您所在的位置: 首页 >
安全研究 >
安全通告 >
全球疫情相关网络攻击分析报告
概要
自今年年初新冠病毒在国内全面爆发,奇安信威胁情报中心便立刻意识到在这样的非常时期,网络攻击者绝不会自我“隔离”。保障关键业务系统的安全稳定运行及信息安全、重要网站的正常运转和内容不被篡改、防范和阻断利用疫情相关热点的APT、黑产等网络攻击,是另一个当务之急。
在春节期间,奇安信红雨滴团队和奇安信CERT便建立了围绕疫情相关网络攻击活动的监控流程,以希冀在第一时间阻断相关攻击,并发布相关攻击预警。
截至目前,奇安信红雨滴团队捕获了数十个APT团伙利用疫情相关信息针对境内外进行网络攻击活动的案例,捕获了数百起黑产组织传播勒索病毒、远控木马等多类型恶意代码的攻击活动。并通过基于奇安信威胁情报中心威胁情报数据的全线产品阻断了数千次攻击。相关详细信息均及时上报国家和地方相关主管部门,为加强政企客户和公众防范意识,也将其中部分信息摘要发布。
在本报告中,我们将结合公开威胁情报来源和奇安信内部数据,针对疫情期间利用相关信息进行的网络攻击活动进行分析,主要针对疫情相关网络攻击态势、APT高级威胁活动、网络犯罪攻击活动,以及相关的攻击手法进行详细分析和总结。
主要观点
从奇安信对疫情期间监控到的各类网络攻击活动来看。在疫情爆发初期,我们捕获到的攻击来源主要集中在嗅觉灵敏的国家级APT组织以及网络黑产团伙,例如:海莲花、摩诃草、毒云藤、金眼狗等等。他们利用受害者对于疫情热点信息的高关注度,使用疫情相关内容作引诱,并多采用钓鱼、社交网络等方式针对特定人群和机构进行定向攻击。
而在疫情爆发的中期,各类网络犯罪团伙轮番登场。我们持续监控到国内外诸多网络犯罪团伙通过疫情热点信息传播勒索病毒、银行木马、远控后门等恶意程序的敛财活动。
随着新冠肺炎的全球性蔓延,当前我们监控到越来越多的APT组织、黑产团伙、网络犯罪组织加入到利用疫情热点的攻击活动中。例如近期新冠肺炎爆发的国家意大利,我们就捕获了多个针对意大利并利用新冠肺炎为诱饵的网络攻击活动。从当前奇安信针对疫情期间的网络攻击大数据分析来看,随着疫情的全球性蔓延,相关的网络攻击已存在蔓延态势的苗头。
全球疫情相关网络攻击趋势
数量和趋势
自今年1月底新冠疫情爆发开始,嗅觉灵敏的国家级APT组织以及网络黑产团伙便率先展开在网络空间借疫情信息进行的网络攻击活动。1月底到2月中旬,由于大规模疫情仅限于中国境内,这一期间,疫情相关的网络攻击活动也主要表现为针对中国境内。而随着2月中旬后,新冠疫情开始在全球范围内爆发,随之而来的网络攻击行动也逐步扩撒到世界范围,攻击活动越发频繁,越来越多的APT组织、黑产团伙、网络犯罪组织加入到利用疫情热点的攻击活动中。
诱饵关键字
根据奇安信红雨滴团队基于疫情相关网络攻击活动的监控来看,网络空间的攻击随着新冠病毒的扩撒而变化。前期,只有中国境内疫情严重时,相关网络攻击便集中针对汉语使用者,并多借以疫情相关中文热点诱饵信息进行攻击。相关诱饵包含的信息例如:“口罩价格”、“疫情防控”、“逃离武汉”、”信息收集”、”卫生部”等等。
而到了2月中旬,欧洲、日韩等国家疫情突然进入爆发期,针对全球范围的网络攻击开始激增,诱饵信息开始转变为多种语言,以” Covid19”、”Covid”、”mask”、”CORONA VIRUS”、”Coronavirus”、”COVID-19”等诱饵信息为主。
恶意文件类型
而在本轮疫情相关的网络攻击活动中涉及的恶意文件类型来看,大部分攻击者倾向于直接将PE文件加上疫情相关的诱饵名并通过邮件、社交媒体等方式传播。其次是带有恶意宏或者Nday漏洞的文档类样本。同时,移动端的攻击数量也不在少数。
受害目标的国家和地区
通过疫情相关的网络攻击目标来看,中国、美国、意大利等疫情影响最为严重的国家也恰巧成为疫情相关攻击最大的受害地区,这说明网络攻击者正是利用了这些地区疫情关注度更高的特点来执行诱导性的网络攻击。下图为受疫情相关网络攻击的热度地图,颜色越深代表受影响更大。
活跃的APT和黑产团伙
通过红雨滴团队的疫情攻击监测发现,黑产团伙仍然是疫情相关网络攻击活动的最主要来源,其通过疫情相关诱饵传播银行木马、远控后门、勒索挖矿、恶意破坏软件等恶意代码,近期红雨滴团队还捕获了伪装成世卫组织传播恶意木马的多起网络攻击活动。
