宏观态势
攻击来源
近三个月以来,深信服深瞻情报实验室监测到了大量疑似南亚印度地区APT组织的相关攻击活动,活跃组织包括CNC、BITTER(蔓灵花)、Patchwork(白象)、Conficius(摩罗桫)、SideWinder(响尾蛇)、Donot(肚脑虫)等,其中CNC、BITTER、Patchwork组织活动尤为频繁猖獗,对我国境内多个行业发起多次攻击,这些攻击活动最早可以追溯到2022年。这几个APT组织很多方面信息存在着交叉,包括但不限于基础设施、攻击手法与战术、相似样本等,不排除这些组织背后存在一定关联性。
目标行业
据深信服深瞻情报实验室监测,近期印度APT组织目标行业主要集中在教育、航空工业、科研单位、军工、政府等行业,各个活跃组织侧重目标稍有不同。值得注意的是近期高度活跃的南亚APT组织活动均出于窃密动机。
通过对CNC组织使用的某个钓鱼C2缓存页面分析,发现近期CNC组织攻击目标主要是教育、科研行业。除了在境内发现大量攻击痕迹以外,该组织攻击活动近期也被发现出现在巴基斯坦某大学,并首次出现在菲律宾、印度尼西亚等南亚国家。
白象(Patchwork)组织则主要针对中国、巴基斯坦等亚洲地区国家进行网络间谍活动,其中以窃取敏感信息为主。近期十分热衷于高等教育和政府数据,通过将攻击行动和热点事件快速结合,对国内多所大学进行精准鱼叉式网络钓鱼攻击,同时对拥有政府气象数据、医疗卫生机构数据的国内单位、机构也有持续的攻击。
蔓灵花(BITTER)组织主要攻击目标为中国及巴基斯坦,近期主要针对政府(外交、 国防)、军工、核工业、航空工业、船舶工业以及海运等行业开展攻击,窃取敏感资料,该组织 2022 年对中国和巴基斯坦发起了多起鱼叉攻击活动,攻击目标涉及中国与巴基斯坦多个行业。
目标地区
近期南亚APT组织活跃的攻击活动几乎横跨中国境内最北方和最南方,受影响地区包括辽宁、山西、山东、北京、湖北、广东,其中中部地区湖北和北京攻击活动最为活跃。
攻击手法
在初始入侵阶段,这些南亚近期活跃APT组织多采用改良的高度定制化钓鱼邮件攻击。在多起攻击事件中,攻击者为快速与目标建立信任关系,最大程度提高钓鱼邮件的欺骗性,均对传统钓鱼邮件入侵手段进行了改良。如通过暗网邮箱泄漏渠道拿到内部邮箱权限,通过劫持通信双方之前的邮件会话记录,使得钓鱼邮件欺骗性大大提高。或者通过受害者画像,针对不同人群发送各自高度关注的钓鱼邮件主题,也使得钓鱼邮件的点击率大大提高。甚至在掌握受害者足够多的信息后,大胆的攻击者还会与目标进行互动交流以提高其信任度。
在横向和持久化阶段,各组织也都有不同程度的技术更新,一些是出于对旧的攻击工具的功能或迭代改进,除此之外APT组织检测规避手法也日益精进。部分APT组织为实现更深层次的控制和隐蔽,不断更新迭代武器库,采用多种技术、手法进行伪装、混淆和隐藏,以实现规避、绕过网络、主机等层面的检测。其中,Patchwork组织在2022年披露的攻击活动中,使用窃取的签名对其恶意代码进行伪装,以降低在主机端暴露的风险,同时引入开源加密库,更新加密算法,以实现流量层面的隐藏,在攻击载荷中增加对重点API调用监控的功能,以绕过部分安全产品的检测。而今年4月发现的CNC组织的样本中,也发现了伪造国内安全厂商证书和伪造国内有大量用户基础的翻译软件证书的手段。
活跃APT组织
CNC
CNC组织目前已知最早于2019年被发现,因其使用的远程控制木马的PDB路径信息中包含的”cnc_client”,该组织被命名为CNC。该组织主要针对军工、教育、科研机构及航空航天等行业进行攻击,窃取该类单位的高新技术研究资料或规划信息等,并且该组织疑似与南亚APT组织Patchwork(摩诃草、白象)存在一定关联。
组织画像
|
疑似来源 |
印度 |
|
组织别名 |
CNC |
|
组织类别 |
间谍活动 |
|
目标国家 |
中国、巴基斯坦、菲律宾、印度尼西亚 |
