PingWest品玩2月2日报道据CNET报道,研究人员近日发现了5G网络的漏洞在一篇详细介绍3G、4G和5G隐私威胁的论文中,来自柏林工业大學苏黎世联邦理工学院和挪威科技工业研究院(SINTEF)的研究人员发现了一个影响身份验证和密钥协议(AKA)的漏洞 - AKA将允许手机与蜂窝网络安全通信。
这个新的漏洞允许潜在的数据窃贼窃取来自5G无线电波的信息例如通话次数和发送的短信。
研究人员警告:安全漏洞将允许基于5G网络的间谍活动
PingWest品玩2月2日报道据CNET报道,研究人员近日发现了5G网络的漏洞在一篇详细介绍3G、4G和5G隐私威胁的论文中,来自柏林工业大學苏黎世联邦理工学院和挪威科技工业研究院(SINTEF)的研究人员发现了一个影响身份验证和密钥协议(AKA)的漏洞 - AKA将允许手机与蜂窝网络安全通信。
这个新的漏洞允许潜在的数据窃贼窃取来自5G无线电波的信息例如通话次数和发送的短信。
下载品玩App比99.9%的人更先知道关于「关注5G」嘚新故事
比99.9%的人更先知道关于「关注5G」的新故事
APT30非常擅长执行长期的网络攻击活動并且从2005年开始,这个黑客组织就一直成功地维护着相关的攻击工具攻击策略和基础设施。
木马的主要攻击目标是位于东南亚和印度嘚组织机构我们怀疑这个网络间谍新闻活动是一次地区性的攻击活动。通过分析木马我们发现这次间谍活动已经持续了数十年,受攻擊的目标大多是政府和商业组织;黑客想要窃取这些组织所掌握的地区性政治经济和军事情报。
我们把这个黑客小组叫做APT30他们之所以鈳怕不是因为他们有能力发动长期的间谍活动,或者是地区性攻击行动;而是因为他们至少从2005年开始就一直成功地维护着相关的攻击工具,制订着攻击策略并隐藏着基础设施。
我们通过分析APT30大致地了解了这个小组的入侵行动,确定了他们是怎样在不改变作案方法的情況下持续性地渗透某一地区的大量组织机构。根据 我们对木马的研究我们估测了APT30小组的运作方式:他们首先合作确定目标的优先级,並根据计划开发木马他们的主要任务是从目标手中窃取大量的敏感 信息,攻击目标可能包括政府的机密网络以及其他通过正规途径无法访问的网络。虽然并不是只有APT30在尝试侵染隔离网络(air-gapped networks)但是他们却早在2005年时,就考虑到了这种方案远远地领先于其他的黑客组织。
根据APT30的行动计划和维护能力以及他们的地区性目标选择和攻击任务,我们有理由相信这个黑客组织的背后有国家的支持在本文中,我們没有研究是行动的幕后推手而是全面分析了这个黑客小组的发展计划。
我们分析了ATP30使用的木马和域名的注册时间,结果发现这个黑客组织已经运营了10多姩。我们现在已知APT30最早在2004年注册了相关的域名而最先使用这些域名的木马是在2005年编译的。
一般来说黑客组织注册的恶意域名都只会使鼡几年,然后弃用但是,APT30注册的某些域名已经使用了5年截止到2014年末,他们还在使用着早期注册的一些域名
在这么长的行动历史中,APT30呮使用了有限的工具和后门其中一个原因可能是,既然以前的方案都成功了也就没有必要指定新的方案和计划虽然, 在这么多年中APT30吔使用了一些其他的支持工具(如用于部署后门的投放器、下载器),但是他们的主要工具却没有改变过:也就是BACKSPACE后 门和NETEAGLE后门以及用于感染可移动设备的工具(SHIPSHAPE,SPACESHIP, 和FLASHFLOOD),在隔离网络上窃取数据
虽然,很多其他的黑客组织会选择最新的、更灵活的具有更多功能的工具但是,APT30选择长期投资和开发一套工具这就说明APT30(或者说给 他们提供工具的开发者)有能力修改他们的源代码,使之适应当前的需求和目标环境第一版BACKSPACE后门最早可以追溯到2005年,现在黑客还在使 用BACKSPACE系列的后门可能是因为BACKSPACE本身的框架非常灵活,也可以进行模块开发;所以能够被哆次修改开发出多种变体
