火眼发布《APT40-审查China-Nexus组织报告》

FireEye着重强调了一项网络间谍活动,该行动针对关键技术和传统情报目标,该行动来自中国政府资助的演员APT40。 这位演员至少从2013年开始开展行动,以支持中国的海军现代化工作。 该小组专门针对工程,运输和国防工业,特别是在这些领域与海事技术重叠的地方。 最近,我们还观察到了对“一带一路”倡议具有战略重要性的国家的具体目标,包括柬埔寨,比利时,德国,香港,菲律宾,马来西亚,挪威,沙特阿拉伯,瑞士,美国和英国。 这个与中国有联系的网络间谍组织先前被称为TEMP.Periscope和TEMP.Jumper。

任务

2016年12月,中国人民解放军海军(PLAN)扣押了在南中国海作业的美国海军无人水下航行器(UUV)。 这起事件与中国在网络空间的行动平行。 在一年之内,观察到APT40伪装成UUV制造商,并瞄准从事海军研究的大学。 那次事件是为获得先进技术以支持中国海军能力发展而进行的众多活动之一。 我们认为,APT40对海洋问题和海军技术的重视最终支持了中国建立蓝海海军的雄心。 除了关注海事之外,APT40还针对传统情报目标,在更广泛的区域范围内进行打击,特别是在东南亚开展业务或参与南海争端的组织。 最近,这包括东南亚选举有关的受害者 ,这很可能是由影响中国“一带一路”倡议的事件驱动的。 中国的“一带一路”(“一带一路”)或“一带一路”倡议(BRI)耗资1万亿美元,旨在在亚洲,欧洲,中东和非洲建立陆路和海上贸易路线,以发展贸易可以预测中国在整个大区域的影响力的网络。
图1:目标国家和行业。 国家包括美国,英国,挪威,德国,沙特阿拉伯,柬埔寨和印度尼西亚

归因

我们以中等信心评估APT40是国家资助的中国网络间谍活动。 演员的目标与中国国家利益一致,并且有多种技术文物表明该演员位于中国。 通过对小组活动的运营时间进行分析,可以发现该时间可能集中在中国标准时间(UTC +8)周围。 此外,多个APT40命令和控制(C2)域最初是由中国的域经销商注册的,并具有包含中国位置信息的Whois记录,这表明了基于中国的基础设施采购流程。 APT40还使用了位于中国的多个Internet协议(IP)地址来进行操作。 在一个实例中,从打开的索引服务器恢复的日志文件显示,位于中国海南的IP地址(112.66.188.28)已用于管理与受害机器上的恶意软件进行通信的命令和控制节点。 对此C2的所有登录均来自配置了中文设置的计算机。