|
目标行业 |
航空航天、水利、教育、军工 |
|
目标平台 |
Windows |
|
攻击动机 |
间谍行为、数据窃取 |
|
常用语言 |
英语 |
近期动态
近半年以来,CNC频繁向境内科研院所、航空航天、教育行业发起攻击,其中包括某具有一流科学家和科技队伍的国立科研机构、重点实验室、国家级别工程研究中心,以及某双一流大学的高新科技专业实验室。攻击者至少使用“学术交流”、“科学研究”或“文章出版”等多种伪装程度极高的邮件话术进行鱼叉式钓鱼邮件攻击,受害者运行攻击者提供的程序后,下载后续阶段远控、反弹shell、浏览器窃密、文件窃密、U盘摆渡木马等恶意程序,攻击者最终可成功窃取、并持续监控受害者机器上的文档文件。
据CNC组织使用的某个钓鱼C2缓存页面显示,也可作为确定该组织主要针对教育、科研行业进行攻击的证据。
|
|
|
|
|
Journalx_kjdb |
科技导报 |
kjdb.org |
|
aippublishing |
美国物理联合会出版社 |
publishing.aip.org |
|
aipscitation |
美国物理联合会出版社 |
publishing.aip.org |
|
apcats2023 |
航空航天技术与科学亚太会议 |
apcats2023.org |
|
eg2.novatechset |
Nova Techset电子出版 |
novatechset.com |
|
hindawicentral |
Hindawi出版社 |
hindawi.com |
|
Journalx_yhxb |
宇航学报 |
yhxb.org.cn |
|
sciencedirect |
sciencedirect期刊 |
sciencedirect.com |
|
asmesociety |
美国机械工程师学会 |
asme.org |
|
sprintnature |
施普林格·自然出版社 |
springernature.com |
CNC组织泄漏的页面,涉及科学研究相关的学会或出版社等
自去年西工大事件之后,国内科研机构越来越成为境外APT组织关注的目标,据监测攻击活动还在巴基斯坦某大学发现,并首次出现在菲律宾、印度尼西亚等南亚国家。
技术手法
CNC组织在初始打点阶段常使用高度定制的鱼叉式钓鱼攻击,在代码执行和持久化阶段也有诸如反自动化分析、证书伪造等大量防御对抗技巧。该组织的通用攻击手法如下:
在近期的一次攻击活动中,我们观察到其使用的组件伪装为图片查看器,详细信息如下表,通过确认该组件与CNC组织曾披露过的“摆渡木马”功能相似。该木马通过不间断地监控目标主机是否有新的存储设备接入,当检测到新的存储设备接入时,将自身复制到新存储设备并进行伪装(曾发现其伪装成图片)。该组件不仅承担设备传播的任务,其主要功能为下载第二阶段载荷并进行驻留(驻留方式主要为创建任务计划)。
|
描述 |
详细信息 |
|
名称 |
imagedrvhost.exe |
|
文件大小 |
1416192 bytes |
|
文件类型 |
exe |
|
文件功能 |
downloader |
|
编译时间 |
2023-03-16 06:00:15 UTC |
|
开发平台及语言 |
win/c++ |
|
PDB |
|
|
是否加壳 |
否 |
|
VT首次上传时间 |
2023-04-07 07:07:11 UTC |
|
md5 |
ce3b254fc75fe4210aa509581ca42848 |
|
Sha256 |
a2d3077b81072019816516f97beb44894fe171e3d57592c65b738c0bc4ce7fba |
该组织使用的恶意软件中还有反自动化分析对抗技巧,通过检测C盘容量是否接近100G来判断当前环境是否属于沙箱。
