安全事件精选

组织： 疑似 APT-C-40（又名方程式/Equation Group/ Tilded Team，美国）

攻击目标：（中国）西北工业大学

原文概述： 2022年6月22日，西北工业大学发布《公开声明》称，该校遭受境外网络攻击。中国国家计算机病毒应急处理中心和360公司全程参与了此案的技术分析工作。本系列研究报告将公布 TAO 对西北工业大学发起的上千次网络攻击活动中，某些特定攻击活动的重要细节，为全球各国有效发现和防范 TAO 的后续网络攻击行为提供可以借鉴的案例。

一、TAO 攻击渗透西北工业大学的流程

TAO 对他国发起的网络攻击技战术针对性强，采取半自动化攻击流程，单点突破、逐步渗透、长期窃密。

1、单点突破、级联渗透，控制西北工业大学网络；

2、隐蔽驻留、“合法”监控，窃取核心运维数据；

3、搜集身份验证数据、构建通道，渗透基础设施；

4、控制重要业务系统，实施用户数据窃取。

二、窃取西北工业大学和中国运营商敏感信息

（一）窃取西北工业大学远程业务管理账号口令、操作记录等关键敏感数据

1、窃取西工大核心网络设备账号口令及配置信息；

2、多次窃取接入网认证设备账号口令及配置信息。

（二）窃取西北工业大学网络设备运维配置文件和日志文件

1、窃取西北工业大学网络运行日志文件；

2、窃取西北工业大学服务器定期任务配置脚本；

3、窃取西北工业大学公司服务器系统信息文件。

（三）渗透控制中国基础设施核心设备

1、窃取中国用户隐私数据；

2、渗透控制全球电信基础设施。

三、TAO在攻击过程中暴露身份的相关情况

1、攻击时间完全吻合美国工作作息时间规律；

2、语言行为习惯与美国密切关联；

3、武器操作失误暴露工作路径；

4、大量武器与遭曝光的NSA武器基因高度同源；

5、部分网络攻击行为发生在“影子经纪人”曝光之前。

四、TAO网络攻击西北工业大学武器平台IP列表

技术分析与溯源调查中，技术团队发现了一批TAO在网络入侵西北工业大学的行动中托管所用相关武器装备的服务器IP地址，示例如下：

武器平台 IP 列表例子

五、TAO 网络攻击西北工业大学所用跳板 IP 列表

跳板 IP 例子  

原文链接：

https://mp.weixin.qq.com/s/CfkLGhqLB3hyVcDzqUQwJQ

发布平台： 360威胁情报中心

组织： 疑似 APT32（又名OceanLotus／BISMUTH/海莲花，越南）

原文概述： 在历史攻击手法中，“海莲花”一直在尝试不同方法以实现在目标系统上执行恶意代码和绕过安全检测。此外，在2020年“海莲花”组织也开始注重资产侧的流量隐藏，利用攻击手段拿下的国内外IoT、OA服务器作为流量中转。微步情报局的研究人员长期跟进“海莲花”组织，对其流量隐藏的手法深入调查分析后有以下发现：

1、攻击者利用1Day、NDay漏洞攻击国内外的IoT设备，且使用Torii特马长期控制，受害设备类型至少包括：三星、Vigor、Draytek路由器和物联网摄像头等；

2、Torii木马最早由国外Avast安全厂商在2018年所披露，这表明Torii僵尸网络至少在2018年就开始部署，而后在2021年国内友商披露的RotaJakiro（双头龙）和Torii也存在相似的代码设计思路；

3、研究人员有足够的信心认为Torii僵尸网络是由“海莲花”组织所实际控制运营的，并且用于APT作战活动中。

归因分析： 研究人员有足够的信心将Torii僵尸网络背后的攻击组织归因为“海莲花”：

1.Torii僵尸网络所控制的主机主要被用于“海莲花”攻击活动中的流量中转&隐藏，在少量攻击活动中，该木马也用于控制存储性质的主机窃取数据；

2.Torii木马、RotaJakiro（双头龙）和“海莲花”MacOS平台所使用的木马，三者存在相似的代码设计思路；

3.资产特点和APT32历史中所使用的一致，包括但不限于：域名注册服务商“Internet Domain Service BS Corp.”、NS服务器“he.net”、IP服务器提供商“EstNOC OY”。