攻击生命周期

最初的妥协 人们已经观察到APT40利用各种技术来进行最初的破坏,包括Web服务器利用,提供公共可用和自定义后门的网络钓鱼活动以及战略性Web破坏。
  • APT40在很大程度上依赖于Web Shell,这是进入组织的最初立足点。 根据放置位置,网络外壳可以提供对受害者环境的持续访问,重新感染受害者系统并促进横向移动。
  • 该行动的鱼叉式钓鱼电子邮件通常利用恶意附件,尽管也发现了Google云端硬盘链接。
  • APT40在其网络钓鱼操作中利用了漏洞利用程序,通常会在漏洞披露后的几天内为漏洞提供武器。 观察到的漏洞包括:
图2:APT40攻击生命周期 建立立足点 APT40使用各种恶意软件和工具来建立立足点,其中许多可以公开获得,也可以被其他威胁组使用。 在某些情况下,该组使用带有代码签名证书的可执行文件来避免检测。
  • 在下载其他有效负载之前,请先使用AIRBREAK,FRESHAIR和BEACON等第一阶段后门。
  • PHOTO,BADFLICK和CHINA CHOPPER是APT40使用最频繁的后门。
  • APT40通常会以VPN和远程桌面凭据为目标,以在目标环境中建立立足点。 这种方法论被证明是理想的,因为一旦获得了这些凭据,它们可能就不需要太依赖恶意软件来继续执行任务。
升级特权 APT40结合​​使用了自定义的和公开可用的凭据收集工具,以提升特权并转储密码哈希。
  • APT40利用自定义凭据盗窃实用程序,例如HOMEFRY,它与AIRBREAK和BADFLICK后门一起使用,是一个密码转储/破解程序。
  • 此外,Windows Sysinternals ProcDump实用程序和Windows凭据编辑器(WCE)也被认为在入侵过程中也被使用。
内部侦察 APT40使用受损的凭据登录到其他连接的系统并进行侦察。 该小组还利用RDP,SSH,受害环境中的合法软件,一系列本机Windows功能,公开可用的工具以及自定义脚本来促进内部侦察。
  • APT40在受害的受害者组织中使用MURKYSHELL来端口扫描IP地址并进行网络枚举。
  • APT40经常使用本地Windows命令(例如net.exe)对受害者的环境进行内部侦察。
  • 几乎在攻击生命周期的所有阶段都严重依赖Web Shell。 内部Web服务器通常没有配置与面向公众的服务器相同的安全控制,这使它们更容易受到APT40和类似复杂组织的利用。
横向运动 APT40使用多种方法在整个环境中进行横向移动,包括自定义脚本,Web Shell,各种隧道器以及远程桌面协议(RDP)。 对于每个受到破坏的新系统,该小组通常执行恶意软件,执行其他侦察并窃取数据。
  • APT40还使用本地Windows实用程序(例如at.exe(任务计划程序)和net.exe(网络资源管理工具))进行横向移动。
  • 公开使用的隧道工具与该操作特有的独特恶意软件一起被利用。
  • 尽管MURKYTOP主要是命令行侦察工具,但它也可以用于横向移动。
  • APT40还使用公开可用的暴力破解工具和名为DISHCLOTH的自定义实用程序来攻击不同的协议和服务。
保持存在 APT40主要使用后门(包括Web外壳)在受害环境中保持存在。 这些工具可实现对目标网络中关键系统的持续控制。
  • APT40强烈赞成使用Web Shell来保持状态,尤其是公开可用的工具。
  • 在“建立立足点”阶段中使用的工具也将继续在“维护存在”阶段中使用; 这包括AIRBREAK和PHOTO。
  • 一些APT40恶意软件工具可以利用GitHub,Google和Pastebin等合法网站进行初始C2通信,从而逃避典型的网络检测。
  • 通用TCP端口80和443用于与常规网络流量混合。
完成任务 完成任务通常涉及收集信息并将其传输到目标网络之外,这可能涉及在到达目的地之前通过多个系统移动文件。 观察到APT40合并了从受害者网络获取的文件,并使用档案工具rar.exe对文件进行了压缩和加密,然后再进行渗透。 我们还观察到APT40开发工具(例如PAPERPUSH)有助于提高其数据定向和盗窃的效率。

展望与启示

尽管公众的关注度有所提高,但APT40仍会按照常规节奏进行网络间谍活动,并且我们预计至少在近期和中期,它们会继续运行。 基于APT40在2017年扩大到与选举相关的目标,我们以中等信心评估该集团的未来目标将在中国``一带一路''倡议等事件的推动下影响除海事以外的其他行业。 尤其是随着“一带一路”项目的开展,我们很可能会看到APT40继续开展活动,这与该项目的区域对手背道而驰。
0 0 vote
Article Rating

未经允许不得转载:x-sec » 火眼发布《APT40-审查China-Nexus组织报告》

赞 (0) 打赏

This site uses Akismet to reduce spam. Learn how your comment data is processed.

0 Comments
Inline Feedbacks
View all comments

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

0
Would love your thoughts, please comment.x
()
x