CNC组织近期的几次攻击活动中,均使用了伪造国内企业的证书以逃避文件信息的检测,在攻击载荷创建任务计划阶段,使用名称“SangSupportApp”并伪造目标为国内企业相关文件信息以执行第二阶段载荷。
在关联分析中,发现该组织使用的另一个组件,该组件通过伪装国内某用户量很大的翻译软件用以欺骗目标。
白象
白象最早由国外安全厂商Norman披露并命名为Hangover,在2015年的攻击行动被国外安全厂商Cymmetria披露为Patchwork,2016年其他厂商后续披露了该组织的详细报告,在国内有“白象”称呼。其主要针对Windows系统进行攻击,同时也会针对Android、Mac OS系统进行攻击。以鱼叉攻击为主,以少量水坑攻击为辅,针对目标国家的政府、军事、电力、工业、外交和经济进行网络间谍活动。
组织画像
|
疑似来源 |
印度 |
|
组织别名 |
APT-C-09、魔诃草、白象、HangOver、VICEROY TIGER、The Dropping Elephant、Chinastrats、APT-Q-36、MONSOON |
|
组织类别 |
间谍活动 |
|
目标国家 |
中国、巴基斯坦 |
|
目标行业 |
政府、外交、军事、电力 |
|
目标平台 |
Windows、Android |
|
攻击动机 |
间谍行为、数据窃取 |
|
常用语言 |
英语、中文 |
近期动态
白象组织近期的活动大多集中在境内中部地区,对多个涉及水利、航空等专业的高等院校发起鱼叉式钓鱼攻击。攻击者疑似先攻击了某大型水利集团,窃取了其内部相关信息和物料,然后再使用包括招聘信息、职场性骚扰事件通报、年度专项项目申报在内的多个主题的钓鱼邮件,对高校内投递了大量钓鱼邮件。
除此之外该组织还对某政府气象机关单位发起攻击,窃取了大量相关数据。
技术手法
白象常使用鱼叉攻击对目标进行打点攻击,在近期监控到的攻击活动中发现有大量针对中国的定制化攻击工具,同时该组织对以往披露的BADNEWS攻击组件也有一定程度的更新,不断加强其窃密、反分析及反取证能力。
在本次监控到的攻击活动中,有一解压后的文件为.pdf.lnk的双后缀文件,实际为lnk文件,双击后会执行文件中的powershell命令,下表为该文件详细信息。
|
描述 |
详细信息 |
|
名称 |
中华人民共和国妇女权益保障法.pdf.lnk |
|
文件大小 |
3860 bytes |
|
文件类型 |
lnk |
|
文件功能 |
Downloader |
|
编译时间 |
/ |
|
开发平台及语言 |
/ |
|
是否加壳 |
否 |
|
VT首次上传时间 |
/ |
|
md5 |
f54df58848a7ec47587887b40a3b9acf |
|
Sha256 |
01E384E33063EE4CEE73A71901FED0468E08BDD3D70C4F77B93AD454E609B5AB |
该lnk文件会从https[:]//shhh2564.b-cdn.net/abc.pdf下载诱饵文件并打开,接着从https[:]//shhh2564.b-cdn.net/c下载文件到C:ProgramDataMicrosoftDeviceSyncp,将p文件复制为同路径下的OneDrive.exe,并删除p文件,最后创建计划任务每隔1分钟执行OneDrive.exe。
下载的OneDrive.exe实际为Patchwork的BADNEWS远控程序,提供文件下载执行、文件上传、命令执行、窃取键盘记录、获取屏幕截图等功能,其详细信息如下表。
|
描述 |
详细信息 |
|
名称 |
OneDrive.exe |
|
文件大小 |
345544 bytes |
|
文件类型 |
exe |
|
文件功能 |
RAT |
|
编译时间 |
2023-04-06 09:01:18 UTC |
|
开发平台及语言 |