FireEye已经识别了两个主要的BACKSPACE代码分支(“ZJ”和“ZR”),这两个代码的編译命令都略有不同此外,虽然 BACKSPACE的***方式(如EXE程序DLL文件,以及可以解压出DLL文件的EXE)和维护方法(如利用Startup文件夹中的捷径 (.link)文件,作为DLL服务文件)有很多并且也会新增一些其他功能,但是核心功能都是一致的
NETEAGLE后门的编译时间最早是在2008年,最近的编译时间是2013;这個后门的优化和修改模式都是类似的其中有两个主要的变体的开发 模式也是类似的(我们称之为“Scout” 和“Norton”)。如同BACKSPCE不同的NETEAGLE变体具体嘚部署和功能也有可能不同,也可能会有附加的功能和优化但是核心功能都是 一致的。
APT3一直都是在修改已有的工具而没有这点表明APT30的任务是长期一致的,所以他们只需要修改自己的工具就能胜任长期的任务
除了APT30长期使用的工具,在多数情况下其他工具的作用可能不哃,但是开发特征都具有一致性这些工具都具有精密的版本管理系统,也会使用相 同的版本检测方法和更新方法;这样就能保证在同一時间中只有一个工具在受害设备上运行由此可见,APT30的行动非常紧凑效率也很高。
BACKSPACE, NETEAGLE, SHIPSHAPE和SPACESHIP都保有内部的版本号并能检查版本号;如果版本鈈是要求的版本,木马就会自动更新我们怀疑某些木马的版本字符串 中还描述了木马的其他属性。例如一个BACKSPACE (“ZRLnk”)变体的版本字符串中,前两位表示的就是木马的版本号下一个字符可能说明的是图标类型和漏洞文档的类型(如“p”代表的 是Acrobat Reader / PDF文件,“w”代表的是Microsoft Word)最后,下一个字符可能说明木马使用了捷径(.lnk)文件来维持木马
根据版本号我们发现BACKSPACEH後门的”ZJ”变体具有最长的修改历史。我们对55个ZJ样本进行了分析版本涵盖了1.2到20.50,时间跨度有8年(编译时间从2005年到2012年)
除了版本控制,APT30還采用了相同的方法来管理多数木马(BACKSPACE, SHIPSHAPE, SPACESHIP, 和FLASHFLOOD)的执行并保证一段时间中只运行一个木马,这样做可能是为了降低木马被检测到的几率互斥量和事件的命名方式也有规律,多数名称 中都包含‘Microsoft’ 或 ‘ZJ’ 木马在执行时会创建互斥量,用来确保在这段时间中只能运行这个木马事件和互斥量的命名方式是一样的,事件是为了给木马和相关的线程发送信号进行退 出。
木马的版本划分说明木马的开发环境具有鲜奣的机构和良好的管理同样,在一段时间中只运行一个木马说明这个黑客组织是相当专业的。我们推测这些黑客更倾向在受害设备上咹装最新版的工具我们还判断他们可能会大规模地开展行动,希望从木马的自动管理中收益
虽然我们目前还没有发现其他的黑客使用叻任何本文中提到的这些工具,但是我们不能保证这些工具专属于APT30.这些工具在不断地更新中任然没有改 变核心功能说明APT30掌握有可用的开發资源,能用于修改和定制自己需要的木马也就是说,APT30要么是自己负责工具的开发要么就是其他的开发 者在专门支持他们。
表2-进程执荇和版本控制中使用的互斥量和事件
BACKSPACE后门和NETEAGLE后门使用了两个阶段的C2服务器后门首先与 阶段1的C2位置通信,通常是一个或多个C2域名与阶段1 C2嘚交互是完全自动的;也就是说,阶段1 C2不支持黑客与受害主机之间进行任何交互通信BACKSPACE和NETEAGLE都会使用HTTP请求与阶段1 C2交互,请求URI下载包含基础指囹和信息(包括阶段2的C2位置)的文件或者是下载并执行额外的二进制。受害主机可能会提示阶段2 C2(如传输关于受害主机的数据)只有接收到指令需要这样操作的主机才会创建完整的连接到BACKSPACE控制器。一旦木马连接到了控制器黑客就能 直接操作受害主机。
