起底國家級APT組織:金剛象(APT-Q-43)
國家級APT(Advanced Persistent Threat,高級持續性威脅)組織是有國家背景支持的專注于針對特定目標進行長期持續性網絡攻擊的頂尖黑客團伙。
奇安信旗下的高級威脅研究團隊紅雨滴(RedDrip Team)在每年發布的全球APT年報、中報里都會對當年各大APT團伙的活動進行分析總結。此次,奇安信病毒響應中心移動安全團隊將起底一個來自南亞地區新國家級APT組織。
今天,我們依然把目光放在南亞地區,介紹又一個來自該地區且常年活躍的國家級黑客團伙:金剛象(VajraEleph)。
金剛象
金剛象是一個來自南亞某國軍方背景的APT組織,該組織最早由奇安信病毒響應中心于2022年3月進行全球獨家首次公開披露,是奇安信獨立發現并率先披露的第15個APT組織。
金剛象組織的攻擊活動最早可追溯到2021年,一年多的持續攻擊已經影響到巴基斯坦、阿聯酋、尼泊爾、沙特阿拉伯、斯里蘭卡、馬爾代夫等印度周邊國家。奇安信內部跟蹤編號為APT-Q-43。
背景
金剛象(VajraEleph),是一個來自南亞某國軍方背景的APT組織,該組織的攻擊活動最早由奇安信病毒響應中心于2022年3月進行全球首次公開披露,是奇安信獨立發現并率先披露的第15個APT組織。金剛象組織的攻擊活動最早可追溯到2021年,迄今為止該組織一直處于活躍狀態。
金剛象組織主要針對巴基斯坦、阿聯酋、尼泊爾、沙特阿拉伯、斯里蘭卡、馬爾代夫等印度周邊國家發起攻擊,對政府機構、國防軍事部門人員實施網絡間諜活動,攻擊活動具有強烈的軍事意圖。其中巴基斯坦是最主要的受害國家,目前已受害人員近600名,受害占比96.6%。
圖1 受金剛象組織攻擊的受害國情況分布圖
金剛象組織在一些攻擊活動中使用的工具特征和網絡基礎設施與南亞的其他攻擊組織,如響尾蛇SideWinder、蔓靈花Bitter、肚腦蟲Donot等沒有顯著關聯(僅與肚腦蟲Donot存在少量相似性),具有很強的獨立性和獨立特征。
攻擊手段與工具
金剛象組織的攻擊活動主要針對Android平臺。該組織主要把惡意軟件偽裝成小眾化的聊天應用,在幾大社交平臺上進行魚叉攻擊。
(一)攻擊手段
1. 水坑攻擊
金剛象組織擅長把惡意軟件偽裝成小眾化的聊天應用,發布到國外某知名應用商店平臺。雖然有一部分被下架處理,但還有一批仍在上架繼續進行著水坑攻擊。這部分應用雖也能作為水坑攻擊,但我們認為這并不是該組織主要的真實意圖。
2. 魚叉攻擊
金剛象組織通過在幾個公開的社交平臺搜索進行篩選高價值目標,再結合色情話術等聊天誘導目標用戶安裝指定的誘餌聊天攻擊應用進行竊取信息攻擊。這有別于PC常見的魚叉形式,但這也算是移動端對魚叉攻擊形式的一種“新發展”。
(二)使用工具及技術特征
金剛象組織針對Android平臺使用的是該組織特有的定制化RAT,被我們命名為VajraSpy。Android平臺的惡意軟件通常偽裝為正常聊天應用誘使受害者安裝運行,該組織的Android木馬可獲取受害者設備的通訊錄、短信、通話記錄、音視頻、文本文檔、相冊等敏感數據。
著名攻擊事件
(一)金剛象組織首次曝光
2022年3月,奇安信病毒響應中心將該APT組織命名為金剛象組織(VajraEleph)并進行全球首次公開披露。報告中提到了該組織針對巴基斯坦和尼泊爾國家進行了攻擊,主要涉及了巴基斯坦多種部隊的軍事人員。
圖2 首次報告披露的描述相關圖
(二)斯里蘭卡