win/c++ |
|
是否加壳 |
否 |
|
VT首次上传时间 |
2023-04-12 09:14:03 UTC |
|
md5 |
5bb083f686c1d9aba9cd6334a997c20e |
|
Sha256 |
1a22dd2f6968e76c8c044d423cd592eb1bed01d2be6fc6df901437b593384ec9 |
该远控首先获取机器的时区名称,只有当时区名称为“China Standard Time”,才会执行后续的恶意操作,由此可以看出此次攻击活动高度针对中国。
该组织的邮件内容引诱用户打开带有密码的压缩包文件,压缩中包含一个恶意lnk文件,用于下载第二阶段BADNEWS远控。通过分析发现该组织对以往使用的BADNEWS进行了更新,对关键功能的调用顺序和方式做出了改进,更换了控制指令和调整对应功能的实现,替换部分关键字符串。
蔓灵花
BITTER组织,又被称“蔓灵花”、“APT-C-08”、“T-APT-17”以及“苦象”,是一个针对中国、巴基斯坦以及孟加拉等国家的 APT 组织。最早由国外安全厂商Forcepoint于2016年披露其针对巴基斯坦官员进行网络间谍攻击,通过进一步分析,发现该组织于更早的时间2013年就开始进行了网络攻击,各个安全公司以及安全团队分析得出其为印度背景的APT组织。在此后多年,BITTER组织常对中国、巴基斯坦等国家发起网络攻击,常针对政府(外交、国防)、核工业、国防、军工、船舶工业、航空工业以及海运等行业进行攻击。
组织画像
|
疑似来源 |
印度 |
|
组织别名 |
Bitter, 苦象, APT-C-08, T-APT-17 |
|
组织类别 |
间谍活动 |
|
目标国家 |
中国、巴基斯坦、孟加拉国、沙特阿拉伯、新加坡、马来西亚、斯里兰卡、尼泊尔 |
|
目标行业 |
政府,航空航天,科研机构,军队,国防,核工业,海运,船舶 |
|
目标平台 |
Windows、Android |
|
攻击动机 |
间谍行为、数据窃取 |
|
常用语言 |
英语 |
近期动态
近期蔓灵花组织的攻击目标涵盖政府、航天、核工业、军工、船舶、外贸、教育,涉猎十分广泛。国外也有多家厂商对其攻击活动进行了披露,该组织的历史活动在2016年至2020年都十分活跃,自2020年初COVID-19病毒流行起来,该组织的活跃程度有所降低,但2021年至2023年该组织频繁活动又有死灰复燃之势。
技术手法
通过对蔓灵花组织长时间的攻击事件分析显示,该组织似乎并不擅长通过正面的方式对攻击目标进行攻击,其攻击活动基本依赖于社会工程学。通过鱼叉攻击投递恶意载荷或者进行凭证钓鱼(主要是邮箱),其针对国内的鱼叉攻击使用的邮箱账号多为窃取或购买的126、163邮箱,针对国外机构多使用窃取的政府邮箱或gmail邮箱。
该组织投递的恶意载荷种类较多,存在使用chm文件、远程模板注入文档、lnk文件以及winrar自解压程序等多种方式。恶意载荷通常使用msi部署或直接下载该组织特有下载器,再通过下载器下载其他功能组件包括但不限于远控、文件窃密组件以及键盘记录器等黑客工具,虽然其攻击方式依赖社会工程学,但还是发现许多组织或企业被攻击成功。其整体攻击模式如下图。
自2021年以来,该组织的攻击手法一直都没有发生大的变化,基本上都是通过其投递恶意 chm 文件,诱导目标执行该文件创建恶意计划任务下载第二阶段载荷,命令行使用字符“^”进行混淆,创建计划任务下载执行第二阶段载荷。但在最新的攻击活动中,监测到了使用新的组件进行攻击。
另外还观察到该组织疑似攻陷了巴基斯坦相关的内衣网站作为其载荷托管点,“http://mirzadihatti[.]com/css/try.php”与“http://guppu[.]pk/log/try.php”,该类网站都为WordPress站点,由此怀疑蔓灵花组织会长期攻陷目标境内WordPress站点以作为载荷托管中心。