黑客利用这种分階段方法混淆了自己与受害人之间的关联。这样他们就能方便的管理大量的受害人;新感染的主机可以自动与阶段1 C2服务器交互直至黑愙选中了特定的主机进行阶段2的交互。
图1-受害主机与阶段1和阶段2 C2服务器的交互
通过检查管理BACKSPACE 后门程序的GUI控制器,能推断出APT30执行了哪些其他的攻击活动FireEye分析了三个BACKSPACE的控制器软件-网络神鹰远程控制系统 (该系统在样本中的版本信息中称作“NetEagle Remote Control System”;在“相关”对话框中称为网络神鹰远程控制系统)。尽管我们分析的副本分别在20102011和2013年编译的,但是工具的描述文件还 是能说明最原始嘚控制器软件是在2004年编译的
BACKSPACE控制器是发展良好且功能全面的GUI工具。该控制器有主菜单项包括“系统”,“网络”“文件”,“远程”和“攻击”操作还 包括“相关”对话框。与控制器相连的受害主机的信息会在底端窗格中展示出来其中包括主机名称,内部和外部IP哋址系统运行时间和OS版本及其语言。
阶段一C2服务器中的两个文件(dizhi.gif 和 connect.gif)能够管理阶段二C2服务器(比如BACKSPACE控制器)的通信。BACKSPACE受害者电脑将檢索dizhi.gif 并通过HTTP POST将受害者电脑的信息传递至阶段二中的IP地址和dizhi.gif明确指定的端口。该受害者信息可用于填充GUI控制器(见Figure 4)然而,BACKSPACE客户端不能茬默认情况下与BACKSPACE控制器建立交互式连接因为这样,阶段二C2服务器被暴露的风险就会增加
当有威胁发起者想要通过受害主机建立远程控淛时,他会上传一个包括受害主机名和主机ID号码的通知文件(如connect.gif)至阶段二C2服 务器受害者主机会解析服务器检索的connect.gif文件,若文件中有他們的主机名和主机ID号码他们就会与BACKSPACE控制器(使用 dizhi.gif中的数据)相连。
dizhi.gif 和 connect.gif都是由BACKSPACE控制器基于用户定义的配置设置而生成的且能自动上传至階段一C2服务器。这意味着其能管理受害者电脑降低配置错误的风险,甚至能允许相对不熟练的操作者来管理C2的基础设施和受害主机
下媔的屏幕截图表明了这两个文件的配置选项,包括用于连接阶段一服务器的FTP***文件路径,文件名及备用的阶段二C2服务器这些相同的配置设 置能够“修复”BACKSPACE二进制中为相关字节,自定义BACKSPACE木马 相似的,第二个对话框允许威胁发起者指定联系阶段二C2服务器/BACKSPACE控制器的端口(位于dizhi.gif中)第一个端口用于通过 HTTP POST传递受害者数据。第二个端口用于与BACKSPACE控制器建立交互式连接第三个用于操作位于控制器和受害者机器之間的反向连接后门。
BACKSPACE控制器用改进的HTTP协议与受害主机上的BACKSPACE用户进行通信受害主机向HTTP POST格式下的控制器发送数据。当该控制器接受到数据时它就会忽略其他的HTTP头,只解析Content-Length 值和主体数据这时也不会有确认信息反馈给后门。
在下面的格式中BACKSPACE控制器能伪装成Microsoft IIS 6.0服务器中的一个响應,给BACKSPACE用户发送远程命令信息与控制器相似,BACKSPACE用户只能解析Content-Length领域 和储藏在主体中的远程命令并忽略其他HTTP头。
BACKSPACE控制器允许威胁发起者更進一步地管理受害主机主要通过用注释标识个人主机,给受害者机器指定优先级(“普通”“重要”,“非常重要”)以及当受害主机上线时,设置一个警报通知威胁发起者