原文链接：

https://mp.weixin.qq.com/s/v2wiJe-YPG0ng87ffBB9FQ

发布平台： 微步在线研究响应中心

组织： 疑似Patchwork（又名白象/摩诃草/APT-Q-36，印度）

攻击目标：中国科研院所

攻击手法： 【钓鱼攻击】

研究人员发现攻击者通过挂载恶意链接投放诱饵文档，文档内容主要面向于科研院所，文档包含CVE-2017-11882的漏洞利用，触发漏洞后释放白象组织专有的BADNEWS远控木马。研究人员称，截止分析时仅发现诱饵文件的挂载链接，未发现相关的攻击邮件，挂载网站很可能为攻击者自行搭建。并且在跟踪分析期间，链接指向内容发生过多次变化。9月28日捕获到的攻击者伪造诱饵文档，名为“重大项目领域建议.doc”，创建时间为2022年09月27日。

释放的木马程序名为“mcods.exe”，属于白象组织长期使用的专有远控BADNEWS家族，具有多种功能。木马此次针对中国进行攻击，会检测受害者主机的时区是否为中国，窃取受害者数据发送到攻击者C2服务器，对受害主机进行命令与控制等。

ATT&CK

归因分析： 1、此次释放的木马mcods.exe是白象曾使用过的BADNEWS远控家族。此次木马的远控指令和功能，与PaloaltoNetworks在2018年发布的BADNEWS远控分析报告中的描述完全一致。

2、两者的C2回传路径和PHP名、加密算法密钥、主机基本信息内容及组合格式等等都高度一致。

3、此次木马使用的数字证书也被白象组织的其他攻击活动中所使用。

综上所述，将此次攻击归因于 Patchwork 组织.

原文链接：

https://mp.weixin.qq.com/s/BXjZ6fEgNmLY_l8cZt1FXQ

发布平台： 安天集团

组织： 疑似透明部落（又名Transparent Tribe／APT-C-56／APT36，南亚）

攻击目标： 印度政府组织

攻击手法： 【水坑攻击】

1、应用程序分配机制

威胁行为者经常注册新域并托管网页，冒充印度政府官方 Kavach 应用程序下载门户。然后，它滥用谷歌广告的付费搜索功能，将恶意攻击者注册的虚假网站推送到谷歌返回的搜索结果的顶部，这些关键词是从印度搜索时与 Kavach 相关的关键字，如“Kavach 下载”和“Kavach 应用程序”。威胁行为者利用 Wordpress 托管这些网页，并且主题在所有恶意页面中保持一致。除此之外，研究人员还发现该威胁组控制了某些第三方应用程序商店，这些应用市场提供各种应用程序的下载。例如 acmarketsapp[.]com 应用市场，该应用商店用作网关，将用户重定向到攻击者注册的域，该域托管 Kavach 应用程序的后门版本。每次攻击者注册一个新的恶意网站时，他们都会更新应用商店上的下载链接，以指向最新的攻击者注册的网站。

2、工具

从 2022 年 8 月开始，该组织开始使用一种新的数据泄露工具，研究人员将其命名为 Limepad。

3、时区检查

虽然此活动中 APT-36 使用的大多数二进制文件只有在用户的机器配置了印度时区 (IST) 时才会执行，但研究人员还发现 2 个使用相同代码库的二进制文件，其中包括对印度和斯里兰卡的时区检查兰卡。

4、凭据收集攻击

攻击者以各种 Kavach 相关主题攻击政府用户，目的是窃取政府雇员的凭据。威胁参与者可以进一步重复使用这些凭证来访问政府相关的基础设施。此域仅在从印度 IP 地址访问时才会重定向到恶意登录页面，否则会重定向到 NIC 的合法官方域 nic.in。

用于分发后门 Kavach MFA 应用程序的恶意广告活动

归因分析： 

1、该组织针对在印度政府组织工作的用户。

2、APT-36 团体常使用印度政府组织内部使用的应用程序作为社会工程主题。

3、发现诱饵文件存在元数据关键指标“/Author(Apolo Jones)”曾在该组织之前的攻击中出现。研究人员分析了诱饵 PDF 文件时发现其元数据中存在关键指标“/Author(Apolo Jones)”，并且使用Microsoft Word 2016 生成 PDF，这与2022年APT-36使用的Kavach应用程序的多个后门变体的PDB路径中存在的字符串相同（PDB路径：C:UsersApoloJonessource reposKavachobjReleaseKavach.pdb）。

综上所述，研究人员以高置信度将此次攻击时间归因于透明部落组织。

原文链接：

https://www.zscaler.com/blogs/security-research/apt-36-uses-new-ttps-and-new-tools-target-indian-governmental-organizations