在部分计划任务下载的第二阶段载荷中,下载的“CERT.msi”文件释放了远控组件scroll_.exe,其详细信息如下表。经过分析,确认该文件为蔓灵花组织一直在使用的内部命名为BDarkRAT远控的组件,在近期活动事件中蔓灵花组织对其进行了混淆,该组件由DarkAgent开源项目修改而成,其参考的开源项目地址为https://github.com/ilikenwf/DarkAgent。
|
描述 |
详细信息 |
|
名称 |
scroll_.exe |
|
文件大小 |
86528 bytes |
|
文件类型 |
exe |
|
文件功能 |
rat |
|
编译时间 |
2022-12-09 05:13:13 UTC |
|
开发平台及语言 |
win/.net |
|
是否加壳 |
否 |
|
VT首次上传时间 |
2022-12-12 17:17:49 UTC |
|
md5 |
7ac57d10a3e4a46576368ee883edae46 |
|
Sha256 |
810abf325528752cb53d7df1510c6a04dc58b73d816a64f0c839ab3e74fc953d |
在近期活动中,该组件与以往的版本相比源码进行了混淆,下列对比图可看到其网络数据XOR加密key并没有改变,还是745930==0xb61ca,使用末尾字节0xca对通信流量进行加密。
除了上述已知的远控外,还发现该组织将开源项目“Lilith”(https://github.com/werkamsus/Lilith)与以往的下载器结合,为了便于区分将其命名为BLilithRAT,其相关信息如下表,与友商披露的“wmRAT”似乎存在些微差别。
|
描述 |
详细信息 |
|
名称 |
WMService.exe |
|
文件大小 |
42496 bytes |
|
文件类型 |
exe |
|
文件功能 |
rat |
|
编译时间 |
2022-05-11 13:41:19 UTC |
|
开发平台及语言 |
win/c++ |
|
是否加壳 |
否 |
|
VT首次上传时间 |
2022-10-12 13:26:01 UTC |
|
md5 |
fd37560c80f934919f8f4592708045f3 |
|
Sha256 |
b7a9407b47baf7442e0baf94a3b4cc8b7420cb01364fc8e6a3c622b7ae39301f |
初始执行时该组件执行大量睡眠操作以加强反分析,并且其字符串信息与以往一样还是进行简单移位加密。
蔓灵花组织的入口打点能力并未发生多大变化,但从实际监测到的情况分析,其攻击手段仍然非常有效。另外,该组织不断增强攻击组件的反分析能力,并积极使用开源项目构建相关武器,但二次开发的攻击组件也未明显观察到规范的开发特征,甚至存在一定的混乱,怀疑可能出自组织不同部门之手。
APT事件案例
国内某高校高新行业实验室被鱼叉攻击获取大量数据
2023年2月至4月,境内某高校部分人员遭到境外以窃取情报为目的的定向网络攻击,已知多台个人主机被植入窃密木马和被窃取文件。
攻击者至少使用三种伪装程度极高的邮件话术进行钓鱼邮件攻击,受害者运行攻击者提供的程序后,下载后续阶段远控、反弹shell、浏览器窃密、文件窃密、U盘摆渡木马等恶意程序,最终目的是窃取并持续监控受害者机器上的文档文件。
此次攻击中,攻击者疑似首先在暗网获取了大量受害者信息,包括基本信息、邮箱账密等等,对受害者信息了如指掌。在获取到受害者邮箱权限后,攻击者监控到了能够编写定向钓鱼邮件的邮件主题和语料,包含顶会邀请、论文校对等等,因此伪造的钓鱼邮件十分逼真,引发大量点击。攻击者甚至伪装为与教授私交甚好的他国高校教授与受害者进行长达十几封的邮件往来交流也没有被识破身份,极具迷惑性。后续的U盘摆渡木马也进一步扩散了恶意文件感染范围。