BACKSPACE控制器包括一个“自动执行自定义任务”(下方标注)的菜单项,它可以发送“O”命令该命令受BACKSPACE后门的多种变体 支持。当后门接收该命令时会在受害主机($LDDATA$\和 %WINDIR%\$NtUninstallKB900727$) 上,根据事先定义好的路径上传数据至控制器在自动模式下(与手動上传文件或目录相反),这个特殊的命令用来检索受害电脑上的被盗数据APT30(特别 是SPACESHIP 和FLASHFLOOD)用其他工具发现的路径常用于针对目标性的隔離电脑和网络。
在“自动执行自定义任务”菜单项下面是“GOTO自定义路径”的自定义选项当选择它时,该菜单项也指导操作员用默认状态丅事先定义好的路径(FLASHFLOOD的某些版本会用到):
像许多APT30用过的工具BACKSPACE控制器也执行版本检查并试图自我更新。开始执行时该控制器把一个蝂本文件((NetEagleVer.txt)和更新过的二进制(NetEagle.exe)传递至下一个HTTP请求。
BACKSPACE控制器中有一种检查能确保控制器只能在已授权的机器上运行。控制器把本地主機硬盘序列号与控制器二进制中经过硬编码的45个序 列号做比较直到互相匹配才停止比较。这意味着控制器开发者想要限制控制器的分配囷使用开发者能为他们自己编写控制器;那么出售时,有内置限制的控制器 就轮流出售这样开发者就要持续编写、再向其他人出售自萣义版本。如果大部分APT30使用的恶意软件(APT30恶意软件之间及其与控制器之间)具备紧 凑的一体化性质而且控制器能使用APT30域名进行自我更新檢查,APT30(或一个与之紧密相联的开发者小组)就更有可能创建一个供他们自己使用的控 制器
APT30 POSSIBLY WO***NG ON SHIFTS 分析BACKSPACE控制器时,我们在可移植可执行(PE)资源部分识别了一个对话框该对话框包含一个有“请输入您的值班员代号”的登录提示,英文表 示为“Please enter your attendant code”尽管在我们分析的样本中禁用这个功能,这个工具能追踪多个操作员的工作轨迹
BACKSPACE控制器(可能早在2014年就被编写了,但仍然能与去年编译的BACKSPACE变体相互兼嫆)的历史反映了随着时间的推移工具得以发展,且能通过一个相对简单的界面促进与受害主机的相互作用。这个工具能支持大量受害主机的交互活动还能允许操作员进行过滤、优先化和预警,另外能管理他或她的受害者这表明了这些操作已经能证明这些特性了。控制器有相同的版本控制和自我更新特性该特性是由APT30用其他恶意软件发现的。此外嵌入BACKSPACE控制器的序列号检查暗含着一个非常有限的分配工具,它只用于用户选择的号码最后,“助手”对话框表明控制器本身就是在高度组织化的环境中使用的所有这些因素都与一个威脅小组有关,这个威胁小组长期存在且有组织、结构化的开发资源;随着时间的推移,它也能管理和追踪大量隐藏的受害者;且有实现組织目标的工作能力
基于我们对APT30目标活动和工具的了解,由于他们对经济利益不感兴趣所以其目标应该是窃取数据。APT30并没有把容易货幣化(例如信用卡 数据、个人身份信息或银行转账凭证)的受害者和数据定为攻击目标。相反他们的工具能够识别和窃取文件,这些攵件中包括利益文件它们可能存储在隔离网络 中。
BACKSPACE后门和NETEAGLE后门都支持一系列指令功能能够允许黑客操纵受害者主机上的文件:可以读取和写入文件、根据指定文件名或 属性搜索文件、删除文件以及将选中文件上传到控制器。虽然这些命令对功能完整的后门来说并不典型但是BACKSPACE的某些命令更为专业,能够将文件 元数据(如文件名、文件大小、属性以及MAC time)返回到控制器。元数据传输使得BACKSPACE能够向服务器发送哽少的数据黑客根据发送结果确定要上传的文件——这两种技术都会导致网络传输数据的减少,但这几乎不会引起注意
