2020上半年针对我重要机构定向攻击活动揭秘

概述

毒云藤（APT-C-01）组织是一个长期针对国内国防、政府、科技和教育领域的重要机构实施网络间谍攻击活动的APT团伙，其最早的攻击活动可以追溯到2007年，360高级威研究院针对该团伙的攻击活动一直持续在进行追踪。

2019年上半年，360高级威研究院开始注意到APT-C-01组织针对国内科研机构，军工机构，国防机构，航空机构以及政府机构进行频繁的定向攻击活动。在使用360安全大脑进行溯源分析的过程中，我们发现该组织相关攻击活动从2019年5月开始至今持续活跃，从9月开始相关技战术迭代升级，目前针对相关重点目标进行集中攻击。

该组织2020年上半年主要进行了以下的定向攻击：

2020年初，在国内抗击疫情期间，该组织利用新型冠状肺炎为诱饵发起定向攻击，主要用于窃取相关的目标用户的邮箱密码
2020年上半年期间，该组织曾使用各类诱饵主题的鱼叉邮件，针对特定目标投递lnk恶意附件安装后门程序
2020年6月期间，该组织开始针对特定单一人物目标实施定向攻击。
近期，该组织针对相关目标又集中发起了一系列定向攻击活动

在本报告中，我们对APT-C-01组织上半年针对我重要机构等目标的定向攻击行动进行分析和总结，后续我们会持续披露该组织的最新攻击活动。

影响范围

在360安全大脑观测的数据范围内，我们发现此次攻击活动主要涉及国内科研机构，军工机构，国防机构，航空机构以及政府机构，其中最多的为科研机构，占比51%。被攻击目标机构的范围分布如下：

利用新型肺炎话题的攻击活动

2020年初，在国内抗击疫情之时，多个APT组织利用新型肺炎针对相关单位进行了攻击活动，APT-C-01也是其中之一。APT-C-01利用鱼叉邮件针对目标用户进行攻击，附件中通常携带伪造的邮箱钓鱼网站地址链接。

我们发现部分钓鱼链接利用知乎平台进行跳转。例如：

https://link.zhihu.com/?target=http://organization.serveusers.com/index.html 当用户点击钓鱼链接时，利用知乎进行跳转，最终跳转到钓鱼网站（伪造的qq/163等）邮箱文件中转站，诱惑目标用户输入账号密码信息。

利用lnk诱饵文件安装后门程序

APT-C-01组织在相关的攻击活动中利用了多种已知的攻击手法针对目标进行了恶意荷载投递，其中lnk诱饵文件的完整攻击流程如下：

该组织通过向目标发送带有恶意Rar附件的邮件,其中Rar文件中包含有恶意的lnk文件和一个恶意rtf文档，lnk文件通过mshta访问远程C2执行hta文件。

在其中一次攻击活动的hta文件中，我们发现攻击者连注释都没有去除。注释使用繁体文字，进一步暴露了攻击者的身份线索。

恶意的rtf文件中包含一个OLE对象，当rtf运行时，释放后门到%temp%目录下，利用hta文件启动后门程序。

hta文件会删除自身，然后启动真实的rtf文档欺骗用户，最后释放下一阶段植入物到%tmp%\svchost_.tmp执行。hta脚本执行的命令如下：

投递各类窃密木马

2020年3月，我们发现APT-C-01利用钓鱼邮件投递最新的窃密木马进行了多起攻击活动，攻击者利用钓鱼邮件携带恶意附件，附件为压缩包，其中包含APT-C-01的新窃密木马程序。木马程序主要功能为获取目标计算机信息以及窃取特定文件名后缀的文档资料。

木马程序在启动之后，在%temp%目录中释放system.vbs和system.bat文件，调用ShellExecute执行system.vbs文件。system.vbs文件执行system.bat。system.bat文件复制木马程序到%temp%目录。

木马程序会弹出一个对话框，用于迷惑中招用户

然后通过注册表获得中招计算机的ProductName，DisplayName等信息，加密后发送。

紧接着开始遍历计算机磁盘获取特定文件名后缀的文档资料，并发送至C2。

最后释放新的 system.vbs 和 system.bat 用于自删除。

在此类攻击活动中，我们发现攻击者仍然使用了一个在360独家发布的《毒云藤（APT-C-01）军政情报刺探者揭露》报告中所披露的C2(emailser163.serveusers.com)实施了部分攻击活动。通过这种现象，我们可以发现APT-C-01组织是如何肆无忌惮的进行网络窃密活动，并没有因为安全厂商的披露而有所收敛。