而国家级APT组织当然也是嗅觉最灵敏的网络攻击团伙,在疫情爆发的整个周期,针对疫情受害严重的国家和地区的APT攻击活动就没有停止过。已被公开披露的APT攻击事件就已达数十起。我们在下图中列举了截止目前借疫情进行APT攻击的团伙活跃度。
疫情相关攻击活动分析
奇安信红雨滴团队基于疫情网络攻击事件感知系统,捕获了数百例疫情相关的APT攻击与网络犯罪等攻击活动。以下部分分别介绍APT和网络犯罪相关的威胁活动和攻击技术。
针对性的APT高级威胁活动
APT攻击,即高级可持续威胁攻击,也称为定向威胁攻击,指某组织对特定对象展开的持续有效的攻击活动。这种攻击活动具有极强的隐蔽性和针对性,通常会运用受感染的各种介质、供应链和社会工程学等多种手段实施先进的、持久的且有效的威胁和攻击。
摩诃草
摩诃草组织(APT-C-09),又称 HangOver、VICEROY TIGER、The Dropping Elephant、 Patchwork,是一个来自于南亚地区的境外 APT 组织,该组织已持续活跃了 7 年。摩诃草组 织最早由 Norman 安全公司于 2013 年曝光,随后又有其他安全厂商持续追踪并披露该组织的最新活动,但该组织并未由于相关攻击行动曝光而停止对相关目标的攻击,相反从 2015 年开始更加活跃。摩诃草组织主要针对中国、巴基斯坦等亚洲地区国家进行网络间谍活动,其中以窃取敏感信息为主。相关攻击活动最早可以追溯到 2009 年 11 月,至今还非常活跃。在针对中国地区的攻击中,该组织主要针对政府机构、科研教育领域进行攻击,其中以科研教育领域为主。
在疫情爆发初期,该组织便利用” 武汉旅行信息收集申请表.xlsm”,” 卫生部指令.docx”等诱饵对我国进行攻击活动。同时,该组织也是第一个被披露利用疫情进行攻击的APT组织。
蔓灵花
蔓灵花(Bitter)是疑似具有南亚背景的APT组织,长期针对中国、巴基斯坦等国家进行攻击活动,该组织主要针对政府、军工业、电力、核等单位进行攻击,窃取敏感资料,具有强烈的政治背景。
摩诃草率先借疫情发动攻击后,同样具有南亚背景的蔓灵花也开始伪装国内某政府单位进行攻击活动。
海莲花
海莲花(OceanLotus)是一个据称越南背景的 APT 组织。该组织最早于 2015 年 5 月被天眼 实验室所揭露并命名,其攻击活动最早可追溯到 2012 年 4 月,攻击目标包括中国海事机构、 海域建设部门、科研院所和航运企业,后扩展到几乎所有重要的组织机构,并持续活跃至今。
而实际上,根据各安全厂商机构对该组织活动的拼图式揭露,海莲花团伙除针对中国发起攻击之外,其攻击所涉及的国家分布非常广泛,包括越南周边国家,如柬埔寨、泰国、老挝等, 甚至包括越南的异见人士、媒体、地产公司、外资企业和银行。
奇安信红雨滴(RedDrip)安全研究团队(前天眼实验室)一直对海莲花团伙的活动保持高强度的跟踪,疫情期间,一直针对国内进行攻击的海莲花自然不会放过机会。不但利用疫情相关信息进行攻击,还利用了湖南爆发的禽流感等信息进行攻击。并采用WPS白加黑的方式执行木马。
毒云藤
毒云藤,又称APT-C-01, 绿斑,是一个长期针对中国国防、政府、科技、教育以及海事机构等重点单位和部门的APT组织,该组织最早的活动可以追溯到2007年。
疫情期间,该组织开展了多次疫情相关的钓鱼行动,分别构造了虚假的qq邮箱,163邮箱等登陆界面,以”《南部杜氏中医》献方”,“新表.xls”等为诱饵,诱导受害者输入账户密码登陆下载文件。从而窃取受害者账号密码
Hades
Hades组织最早被披露是在2017年12月22日针对韩国平昌冬奥会的攻击事件,其向冬奥会邮箱发送带有恶意附件的鱼叉邮件,投递韩文的恶意文档,控制域名为伪装的韩国农林部域名地址。
该组织使用被命名为OlympicDestroyer的恶意代码,其对目标主机系统具有破坏性
奇安信红雨滴团队在日常的疫情攻击监测中,发现一例伪装为乌克兰卫生部公共卫生中心发布疫情信息的攻击样本。在捕获该样本的第一时间便对其进行了公开披露。
ProjectM