4月10日,深信服深瞻情报实验室在国内某其他APT事件(非此次事件)响应中获得样本imagedrvhost.exe,并根据特征,在VirusTotal中发现相关样本。因动态特性与历史样本高度相似,且存在仿冒国内常用软件的特征,判断样本属于CNC组织使用的样本。4月20日根据前置事件样本分析中获得的IoC情报,在深信服云端进行全网狩猎,发现该高校存在外联恶意IP的流量。4月23日APT研究员介入调查,通过APT专用取证工具及数据分析平台,对学校内主机进行调查取证及分析,5月5日完成事件还原及处置加固以及事件完整调查报告。
某政府机关单位被钓鱼攻击
2023年1月11日,根据线索某政府机关单位某终端发现与APT基础设施有通信行为。根据APT研究员排查,发现该终端在1月4日访问了rusjamstarapp[.]com并下载了文件,该行为是由于受害者点击钓鱼邮件导致。进一步排查发现APT组织投递的邮件,发现投递人某某公司相关邮箱向该公司其他账户及政府单位账号投递恶意附件。
攻击者向受害者投递恶意邮件后,受害者执行chm恶意附件导致创建恶意计划任务,被APT组织控制。chm恶意附件创建的计划任务“AdobeUpdater”使用msiexec远程下载载荷并执行,chm计划任务下载的cert.msi文件释放了远控组件scroll_.exe,经过分析,确认该文件为蔓灵花组织一直在使用的DarkRAT远控,本次攻击者对该远控进行了混淆,该远控组件由开源远控DarkAgent项目修改而成,其参考的开源项目地址为 https://github.com/ilikenwf/DarkAgent。通过进一步分析,确认该下载的远程地址 “rusjamystarapp[.]com” 为印度APT组织蔓灵花的 C2 服务器。
在终端取证中发现该终端还存在异常启动项 ceve.exe,根据启动项定位文件位置,发现该文件创建时间为 1 月 4 日 15:45:40,通过深信服专用APT沙箱平台分析发现该程序为远控木马,关联域名devqrytoprar[.]net,而该域名在开源情报中已经被披露归因为蔓灵花APT组织。攻击者还多次尝试使用了远控工具anydesk,但因为单位策略设置拒绝访问未成功连接。研究员上机取证后,第一时间对失陷终端中的驻留项和恶意文件进行了清除。
伪造招聘信息对某高校发起的窃密攻击
2023年4月20日,深信服深瞻情报实验室通过云端威胁狩猎,发现某高校与近期发现的APT组织Patchwork的C2服务器charliezard[.]shop存在异常通信行为。
研究员排查后发现,与C2服务器最早的一次通信出现在4月12日,从受害者邮箱中发现2023年4月12日存在异常邮件“某某公司 2023 年度招聘公告。受害者4月12日收到并打开包含恶意附件邮件。后续攻击者通过Badnews和Quasar家族远控对受害者主机进行控制,主机中存在键盘记录结果,可能存在其他数据泄露。
经排查,该附件为双后缀文件,其中存在恶意powershell脚本,为本次攻击的入口点。且该钓鱼邮件的主题和内容与某集团的真实招聘信息完全吻合,推测APT组织应该已经通过其他渠道获取到了集团内部信息,甚至已经成功攻击过该集团。深信服深瞻情报实验室也第一时间向集团发布了排查预警。该组织常使用计划任务作为驻留项,在失陷终端上果然发现该组织使用的驻留项“OneDriveUpdate”,计划任务创建时间为4月12日10:30:12。通过分析“OneDrive.exe”,定位Temp目录下存在该组织遗留的键盘记录文件“kednfbdnfby.dat”,计划任务中存在另一个从Temp目录下启动的可疑程序“dpwJke.exe”,经分析为该组织曾经使用过的Quasar家族远控。