发布平台： zscaler

组织： 疑似Gamaredon（又名Armageddon/ GammaLoad/ UAC-0010/APT-C-53/，俄罗斯 FSB）

攻击目标： 欧盟和东欧国家国防和政府部门的实体

原文概述： 攻击者已经开始使用一种新的代码执行技术，该技术依赖于 Microsoft PowerPoint 演示文稿中的鼠标移动来触发恶意 PowerShell 脚本。攻击者使用 PowerPoint (.PPT) 文件引诱目标，该文件据称与经济合作与发展组织 (OECD) 相关。PPT 文件包含一个超链接，用作使用 SyncAppvPublishingServer 程序启动恶意 PowerShell 脚本的触发器。在 PPT 文件中有两张幻灯片，均以英文和法文提供了使用 Zoom 视频会议应用程序中的解释选项的说明。当以演示模式打开诱饵文档并且受害者将鼠标悬停在超链接上时，代码执行运行一个 PowerShell 脚本，该脚本从 OneDrive 下载并执行一个 dropper。后者下载一个有效载荷，该有效载荷本身提取并注入一个新的 PE（便携式可执行文件）文件，分析表明该文件是名为 Graphite 的恶意软件系列的变体，它使用 Microsoft Graph API 和 OneDrive 进行 C&C 通信。

归因分析： 基于IOC、攻击基础设施、攻击对象为地缘政治目标，研究人员将这次活动归因于APT28。

原文链接：

https://blog.cluster25.duskrise.com/2022/09/23/in-the-footsteps-of-the-fancy-bear-powerpoint-graphite/

发布平台： cluster25

美国国防部近日宣布，将新一批中国公司列入黑名单，其中有中国知名无人机制造商大疆创新、深圳华大基因等。最新一批进入美国国防部黑名单的中国公司有 13家，其中包括大疆创新、深圳华大基因、360 科技、中国中建等。美国国防部称，这些公司直接或间接地在美国运作，他们将继续酌情增加更多实体，更新清单。这份名单禁止美国公司买卖目标公司公开交易的证券。这项命令旨在阻止美国投资支持中国的军事工业综合体，以及军事、情报和安全研发项目。

原文链接：

https://www.bbc.com/zhongwen/simp/chinese- news-63160055

发布平台： bbc

根据美国政府问责办公室周二发布的 一份报告，移民和海关执法部门可能需要更新其中一个数据库，以获取更多有关外国实体通过国际学生获得美国技术的风险的数据。报告称，2016-2020年在美国大学学习STEM的外国研究生中，32%来自中国，41%来自印度，2%来自伊朗，2%来自台湾，2%来自韩国，20%来自中国。所有其他国家。GAO 指出，各机构已经确定了几个因素，这些因素表明可能对向外国实体转让技术构成最大风险的学生类型，例如学生是否“来自像中国这样的受关注国家”。 

原文链接：

https://www.gao.gov/products/gao-23-106114

发布平台： GAO

鹦鹉螺安全与可持续性研究所的高级研究员理查德·坦特称位于艾丽斯斯普林斯附近的美澳联合间谍基地正在进行重大升级。在用几个月的时间研究当地的卫星图像后，坦特发现当地的巨型天线数量在过去七年中增长了超过三分之一。坦特称松树谷在高度关注中国，目前的优先事项是提前探测中国的军事设施。松树谷基地的雷达能够探测到对手导弹的发射，为美国的导弹防御系统提供信息，让美军能够击落来袭目标。而该基地拥有的地理定位设备能用来发现对手的导弹发射阵地，为攻击这些阵地提供情报。

原文链接：

https://mp.weixin.qq.com/s/gd2Hr3dZBfsN4q6byzKlWg

发布平台： 环球时报

路透社发现，苹果(AAPL.O)和谷歌(GOOGL.O) 在线商店中的数千个智能手机应用程序包含由科技公司Pushwoosh开发的计算机代码，开发该代码的公司看似位于美国，但实际上却属于俄罗斯。根据应用情报公司Appfigures的数据，在苹果app Store和谷歌的Play Store的近8000个应用中发现了Pushwoosh的代码。如果此事坐实，可以说又是一起不亚于SolarWinds软件供应链攻击的经典操作。