ProjectM又称APT36, Transparent Tribe,Operation C-Major。是疑似具有南亚政府背景的攻击组织,其主要针对周边国家地区进行攻击活动。
奇安信威胁情报中心公开披露了该组织利用新冠病毒信息进行攻击的样本。
Kimsuky
Kimsuky,别名Mystery Baby,Baby Coin,Smoke Screen,Black Banshe。疑似具有东北亚背景,主要针对韩国,俄罗斯进行攻击活动,最早有卡巴斯基披露。韩国安全公司认为其与Group123存在部分重叠。
3月初,韩国疫情开始爆发,而作为长期针对韩国进行网络攻击行动的APT,Kimsuky自然不会放过如此好机会,也利用疫情相关信息对韩国进行了攻击活动。
KONNI
Konni组织被认为是来自东北亚的APT团伙,韩国安全厂商ESTsecurity通过关联分析,认为其与Kimsuky组织存在联系。
在疫情期间,Konni组织也没让Kimsuky单兵作战,Konni使用其常用的攻击手法展开了疫情期间的攻击活动。
TA505
TA505组织由Proofpoint在2017年9月首次命名,其相关活动可以追溯到2014年。该组织主要针对银行金融机构,采用大规模发送恶意邮件的方式进行攻击,并以传播Dridex、Locky等恶意样本而臭名昭著
在疫情期间,红雨滴团队捕获该团伙多个以“COVID-19-FAQ.xls”为名的攻击文档。
网络犯罪及相关攻击技术
黑产等网络犯罪攻击不同于APT攻击具有非常独特的定向性,通常采用撒网的方式,四处传播恶意代码,以达到牟利的目的。在疫情期间,红雨滴团队捕获多个黑产团体的攻击行动,包括已被披露的金眼狗等。
由于黑产团伙组织较多,且攻击活动基本一致,故本节不以团伙分类,而从攻击手法上进行阐述。
鱼叉邮件攻击
钓鱼邮件在网络攻击活动中是最常见的一种投递方式,黑客通过热点新闻等信息诱导受害者执行邮件附件,从而控制受害者计算机。以下为部分利用疫情热词并通过钓鱼邮件分发的不同恶意附件类型样本分析。
Windows平台相关攻击活动
此类攻击方式中,黑客通常将疫情相关的热门词汇作为文件名,通过社交媒体等方式进行传播。
博彩相关
近几年随着在线博彩的需求逐渐上升,东南亚等国从事博彩相关人员越来越多,而一些黑产团伙则格外喜欢针对这些人群,上演黑吃黑。
此类攻击中诱饵一般以“色情”,“暴力”,“热点新闻”等关键字为主。
Windows勒索软件
勒索病毒,是伴随数字货币兴起的一种新型病毒木马,通常以垃圾邮件、服务器入侵、网页挂马、捆绑软件等多种形式进行传播。机器一旦遭受勒索病毒攻击,将会使绝大多数文件被加密算法修改,并添加一个特殊的后缀,且用户无法读取原本正常的文件,对用户造成无法估量的损失。勒索病毒通常利用非对称加密算法和对称加密算法组合的形式来加密文件,绝大多数勒索软件均无法通过技术手段解密,必须拿到对应的解密私钥才有可能无损还原被加密文件。黑客正是通过这样的行为向受害用户勒索高昂的赎金,这些赎金必须通过数字货币支付,一般无法溯源,因此危害巨大。
疫情期间,多类勒索软件也开始利用相关信息进行传播,包括Dharma/Crysis,CXK恶搞勒索,Android勒索等,其中一例勒索样本还将自己命名为COVID-19RANSOMWARE
挖矿
当今互联网的高速发展,孕育出了一批高新产业,如人工智能、分布式计算、区块链、无人驾驶等。这些高新技术为人们生活带来便利的同时,引发的安全问题也日益凸显。随着区块链技术的普及,其涉及的虚拟数字货币也创造了巨大的财富。这些虚拟货币可以通过“挖矿”的形式获取,“矿工”越多,利益越大。因此,近年来有越来越多的黑客团伙通过非法入侵控制互联网上的计算机并植入木马程序偷偷进行挖矿活动,为自己谋取暴利。
疫情期间,也有不法分子以新型冠状病毒查询为诱饵,投递了永恒之蓝挖矿蠕虫。
移动终端相关攻击活动
随着移动办公的发展,不论是企业员工还是国家单位工作人员,都会用手机访问公司内部数据,根据IBM的研究,用户对移动设备上的网络钓鱼攻击的回应是桌面的三倍,而原因仅仅是因为手机是人们最先看到消息的地方,而且企业数据、政府数据的泄露导致的损失,很多时候是无法挽回的。如今,移动安全已经不仅仅是个人手机安全的问题,移动访问也越来越成为企业安全威胁的重要的来源,甚至影响到国家安全。
