgbNjaxH4i6ny5D%2F-MKY_ZT-yLvpohUgNlY3%2F-MKY_zQE1hGa4wWZdqOz%2Fimage.png?alt=media\&token=8ad3fc04-fde8-4c44-bab9-0f95c6514860) ![伪造QQ邮箱登录](https://172932098-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-MC0hWgbNjaxH4i6ny5D%2F-MKY_ZT-yLvpohUgNlY3%2F-MKYa1rK5U6L-O_5qE2N%2Fimage.png?alt=media\&token=87ef3e0e-714c-4a22-9208-4413111800de) ## 利用lnk诱饵文件安装后门程序 \ APT-C-01组织在相关的攻击活动中利用了多种已知的攻击手法针对目标进行了恶意荷载投递,其中lnk诱饵文件的完整攻击流程如下: ![](https://172932098-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-MC0hWgbNjaxH4i6ny5D%2F-MKY_ZT-yLvpohUgNlY3%2F-MKYa6dzh240-ZedVuT1%2Fimage.png?alt=media\&token=5b47e735-fa5d-4d2b-ae5b-25bead79dc5b) 该组织通过向目标发送带有恶意Rar附件的邮件,其中Rar文件中包含有恶意的lnk文件和一个恶意rtf文档,lnk文件通过mshta访问远程C2执行hta文件。 在其中一次攻击活动的hta文件中,我们发现攻击者连注释都没有去除。注释使用繁体文字,进一步暴露了攻击者的身份线索。 ![](https://172932098-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-MC0hWgbNjaxH4i6ny5D%2F-MKY_ZT-yLvpohUgNlY3%2F-MKYaBPLmkDLXh7J3ic9%2Fimage.png?alt=media\&token=ea7a1e41-ae0f-4c03-b084-628c4790a4c4) 恶意的rtf文件中包含一个OLE对象,当rtf运行时,释放后门到%temp%目录下,利用hta文件启动后门程序。 hta文件会删除自身,然后启动真实的rtf文档欺骗用户,最后释放下一阶段植入物到%tmp%\svchost\_.tmp执行。hta脚本执行的命令如下: ![](https://172932098-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-MC0hWgbNjaxH4i6ny5D%2F-MKY_ZT-yLvpohUgNlY3%2F-MKYaHHB3xM-6k65Cv77%2Fimage.png?alt=media\&token=1c301e4d-39a9-4ee9-8019-413003cbdcfa) ## 投递各类窃密木马 \ 2020年3月,我们发现APT-C-01利用钓鱼邮件投递最新的窃密木马进行了多起攻击活动,攻击者利用钓鱼邮件携带恶意附件,附件为压缩包,其中包含APT-C-01的新窃密木马程序。木马程序主要功能为获取目标计算机信息以及窃取特定文件名后缀的文档资料。 木马程序在启动之后,在%temp%目录中释放system.vbs和system.bat文件,调用ShellExecute执行system.vbs文件。system.vbs文件执行system.bat。system.bat文件复制木马程序到%temp%目录。 ![system.vbs的文件内容](https://172932098-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-MC0hWgbNjaxH4i6ny5D%2F-MKY_ZT-yLvpohUgNlY3%2F-MKYaQ8f7XwaN1VcAKMB%2Fimage.png?alt=media\&token=690bac07-33be-447a-baa5-728c235ea309) ![](https://172932098-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-MC0hWgbNjaxH4i6ny5D%2F-MKY_ZT-yLvpohUgNlY3%2F-MKYaT1lHTgsRXyr2wUx%2Fimage.png?alt=media\&token=4de82687-118d-45c1-a1a4-0defc99df6fa) ![system.bat文件内容](https://172932098-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-MC0hWgbNjaxH4i6ny5D%2F-MKY_ZT-yLvpohUgNlY3%2F-MKYacYjadk1FsTCe4Xi%2Fimage.png?alt=media\&token=90c6797c-db24-4ea9-aa61-879e87f100b4) ![](https://172932098-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-MC0hWgbNjaxH4i6ny5D%2F-MKY_ZT-yLvpohUgNlY3%2F-MKYagXPPGqPTktEUC2e%2Fimage.png?alt=media\&token=f2db5d20-1006-4eb9-8bd4-61b4aaacbaf9) 木马程序会弹出一个对话框,用于迷惑中招用户 ![](https://172932098-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-MC0hWgbNjaxH4i6ny5D%2F-MKY_ZT-yLvpohUgNlY3%2F-MKYakYLRePWbCQZS_sx%2Fimage.png?alt=media\&token=85821b9d-ba3b-48f8-9f0e-e87cbb87b299) 然后通过注册表获得中招计算机的ProductName,DisplayName等信息,加密后发送。 ![](https://172932098-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-MC0hWgbNjaxH4i6ny5D%2F-MKY_ZT-yLvpohUgNlY3%2F-MKYanhRnIUb584-d1pC%2Fimage.png?alt=media\&token=a7f5d25d-f3be-4b20-a8dc-b910dcd5c824) 紧接着开始遍历计算机磁盘获取特定文件名后缀的文档资料,并发送至C2。 ![](https://172932098-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-MC0hWgbNjaxH4i6ny5D%2F-MKY_ZT-yLvpohUgNlY3%2F-MKYatIzH0z15nm7srHk%2Fimage.png?alt=media\&token=db0b085b-3958-407b-922e-6678eed57281) ![](https://172932098-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-MC0hWgbNjaxH4i6ny5D%2F-MKY_ZT-yLvpohUgNlY3%2F-MKYayf7xExGEw0r-_rr%2Fimage.png?alt=media\&token=fa64d3bc-0b59-45a3-a0a3-551625059481) ![](https://172932098-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-MC0hWgbNjaxH4i6ny5D%2F-MKY_ZT-yLvpohUgNlY3%2F-MKYb031YE3M3MXlER78%2Fimage.png?alt=media\&token=5189cc12-43b8-472a-a551-69d64992293b) ![](https://172932098-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-MC0hWgbNjaxH4i6ny5D%2F-MKY_ZT-yLvpohUgNlY3%2F-MKYb3guza0ZSjfPNuTg%2Fimage.png?alt=media\&token=bdd67c0f-e24f-46e5-b6bf-64efca1f95b6) 最后释放新的 system.vbs 和 system.bat 用于自删除。 ![](https://172932098-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-MC0hWgbNjaxH4i6ny5D%2F-MKY_ZT-yLvpohUgNlY3%2F-MKYbE1l-wZHce8BgTNN%2Fimage.png?alt=media\&token=357b937e-1711-4a8b-b4a0-39ebba5ea74a) 在此类攻击活动中,我们发现攻击者仍然使用了一个在360独家发布的《毒云藤(APT-C-01)军政情报刺探者揭露》报告中所披露的C2(emailser163.serveusers.com)实施了部分攻击活动。通过这种现象,我们可以发现APT-C-01组织是如何肆无忌惮的进行网络窃密活动,并没有因为安全厂商的披露而有所收敛。 ## 攻击行动C2关联 * 部分C2与早期攻击活动动态域名供应商相同 2018年9月20号,360披露了毒云藤(APT-C-01)组织, 在当时的披露的攻击活动中该组织使用的动态域名服务商changeIP占比最大。而此次攻击活动中,攻击者依然热衷与使用动态域名,域名命名风格与早期已披露攻击活动中使用的相似,喜欢伪造成国内邮箱服务提供商的域名。 * 利用pastebin.com存储hta文件 在2020年3月的一次攻击中,APT-C-01利用 pastebin.com 来存储 hta 文件,攻击者利用 lnk 启动 mshta.exe 来访问 pastebin.com 以获取 hta 文件。 ![](https://172932098-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-MC0hWgbNjaxH4i6ny5D%2F-MKY_ZT-yLvpohUgNlY3%2F-MKYbQiN70UhaqWy-Vg4%2Fimage.png?alt=media\&token=ccc781e8-01b4-412a-9726-8933b8bdecbf) * 使用同一C2进行不同的攻击 APT-C-01经常使用同一个C2发起不同的攻击活动,我们最初注意到该C2的攻击活动为lnk诱饵攻击,攻击使用的钓鱼文档名为 “2020年\*\*\*\*\*\*重点工作任务书.rtf.lnk ”。在后续针对该C2进行分析时发现,该C2下同时还会存在伪装成网易邮箱网站进行的钓鱼攻击,钓鱼页面如下: ![](https://172932098-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-MC0hWgbNjaxH4i6ny5D%2F-MKY_ZT-yLvpohUgNlY3%2F-MKYbXl0JK4d2_gdc8et%2Fimage.png?alt=media\&token=3c43e13f-15fa-4246-ab65-e00605b889b7) ## 附录 ### **MITRE ATT\&CK 技术矩阵** | Tactic | ID | Name | Description | | -------------- | ------------------------- | -------------------------- | ----------------- | | Initial Access | T1268 | Conduct social engineering | 使用社会工程学针对目标定制鱼叉邮件 | | T1193 | Spearphishing Attachment | 利用钓鱼邮件附件进行初始攻击 | | | T1192 | Spearphishing Link | 利用钓鱼链接进行初始攻击 | | | T1204 | User Execution | 诱骗用户点击执行 | | | T1194 | Spearphishing via Service | 制作假邮箱网站骗取用户密码 | | | Execution | T1170 | Mshta | 利用hta脚本安装后门程序 | | T1059 | Command-Line Interface | 利用cmd.exe执行命令 | | ### **APT-C-01组织攻击行动中使用的部分诱饵文件名** | **文件名** | | ---------------------------- | | 关于调整部分优抚对象等人员抚恤和生活补助标准的通知 | | 会议资料-定稿 | | 2018-2020军民融合\*\*\*\*\* | | \*\*\*\*\*\*\*手册 | | \*\*\*\*\*\*\*\*题库 | | 2020\*\*\*\*\*\*\*\*最新题库\_目录 | | 云端\*\*\*\*资料 | | \*\*\*\*\*\*资格 | | \*\*\*\*\*\*参考手册 | | 中\*\*\*\*\*\*发文件 | | 中\*\*\*\*\*\*中心工作通知 | | 2020新法律法规汇总表 | | 院科\*\*\*\*\*\*\*推荐表 | | 会\*\*\*\*\*\*定稿 | | \*\*\*\*\*\*\*国际简介 | | 关于\*\*\*\*\*建设的意见 | | 航天\*\*\*\*8建议书 | | 航天\*\*\*\*\*方向建议 | | \*\*\*\*\*\*\*试验报告 | | 武汉肺炎\*\*\*\* | | 军\*\*\*\*\*\*规定 | | 军\*\*\*\*\*\*\*总表 | | \*\*\*\*\*\*决策重点实验室 | | 中华全国供\*\*\*\*\*的通知 | | 2020年\*\*\*\*\*任务 |