2022年4月,我們關注到該組織把斯里蘭卡也列入了其攻擊國家目標中,其中斯里蘭卡的兩位軍方少將手機疑似已遭受攻擊,兩位軍方高層分別為:56步兵師現任指揮官LDSS Liyanage少將和66步兵師現任指揮官Ajith Dissanayake少將。
圖3 兩張斯里蘭卡少將被竊取的相關圖片舉例(左 LDSS Liyanage少將、右 Ajith Dissanayake少將)
(三)馬爾代夫
2022年4月,我們關注到該組織把馬爾代夫也列入了其攻擊國家目標中,其中馬爾代夫的一位軍方少校手機疑似已遭受攻擊。
圖4 一張馬爾代夫某少校被竊取的相關圖片舉例
(四)巴基斯坦
至今,我們已發現到巴基斯坦有近600名人員手機受到攻擊,大多為巴基斯坦的陸、海和空三軍軍方人員。被竊取的資料近10w個,除了人員的生活相關信息,還包含了大量的軍方文檔文件、人物武器地點相關圖片等,甚至包含有巴基斯坦的三軍情報局(ISI)相關。
圖5 部分巴基斯坦被竊取的相關圖片舉例
總結
金剛象這個“新起之秀”攻擊組織在短短一年多的時間里,已悄然完成覆蓋攻擊了多個周邊國家,獲取到大量的軍事情報,即使是有相當經驗的軍事高層也不能幸免。除了該組織是來自南亞某國專業化的軍方情報機構支持外,我們認為主要還有以下幾個方面:
首先,利用進行上架帶用正常功能的惡意應用到國外某知名應用商店平臺的形式,致受害用戶會輕易進行安裝而極大提高攻擊成功率。
第二,很多發展中國家的網絡安全建設水平、管理水平相對落后,導致僅僅通過針對智能手機的攻擊,就有可能獲得大量的敏感、機密信息。
第三,智能手機普及度越來越高,針對安全意識不足的涉密人員,通過社交平臺發動網絡攻擊,是一種低成本,高效率的攻擊方式。
第四,智能手機,往往存在更多未修復的安全漏洞,加之移動安全軟件的普及率不高,導致針對移動平臺發起網絡攻擊的技術門檻相對更低。
那么,對于政企機構,特別是軍方、警方等涉密或敏感機構來說,應當怎樣做好防護,盡可能的避免或減少針對移動平臺、社交平臺的APT活動給自身帶來的影響呢?我們在此給予如下一些實用建議。
1) 工作生活相分離,敏感信息不外傳
相關機構應努力避免工作人員使用個人智能手機進行日常辦公活動。有條件的單位,可以為工作人員配發工作手機或涉密手機。如果條件確實不允許,可以使用企業級安全移動工作平臺進行內部的交流和辦公,比如藍信、云手機安全管理系統等。
2) 加強安全意識教育,嚴格執行安全規范
相關機構應加強員工安全意識教育,不要使用個人手機拍攝、存儲敏感或涉密信息,更不能通過社交平臺分享敏感信息;不去點擊陌生人發來的不明鏈接;拒絕色情、賭博等非法信息的誘惑。同時,相關機構還應制定切實可行的網絡安全管理標準與員工行為規范,并進行嚴格的監督與審查。
3) 更新軟件系統,使用安全軟件
相關機構應要求員工,不論是辦公手機還是個人手機,都要做到及時更新操作系統與核心軟件,以確保智能手機始終處于最佳安全狀態。同時安裝必要的手機安全軟件,以盡可能的減少各類木馬、病毒的侵害。
4) 補齊網絡安全短板,及時增加一體化安全綜合體系能力
相關機構應與專業安全廠商一起,補齊網絡安全短板,及時根據網絡發展時代趨勢,迅速引入有效的移動端、物聯網等安全防護產品,實現一體化綜合安全體系。
5) 建立威脅情報能力,防范APT攻擊
相關機構應與專業安全廠商一起,共建高效的威脅情收集、分析與處置能力,及時發現、攔截和追蹤各類APT活動,將APT活動帶來的影響和損失降到最低。
目前,基于奇安信自研的貓頭鷹引擎和奇安信威脅情報中心的威脅情報數據的全線產品,包括奇安信威脅情報平臺(TIP)、天擎、天機、天眼高級威脅檢測系統、奇安信NGSOC、奇安信態勢感知等,都已經支持對此類攻擊的精確檢測。