截止研究员上机取证调查之时,该攻击组织的组件 “OneDrive.exe” 和 “dpwJke.exe” 都还在运行中。研究员第一时间对被感染主机的驻留项、恶意文件进行了清除,并通过安全防护设备,将涉及的 C2 通信地址添加入访问黑名单。根据云端狩猎结果显示,此次攻击活动涉及范围巨大,在巴基斯坦某大学也发现攻击痕迹,并首次出现在菲律宾、印度尼西亚等南亚国家。
应对建议
通用安全措施:
警惕邮件发送者:请仔细检查邮件发送者的电子邮件地址是否与其公开地址完全一致,尤其是域名部分。对于不确定的发送方,可尝试通过其他途径与其联系,确认身份。
谨慎点击链接:避免在邮件中直接点击链接,关注邮件正文中超链接所指向的地址是否为合法地址。
切勿执行附件:始终保持警惕,不要打开、下载或执行任何来自未经验证的邮件附件。
谨慎提供个人信息:永远不要通过邮件回复或点击链接提供个人敏感信息,如密码、银行账号等。合法的组织不会通过邮件要求您提供此类信息。
强化密码安全:使用强密码,并定期更改密码。避免在不同网站上使用相同的密码,以免一旦密码泄露,其他账户也受到威胁。
安全系统更新:定期更新操作系统、浏览器,以确保您拥有最新的安全补丁和防护功能。
异常时联系安全人员:如果收到了可疑的邮件,请立即将其报告给相关部门或服务提供商,并采取适当的安全措施。
深信服解决方案:
【深信服统一端点安全管理系统aES】深信服统一端点安全管理系统aES全新上线“动静态双AI引擎”,静态AI能够在未知勒索载荷落地阶段进行拦截,动态AI则能够在勒索载荷执行阶段进行防御,通过动静态AI双保险机制可以更好地遏制勒索蔓延。
【深信服下一代防火墙AF】的安全防护规则更新至最新版本,接入深信服安全云脑,“云鉴” 服务即可轻松抵御此高危风险。
【深信服安全感知管理平台SIP】建议用户及时更新规则库,接入深信服安全SaaS XDR,并联动【深信服下一代防火墙AF】实现对高危风险的入侵防护。
【深信服安全托管服务MSS】以保障用户网络安全“持续有效”为目标,通过将用户安全设备接入安全运营中心,依托于XDR安全能力平台和MSSP安全服务平台实现有效协同的“人机共智”模式,围绕资产、脆弱性、威胁、事件四个要素为用户提供7*24H的安全运营服务,快速扩展持续有效的安全运营能力,保障可承诺的风险管控效果。
趋势研判
南亚APT组织仍最常使用钓鱼攻击,但迷惑性答复提升
据近期活动监测显示,南亚APT组织最常用的攻击手段仍是钓鱼,但钓鱼的主题、内容质量均有提升,因此攻击成功率也非常高。南亚多个APT组织非常擅长通过前期详细的打点,或暗网渠道收集,将受害者信息、钓鱼场景摸的一清二楚,在此基础上选择的如针对教授的论文校对钓鱼主题,针对研究生的招聘钓鱼主题,针对关基的上级核查文件主题等等,拥有极高的钓鱼成功率,令人防不胜防。
利用开源软件修改的攻击工具成为南亚APT组织主流
在近期监测到的南亚APT组织活动中,不同组织均使用了基于开源软件修改的攻击组件,尤其集中在远控组件上。但APT组织对于开源软件均有不同程度的二次开发和改进,且更新很快,主要体现在反调试、反分析,以及目标识别等等。这些快速迭代的对抗技巧也使得APT组织和安全企业之间的攻防较量更为复杂和激烈,溯源归因难度也越来越高。
联系我们
深信服深瞻情报实验室专注全球高级威胁事件的跟踪与分析,拥有一套完善的自动化分析溯源系统以及外部威胁监控系统,能够快速精准的对APT组织使用的攻击样本进行自动化分析和关联,同时积累并完善了几十个APT以及网络犯罪威胁组织的详细画像,成功帮助客户应急响应处置过多起APT及网络犯罪威胁组织攻击事件。
如何在不断升级的APT威胁对抗中保持先机?知己知彼方能百战不殆。全面了解APT组织,一整个拿捏住!深信服深瞻情报实验室正式推出APT组织画像平台(戳此体验https://sec.sangfor.com.cn/apt)!
原文始发于微信公众号(深信服千里目安全技术中心):关于近期南亚APT组织在境内高度活跃报告