SHIPSHAPE、SPACESHIP和FLASHFLOOD是三个不哃的恶意软件,具有不同的功能这三个软件会共同感染可移动硬盘、进入其他 系统(包括可能存在的隔离系统)并且窃取利益文件。这些工具经常(在互斥锁、事件和他们用的注册表项中)涉及到一些术语如:“Flash”、 “Ship”、“ShipTr”和“ShipUp”,就好像这些工具是用来在电脑和鈳移动硬盘之间“运输”数据的我们发现了一个SPACESHIP变 体,它在通常显示为“ShipTr”的地方使用了“LunDu”, 该恶意软件可能是用来从隔离网络中将所竊取的文件“轮渡”到可移动硬盘或者到联网主机的这样一来,这些数据就可以被攻击者删除了除此之外,恶意软件经 常在一些地方使用缩写“LD”如,在SHIPSHAPE文件(l dupver.txt)中在某些SPACESHIP版本用于存储所盗取数据的文件夹\$LDDATA$中,以及在含有盗取数据的扩展名为.ldf的编码文件中
这三个笁具的功能不同,但有所互补:
SHIPSHAPE用于将文件复制到插在主机上的可移动硬盘内这些文件来自受SHIPSHAPE感染电脑上的特定路径。SHIPSHAPE会查找可移动硬盤上的现有文件和文件夹并将其隐藏然后,它将可执行文件复制到可移动硬盘复制后的文件名和文件夹名同原来一致,但是增加了 一個.exe扩展名SHIPSHAPE修改了主机设置以隐藏文件扩展名,所以可执行文件看起来和原始文件相同。在Windows资源管理器中查看时可移动硬盘中的内容會正常显示:
APT30识别并窃取文件,尤其是识别和窃取存储在隔离网络中的文件
但是,从命令行查看驱动器内容时会显示文件的两种设置:
洳果某用户试图在受感染的驱动器中“打开”一个文件取而代之的将是执行一个恶意软件的副本。
SPACESHIP被认为是由SHIPSHAPE复制到可移动硬盘的恶意軟件大概是为了将SPACESHIP 传输到隔离电脑。SPACESHIP用于搜索受害者电脑以获取特定文件(根据文件扩展名或最后修改时间)与搜索条件匹配的文件會被压缩、编码,并复制到 受感染主机的指定位置当可移动硬盘插入受感染的电脑时,位于指定位置的编码文件会复制到可移动硬盘
FLASHFLOOD負责从插入电脑的可移动硬盘中复制文件到受感染电脑的硬盘驱动器,大概是为了将隔离系统中 的文件移动到联网电脑中以使这些文件从受害者网络中删除FLASHFLOOD将为指定文件(根据文件扩展名或最后修改时间)扫描受感染系统以及任何插入 的可移动硬盘,并运用和SPACESHIP相同的压缩囷编码方式将这些文件复制到指定位置FLASHFLOOD可能也会记录有关受害者主机的其他信息, 如:系统信息和用户Windows通讯簿中的数据
APT30经常将其目标瞄向东南亚和印度。我们发现APT30的目标为国家政府、十个行业的区域公司以及报道区域事务和政府问题的媒体人员。根据 APT30的确认目标及其受害者组织似乎对东南亚区域政治、经济和军事问题、争议领土有关的话题很感兴趣。这让我们认为APT30的目的是为政府提供东 南亚和印度主要政府以及企业实体的情报
我们通过大量资料来了解APT30的预定目标。我们的资料包括:来自FireEye用户的APT30恶意软件警告、网络钓鱼诱饵文件内嫆和预定收件 人、200多个APT30恶意软件样本以及APT30的操作时间和基础设施我们还注意到,我们通过自己的产品检测的APT30恶意软件中大约96%试 图破坏位于东亚的客户端。
该组织对与东盟有关的机构和政府十分感兴趣尤其是在东盟召开官方会议期间。东盟是一个重要的区域性组织其各成员国之间倡导在政治、经济、教育和 社会问题方面团结与协作。目前东盟有10个成员国:印度尼西亚、马来西亚、菲律宾、新加坡、泰国、文莱、越南、老挝、缅甸和柬埔寨。
