中国境内高级持续性威胁综述

声明

本文是学习全球高级持续性威胁（APT）2022年中报告. 而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们

中国境内高级持续性威胁综述

基于中国境内海量DNS域名解析和奇安信威胁情报中心失陷检测（IOC）库的碰撞分析（奇安信威胁雷达），是了解我国境内APT攻击活动及高级持续性威胁发展趋势的重要手段。

2021年，奇安信威胁情报中心首次在《全球高级持续性威胁(APT)2021年度报告》中使用奇安信威胁雷达对境内的APT攻击活动进行了全方位遥感测绘。

本报告继续使用奇安信威胁雷达对2022年上半年境内APT攻击活动进行遥感测绘，结合奇安信红雨滴团队在客户现场处置排查的真实APT攻击事件以及使用奇安信威胁情报的全线产品告警数据，整理与分析后得出本章内容及结论。

奇安信威胁雷达境内遥测分析

奇安信威胁雷达是奇安信威胁情报中心基于奇安信大网数据和威胁情报中心失陷检测（IOC）库，用于监控全境范围内疑似被APT组织、各类僵木蠕控制的网络资产的一款威胁情报SaaS应用。通过整合奇安信的高、中位威胁情报能力，发现指定区域内疑似被不同攻击组织或恶意软件控制的主机IP，了解不同威胁类型的比例及被控主机数量趋势等，可进一步协助排查重点资产相关的APT攻击线索。

图2.1 奇安信威胁雷达境内受害者数据分析

基于奇安信威胁雷达境内的遥测分析，我们从受控IP数量和趋势、受害目标区域分布、APT组织资产分布三方面对我国境内疑似遭受的APT攻击进行分析和统计。

受控IP数量和趋势

奇安信威胁情报中心基于威胁雷达在2022上半年监测到我国境内IP地址与多个境外APT组织C2服务器（Command & Control Server，远控服务器）发生通信行为。其中还存在个别APT组织通过多个C2服务器与同一IP通信的情况。

2022上半年中国境内每月新增疑似被境外APT组织控制的IP地址数量变化趋势如图2.2所示。

图2.2 2022上半年中国境内每月新增疑似受控IP数量变化趋势

受害目标区域分布

下图为2022上半年中国境内疑似连接过境外APT组织C2服务器的IP地址数量较多的前10个省份地域。从图中可以看出，河南是上半年以来APT组织攻击的重点目标地区，经济发达的北京、广东及上海地区依然位为前列，其次是江苏、福建、山东等沿海地区。

图2.3 2022上半年中国境内疑似受控IP地址地域分布

APT组织资产分布

奇安信威胁雷达检测到2022上半年内有数十个境外APT组织对我国境内IP地址发生过非法连接，下图分别展示了上半年内针对我国境内目标攻击的主要几个境外APT组织具体占比情况以及对应组织疑似使用过的C2服务器数量分布。

图2.4 2022上半年APT组织控制境内IP地址数量占比及C2服务器所属团伙数量分布

上图数据表明2022上半年内我国境内大部分IP地址主要被我国周边东亚、东南亚地区的APT组织控制，其次是南亚和中东地区。

东亚地区攻击我国境内目标的主要是毒云藤组织，该组织长期针对我国，擅于通过模仿正常域名来实施钓鱼攻击。在近期针对国内多个重点单位的钓鱼活动中，毒云藤组织将目标域名嵌入其钓鱼域名中以达到迷惑作用，目标涵盖了教育、科研、政府、航空等领域。

海莲花是另一个长期以我国为主要攻击对象的APT组织，其控制我国境内IP地址数量与C2服务器数量占比相对一致，说明海莲花组织会在不同攻击活动中使用不同的C2服务器。

2022上半年针对我国的活跃组织

基于奇安信红雨滴团队和奇安信安服在客户现场处置排查的真实APT攻击事件，结合使用威胁情报的全线产品产生的告警数据，分析可知针对我国目标进行高频攻击的APT组织主要为海莲花、APT-Q-12、金眼狗等。

奇安信威胁情报中心整理了以上三个组织的真实APT攻击处置案例，由此来分析2022上半年内针对我国的全球APT组织。

APT-Q-31（海莲花）

关键词：跳板、国产化系统、Nday漏洞

海莲花在2022年利用测绘平台使用Nday漏洞对我国境内资产进行撒网式攻击，受害者中竟存在色情网站，海莲花拿到权限后从中挑出高价值的目标进行内网渗透，剩下的则作为跳板或者代理用来扫描和攻击。