原文链接：

https://mp.weixin.qq.com/s/8yvjuBVpc1rrUIuxplKZWg

发布平台： 网空闲话

美国参议员罗恩·怀登在周三的一封信中称，有多个军事情报办公室向数据经纪机构付费访问互联网流量日志，这可能会暴露美国公民的在线浏览历史。该消息援引了一位主动联络其办公室的匿名举报人的说法。包括陆军和海军在内，美国国防部内部至少有四个机构，花费了至少350万美元使用一款鲜为人知的数据监控工具。据报道，该工具能够提供海量电子邮件数据及网络浏览活动的访问权限。怀登周三致信国防部、司法部和国土安全部的监察长，敦促他们对各自机构购买数据的行为开展调查，并称他已确认“有多个政府机构在未经司法授权的情况下，购买美国公民数据”。

原文链接：

https://www.documentcloud.org/documents/22670252-1763_001

https://www.vice.com/en/article/y3pnkw/us-military-bought-mass-monitoring-augury-team-cymru-browsing-email-data

发布平台： documentcloud、vice

英国《星期日泰晤士报》5日披露了英国情报公司是如何雇用印度黑客对企业、记者和政治人物进行非法“调查”的，它显示犯罪分子代表专制国家的调查人员、英国律师及其富有的客户锁定了 100 多名受害者的私人电子邮件帐户。该调查的一个引人注目的方面是，近年来，计算机安全公司有一种趋势，即假装正在培训“白帽”黑客，以便他们的知识可以用来保护客户免受在线攻击——然而，实际上他们正在为网络攻击做准备。

原文链接：

https://www.thebureauinvestigates.com/stories/2022-11-05/how-qatar-hacked-the-world-cup

https://www.thebureauinvestigates.com/stories/2022-11-05/inside-the-global-hack-for-hire-industry?&web_view=true

发布平台： thebureauinvestigates

黑客组织 Guacamaya 披露了 2015 年至 2022 年间来自智利参谋长联席会议的数千封电子邮件，该参谋长联席会议是由陆军、海军和空军成员组成的国防部咨询机构。这些电子邮件包含机密文件，包括对据称对社会爆发负责的政治团体的解释。

原文链接：

https://interferencia.cl/articulos/mails-hackeados-informes-del-emco-recomendaron-familias-castrenses-estar-abastecidas-al

发布平台： interferencia

360高级威胁研究院近期捕获了一些由黑产团伙发起的类似的攻击活动。攻击者模仿APT-C-26（Lazarus）组织下发加密PDF文档作为诱饵和具有诱惑性名称的LNK恶意文件手法，之后下发不同的恶意载荷，例如IceDid或挖矿木马等。研究人员以一些攻击活动作为案例展开分析以揭示诱惑性LNK恶意文件攻击的手法，发现黑产团伙组织的技战术正在逐渐呈现APT化的趋势。

案例1

案例2

案例3

原文链接：

https://mp.weixin.qq.com/s/vSpNiS8vF2OLJw18MJIHnQ

发布平台： 360威胁情报中心

CrowdStrike 的研究人员发现了一个全新的加密劫持活动“Kiss-a-dog”，其中攻击者针对易受攻击的 Docker 和Kubernetes 基础设施。根据研究人员的说法，攻击者使用多个命令和控制 (C2) 服务器发起攻击，试图挖掘加密货币、利用用户和内核模式 rootkit 隐藏活动、后门受损容器、横向移动网络并获得持久性。研究人员从 TeamTNT 之前使用的同一命令和控制服务器 (C2) 中检测到多个针对 Docker 的活动。此外，攻击中使用的策略、技术和程序在过往攻击中都是相似的。根据 Shodan，中国大约有 3463 个互联网公开 的 Docker 实 例 、 大 约 有 15734 个 互 联 网 公 开 的Kubernetes 实例。

原文链接： 

https://www.crowdstrike.com/blog/new-kiss-a-dog- cryptojacking-campaign-targets-docker-and- kubernetes/

发布平台： crowdstrike

Spymax RAT 的代码是公开的，因此它被多个团体和个人使用。Spymax RAT 的一种变体最近被用于攻击印度国防人员：国防人员通过 WhatsApp Chat 使用促销信被引诱，然后被诱使安装伪造的 PDF 阅读器应用程序；接着恶意应用程序将获得对设备资源的访问权，以收集和过滤机密数据。

由于目标具体是国防人员，并且由于该活动已经运行了相当长的时间，因此研究人员怀疑民族国家威胁组织是这次攻击的幕后黑手，以窃取敏感信息。但是目前无法将当前的攻击归因于特定的民族国家威胁行为体群体。

原文链接：

https://www.cyfirma.com/outofband/unknown-nation-based-threat-actor-using-android-rat-to-target-indian-defence-personnel-2/

发布平台： cyfirma