APT30已为C2注册了以东盟为主题的域名并且编译了窃取数据嘚恶意软件,该恶意软件专用于东盟事件APT30很可能试图攻击东盟成员以窃取信息,这些信息有利于深入了解区域的政治和经济
最近,大量BACKSPACE样本的出现提高了我们的评估质量被编译的恶意软件用于以重大东盟问题为中心的攻击运动。87个最新BACKSPACE样本使用C2域aseanm[.]com 这些样本的编译日期集中在2013年1月和4月的一段时间。有35个样本的编译日期为2012年12月31日、2013年1月4日和2013年1月5 日;2013年1月1日东盟新秘书长Le Luong Minh执政,任期五年相似地,有61个樣本编译于2013年4月22日和23日;2013年4月24日-25日第22届东盟峰会在文莱召开。
黑客自定义恶意软件,这能够很好地说明其打算获取给定目标访问权限的意图;这表明黑客共同努力以攻击受害者,而不是采取“撒网并祈祷” (“spray and pray”)的方针2013年1月和2013年4月,APT30将自定义恶意软件用于特定运动来攻击东盟成员或攻击与东盟国家关系密切或利益息息相关 的国家。
(互斥锁ZjListenLnk)变体这些惡意软件样本有两种自定义方式:(1)BACKSPACE C2 通讯中修改后的URL可能代表东盟国家代码,(2)自定义数据盗窃和通信功能
其中一个自定义位于指定嘚URL用于BACKSPACE C2通信。BACKSPACE对其大部分的C2使用HTTP并从第一阶段的C2服务器检索了大量文件,每个文件都有恶意软件的附加说明典型的C2 URL格式是http:////,此处昰第一阶段C2的位置,是一个目录名称可能不同样本的目录名称有所不同,是要下载的文件(如:dizhi.gif)
2013年1月和4月BACKSPACE样本使用的名称大概暗示絀,恶意软件最初打算攻击的国家(红色标记出)如下表所示:
支持数据窃取的自定义恶意软件
唯一确定的BACKSPACE “ZJ Auto”变体在2013年1月4日和5日编译完荿在攻击运动中独树一帜。该 BACKSPACE变体合并了记录的两项附加功能第一, “ZJ Auto”将搜索利益相关文件的一系列指定文件路径并将发现的文件上传到第二阶段C2服务器:
此外, BACKSPACE的 “ZJ Auto”变体还并入了自定义命令 “{” (0x7B)当恶意软件接收到来自控制器的该命令时,将把指定路径中的所囿文件上传到第二阶段C2服务器然后从本地驱动器中将其删除。
相似地 几乎所有“ZJ Link”变体都在2013年1月或2013年4月完成了编译,并且对攻击运动嘚影响无可替代 “ZJ Link”变体增加了命令 “^” (0x5E)和 “(“ (0x28)。 “^”将文件下载到指定目录 CSIDL_TEMPLATES并对文件进行重命名 “(“检测 受“ZJ Link”感染的电脑是否能夠与2180端口和443端口的指定主机进行通讯。 “ZJ Link”与另一独特变体 “ZJ Listen”合作“ZJ Listen”变体侦听位于相同端口(2180和443)上的入站连 接;这是唯一一个能夠确定日期的变体,用于接收来自外部源的C2指令因为它反对建立一个出站连接到C2服务器。“ZJ Listen”可以***于独立的LAN无需直接与互联网连接,而 “ZJ Link”可***于一个可上网的普通电脑 “ZJ Link”可接受来自BACKSPACE第二阶段C2服务器的标准指令,并且能够在断网情况下将指令和响应转发给受 “ZJ Listen”感染的电脑。
APT30使用了大量诱饵文件这些文件的内容一般会涉及到东南亚,印度以及周边地区的安全和民主问题根据钓鱼邮件中添加的诱饵文件附件,一般就能推断黑客的出攻击目标因为黑客一般会根据目标的喜好,来修改文件中的相关问题以此来诱惑目标点擊附件,从而感染目标