最近我们观察到海莲花开始针对中国台湾、中国香港等地区的IoT设备进行批量入侵并将其当作跳板攻击中国大陆重要基础设施。攻击者在攻击过程中尝试上传busybox和Dropbear等软件包，最终在IoT设备上运行端口转发工具tinyPortMapper，将特定端口的流量转发到自己的Cobalt Strike服务器，同时我们在这些受控的IoT设备上发现了海莲花最新的Arm架构的木马。

在代码层面，海莲花使用msbuild.exe编译源码的方式规避杀软查杀，执行Loader程序最终内存加载Cobalt Strike，除此之外还会使用github上最新出现的免杀loader来加载后续木马，例如shhhloader和Mortar Loader。在有些攻击事件中海莲花仅使用由Golang编写的隧道木马来实现远程控制。

经过研判，海莲花在2022年5月份针对国产化系统进行了定向攻击，我们拿到了海莲花首个针对mips架构的木马程序，其代码逻辑和通信协议与Arm架构的木马相同，我们将其命名为“Caja”。

图2.5 Caja木马执行流程

奇安信威胁情报中心会在2022年下半年择机披露该组织最新的攻击活动。

APT-Q-12（伪猎者）

关键词：鱼叉、驻韩使馆、芯片制造业、风投公司

由于朝韩地区的APT组织通常会给攻击目标的个人邮箱账号投递鱼叉邮件，受害IP多为家庭宽带，这加大了我们对该方向的监控难度。APT-Q-12团伙在今年上半年活动非常猖獗，该团伙将目标瞄准为芯片制造业和风投公司，向上述行业的HR投递钓鱼邮件，邮件内容如下：

图2.6 APT-Q-12投递的邮件内容

邮件附件包含一个LNK木马，执行流程与我们去年披露的报告一致，不同的是我们获取到了最终的远控木马和下发的键盘记录插件。

图2.7 键盘记录模块加密逻辑

在年中时我们发现APT-Q-12开始投递hlp类型的样本，双击运行后会执行恶意js代码向远程服务器下载bmp图片并解密出第一阶段的木马，将本机信息和文件目录加密打包发送到远程服务器，并等待后续阶段木马的下发。

奇安信威胁情报中心会在2022年下半年择机披露该组织最新的攻击活动。

APT-Q-27（金眼狗）

关键词：通讯软件0day、博彩、金融

金眼狗早披露于2019年，起初我们认为该团伙投递模式较为单一，但随着数据的积累我们发现该团伙整体水平非常高，其设计的攻击链刻意对EDR监控流程进行了规避，这是目前主流APT团伙都不曾达到的技术水平。

在2022年我们捕获到的APT-Q-27最新0day攻击活动中，EXP利用链设计得非常简练，且全过程没有恶意代码落地。金眼狗在窃取文件时设计了两种执行流程：第一种使用EXP执行命令将桌面和相关目录的文档上传到云盘；第二种则是借助Chrome Nday漏洞实现“白加黑”，在Chrome进程中加载Cobalt Strike远控木马来窃取文件。我们在其中一个云盘上发现了高达300G的博彩从业人员数据，并且推测攻击者用于接收文件数据的云盘和服务器共有5-10个，受害面之广超乎想象。0day漏洞利用截图如下：

图2.8 通讯软件0day漏洞利用截图

根据奇安信大数据遥测，APT-Q-27在2015年-2022年使用了多个通讯软件0day漏洞进行攻击，我们捕获到的时间线如下：

1、2015年使用知名聊天软件的XX秀漏洞对博彩行业进行攻击

2、2017年使用某通讯软件对博彩行业进行攻击

3、2021-2022年使用某通讯软件对博彩行业进行攻击

这些年来，我们仅捕获到该团伙的三个0day漏洞利用，可能只是其攻击活动的冰山一角。奇安信威胁情报中心会在未来择机披露该组织过去的攻击活动。

2022上半年境内受害行业分析

从整体上对奇安信红雨滴团队和奇安信安服在客户现场处置排查的真实APT攻击事件及威胁情报的全线产品告警数据进行分析，得到2022上半年境内受害行业分布情况：攻击者主要针对我国政府机构、金融、互联网科技等行业进行攻击。详情如下图所示。

图2.9 2022上半年高级威胁事件涉及境内行业分布情况

延伸阅读

更多内容 可以 全球高级持续性威胁（APT）2022年中报告. 进一步学习

联系我们

T-CACEM 00009-2016 公路预应力钢绞线用锚具.pdf