在疫情期间,Android木马也相继出现蹭”新冠肺炎”的热度。不少Android木马以”新冠病毒”为关键字进行投递,包括老牌Android木马家族Anubis、Cerberus(地狱犬)、新型木马家族Cerberus、SMS蠕虫以及CovidLock勒索病毒等等。
Anubis
本次监测到的Anubis银行木马变种继承了之前的功能,代码核心以远控为主体,钓鱼、勒索等其它功能为辅,目的则为获取用户关键信息,窃取用户财产。不同之处在于,其将一部分配置信息加密存放在了本地等,而且配置信息中使用了大量的中文,其获取C2的方式也进行了改变。
Cerberus
Cerberus木马与其它银行木马一样功能众多,而且由于其一直在地下论坛中进行租赁,可以根据“客户”的不同需求进行功能的增加等,加上其作者的高调做派,俨然已经接过了Anubis的邪恶传承,成为了目前威胁最大的银行木马。
Cerberus木马运行以后会诱骗用户激活设备管理器、隐藏自身图标、防止卸载等方式进行自我保护。Cerberus木马会获取并上传用户手机中短信、通讯录、手机已安装的应用信息、gmail信息等。此外Cerberus木马还可以截取用户手机屏幕,电话呼叫转移,获取用户银行账号、密码等恶意操作,并可以通过Team Viewe进行远控。
SMS蠕虫
样本运行后,会打开在线口罩购买平台https[:]//masksbox[.]com,尝试窃取用户购买时输入的卡号和密码。
同时,该恶意程序还会以SMS短信的方式将自己传播给通讯录上的所有人。短信内容为:Get safety from corona virus by using Facemask, click on this link download the app and order your own face mask – http[:]//coronasafetymask[.]tk
手机勒索软件
该勒索木马跟一般勒索病毒一样,运行后诱骗用户激活设备管理器,之后强制对用户手机进行锁屏,并修改用户手机解锁密码,同时对用户进行勒索。勒索软件威胁要在48小时之内索要100美元的比特币,否则会删除用户手机个人信息
该样本将解锁密码硬编码在样本中,若不小心中招,可通过输入“4865083501“进行解锁
各类特殊文件格式
奇安信红雨滴团队捕获的样本集中,除了常见的文件格式外,还捕获几例特殊文件格式样本,如SLK,CHM等,此类样本通过也是通过社交媒体或邮件进行传播,但基于公开信息未捕获其传播油价,故将此类样本单独阐述
SLK
近期,意大利疫情出现大爆发,随之而来的网络攻击活动也越演越烈,奇安信红雨滴团队捕获一例利用特殊格式(slk)在意大利传播的恶意样本。
SymbolicLink (Slk)是一种Microsoft文件格式,通常用于Excel表格更新数据,黑客利用这一特性将恶意的powershell代码添加其中,当用Excel打开文件时,恶意代码将被执行起来。由于这类格式不常见,所以具有一定程度的免杀效果。
CHM
CHM(Compiled HelpManual)即“已编译的帮助文件”。是微软新一代的帮助文件格式,利用HTML作源文,把帮助内容以类似数据库的形式编译储存。CHM支持Javas cript、VBs cript、ActiveX、Java Applet、Flash、常见图形文件(GIF、JPEG、PNG)、音频视频文件(MID、WAV、AVI)等等。所以在大多数人眼中,CHM等同于电子书,是没有危害的软件。
LNK
LNK是MicrosoftWindows用于指向可执行文件或应用程序的快捷方式文件的文件扩展名。LNK文件通常用于创建开始菜单和桌面快捷方式。LNK代表LiNK。LNK文件可以通过更改图标伪装成合法文档。
恶意脚本类
JAR
JAR文件是在安装了JRE等JAVA运行环境的操作系统上能直接运行的可执行程序。由于JAVA具有跨平台的特性,所以这类文件可以在安装了JAVA运行时库的大部分操作系统上运行,包括Windows、Linux、macOSX、Android。