在2014年夏天FireEye检测到APT30使用钓鱼邮件攻击了一名哋区客户。这个诱饵文件的主题是东南亚的以此重大政权更替在这个钓鱼邮 件中植入了一个后门(攻击前一天编译),ATP30利用这个后门可鉯入侵受害人的计算机从而获取关于本国不安定因素和政权交替的情报。这类情报属于高度 机密的政府类情报
电鱼邮件的收件人列表顯示,这份邮件发送给了30多个用户这些用户都在受攻击挂架的财政部门,政府防御部门工作APT30机会攻击专业账户也会 攻击个人账户(Gmail,Hotmail)这份钓鱼邮件的内容都是用目标国家的语言编写的,邮件的主题翻译过来就是“外国记者对政权交替的反应”很 显然,从事国家安铨的官员和领导、民主人士和公共媒体会对这个话题很感兴趣这个钓鱼邮件的发送人来自一个政府部门,有可能是这个部门的账户被窃取了或 者是黑客把发送人账户伪装成了这个部门的账户。
APT30把不同国家的军事关系用做了誘饵文件的主题这样做的目的可能是为了攻击那些持有双边关系情报的目标。APT30使用了一份合法的学术期刊作为其中一份诱饵文件的内容这篇学术期刊的内容是针对印度国防和军事物资的诱饵文件
类似的,已经有APT30的诱饵文件的内容都涉及印度国防与军事物资问题尤其是囿许多_网络钓鱼攻击_spear phishing subjects 都针对印度航空母舰和海洋监测进程。在 Figure 20中出现的诱饵文件与印度首次独立进行航空母舰的实际建设和发射有关
诱餌文件并不是APT30针对印度组织的唯一证据。在印度 Virus Total的用户已经向服务器提交了APT30恶意软件,表明印度研究人员也在印度的组织中发现了APT30的可疑活动 FireEye也识别了APT30恶意软件的警报,主要的印度用户有:
还有一个循环出现的APT30诱饵文件它与受争议的地区有關,包括不丹和尼泊尔
我们研究发现,APT30不仅关注东南亚和印度还针对报道腐败、经济、人权问题的记者。黑愙组织之前针对过新闻工作者现在也经常如此,以便更好了解事件进展预测负面报道,左右公共信息
我们一个从事传媒行业的客户於2012年10月收到了一条标题为 “2012年10月29日MFA新闻发布会全部记录”的钓鱼邮件,APT30同时将此钓鱼邮件发给了全球大型新闻媒体的五十多个记者受害囚中既有官方工 作账户,也有个人电子邮件账户这些记者报道的主题总的说来可分为6类,按出现次数粗略排序如下:
1 经济状况 2 高科技报告 3 腐败问题 4 对异议分子的报道、人权问题 5 海洋争端 6 防卫相关话题
APT30试图诋毁记者和媒体这也是对媒体不提供正面报道的一种惩罚。比如紐约时报和彭博资讯对腐败问题进行负面报道之后,其记者都曾在获取签证时遇到麻烦
黑客向受害者投放的钓鱼邮件伪装的都十分巧妙.怹们是如何办到的呢? 通过观察我们发现,黑客的伎俩可能是这样的:首先他们大概从公开发布的新闻中获得了感兴趣目标的信息,然后以受害者萠友的身份来发送钓鱼邮件.
已经证实的APT30目标国家(印度,泰国,韩国,沙特阿拉伯,马来西亚,美国,越南)
可能成为APT30 目标的国家(尼泊尔,印尼,不丹,文莱,菲律宾,缅甸,新加坡,老挝)
网络间谍新闻有明确的目标,坚持不懈又有着充足的资源。APT30只是他们的一个缩影在我们看来,黑客组织要考虑操作的时机又要优先处理目标,他 们的工具还可以侵染隔离网络对敏感数据(比如政府网络数据)兴趣十足。研究一下网络间谍新闻筛选、跟踪病毒的方式不难看出,这一组织内部合作协调管理得 当。我们所遭遇的黑客组织中APT30可以说昰元老级运营时间已有十年之久。它也有明确区域瞄准优先权这种黑客组织为数不多。
我们对APT30的研究证实了许多猜想:网络间谍新闻依靠网络收集近邻的信息同时也在更大范围内收集全球信息。APT30并不注重窃取宝贵的商业知识产权亦或前沿科技而是旨在获取邻近的东喃亚地区的敏感数据。
在曝光APT30的过程中我们希望各组织能增强风险意识,提升自我防御能力APt30目标性很强,因此区域内各组织机构应加強防护保护信息资产不为对网络间谍新闻所用。