1.概述

---

2023年下半年，安天CERT（安全研究與應(yīng)急處理中心）在日常郵件監(jiān)測中發(fā)現(xiàn)，境外APT攻擊組織通過模仿我“慧眼行動”官方組織機(jī)構(gòu)，向相關(guān)科研機(jī)構(gòu)發(fā)送釣魚郵件，以附件形式投放特洛伊木馬，以實(shí)施后續(xù)攻擊。郵件包含一個壓縮包附件，壓縮包內(nèi)為一個構(gòu)造的可執(zhí)行文件。該文件基于文件名、圖標(biāo)和與正常文件捆綁三種偽裝方式，模仿成相關(guān)活動的申報客戶端。打開可執(zhí)行文件后，會連接到攻擊者服務(wù)器下載后續(xù)攻擊載荷，最終通過后門在受害者機(jī)器與攻擊者C2服務(wù)器之間建立管道SHELL以實(shí)現(xiàn)遠(yuǎn)程控制。

安天CERT基于代碼、線索分析和綜合研判，基本確認(rèn)相關(guān)攻擊來自南亞某國，但目前尚無充分信息確定關(guān)聯(lián)到安天已經(jīng)命名的具備同一國家背景的已知威脅行為體，但也尚不能完全判定其是一個新的攻擊組織，按照安天對威脅行為體的命名規(guī)則，臨時使用“X象”作為其命名，我們會持續(xù)監(jiān)測、跟蹤分析攻擊者的后續(xù)攻擊活動，將在歸因條件成熟時，修訂其組織命名。

2.2 攻擊活動分析

---

2.1 攻擊流程分析

攻擊者通過仿冒“慧眼行動”官方機(jī)構(gòu)的身份向攻擊目標(biāo)發(fā)送魚叉式釣魚郵件，攻擊者欺騙收件人運(yùn)行郵件附件中偽裝成申報客戶端軟件的初始誘餌程序，該程序是第一階段的下載器，一方面下載并運(yùn)行合法的“慧眼行動”官方軟件運(yùn)行展示給攻擊目標(biāo)，另一方面下載運(yùn)行第二階段下載器。第二階段下載器執(zhí)行后會解密出一個鏈接地址，下載并運(yùn)行最終的后門程序，后門程序的功能較為簡單，主要為創(chuàng)建與C2服務(wù)器之間的SHELL通道實(shí)現(xiàn)對受害者機(jī)器的遠(yuǎn)程訪問，樣本投遞與執(zhí)行流程如圖2-1所示。

圖2-1 樣本投遞與執(zhí)行流程圖

2.2 攻擊郵件分析

攻擊郵件如圖2-2所示，發(fā)件郵箱為info@*.*.com，其中域名中的部分字符串模仿“慧眼行動”官方的域名，經(jīng)過whois查詢發(fā)現(xiàn)為2023年07月11日新注冊的域名，為攻擊郵件發(fā)送的一天前。

攻擊郵件的主題為《溫馨提示：關(guān)于“慧眼行動”申報客戶端最新版本的通知》，郵件使用稱呼為“尊敬的老師”，符合中文稱呼習(xí)慣。郵件正文有針對性進(jìn)行了內(nèi)容構(gòu)造以“近期申報客戶端上的重量流量和經(jīng)常失敗狀況舊版已經(jīng)停止使用”為名義來誘使收件人打開安裝附件中的執(zhí)行文件。同時，相關(guān)內(nèi)容表述有明顯的錯誤，不符合中文表達(dá)習(xí)慣，懷疑攻擊團(tuán)隊(duì)中有人有中文學(xué)習(xí)背景并不精通，或基于攻擊者母語或英語與構(gòu)造內(nèi)容后使用機(jī)翻來生成的內(nèi)容。郵件附件附件是名為“慧眼行動申報客戶端2.0”的壓縮包，壓縮包為ZIP壓縮格式，解壓縮后是同名的exe可執(zhí)行程序，為投遞惡意木馬的下載。

圖2-2 釣魚郵件的內(nèi)容

2.3 初始誘餌分析

表2-1 樣本標(biāo)簽

郵件附件內(nèi)的攻擊載荷功能為木馬下載器，該樣本采用混淆的方式將C2地址隱藏在無意義的字符串中，如下圖，兩個無意義字符串為經(jīng)過混淆的C2地址，通過sub_140001FB0函數(shù)，將真實(shí)C2地址解析出來。

圖2-3 經(jīng)過混淆的C2字符串

sub_1400001FB0函數(shù)通過異或的方式將混淆的C2地址逐步解析出來，如下圖：

圖2-4 初始經(jīng)過混淆的字符串

圖2-5 經(jīng)過第一次異或的字符串

圖2-6 經(jīng)過第二次異或的字符串

圖2-7 經(jīng)過第三次異或的字符串

圖2-8 經(jīng)過第四次異或的字符串

對于其他的混淆字符串采用循環(huán)的方式逐個字符進(jìn)行異或，如下圖2-9。

圖2-9 逐個字符進(jìn)行異或

最終將經(jīng)過混淆的字符串解析為完整的下載地址https://94.198.*.*/tool/app/exe/ver/2.0/iexplorer.exe。同理另一個經(jīng)過混淆的字符串經(jīng)過解析后得到第二個下載地址https://94.198.*.*/tool/app/exe/abcd.exe。

最后，通過調(diào)用URLDownloadToFileW API將C2中的惡意代碼下載到本地主機(jī)的用戶目錄中。

2.4 掩飾程序分析

該樣本為“慧眼行動”官方軟件，是攻擊者為迷惑受害者下載的正常軟件。

圖2-10 官方軟件安裝向?qū)?/p>

2.5 下載器分析

表2-2 樣本標(biāo)簽

該樣本與2.3樣本功能相似，同樣采用混淆的方式將C2地址隱藏在無意義的字符串中，通過將字符串以字符為單位循環(huán)減2，最終得到下載地址的取反，通過該下載地址將惡意代碼msedges.exe下載到本地主機(jī)的臨時文件目錄中。

2.6 后門分析

該樣本是通過iexplorer.exe下載器從C2服務(wù)器中下載得到，實(shí)際功能為設(shè)計簡單的反彈SHELL后門程序。

表2-3 樣本標(biāo)簽

該后門的連接地址為46.249.*.*，端口443。

圖2-11 連接C2服務(wù)器

C2向后門響應(yīng)數(shù)據(jù)的格式是“控制代碼+數(shù)據(jù)”的形式，數(shù)據(jù)可以是路徑或命令等，控制指令如下：

a). 當(dāng)控制代碼為0時，C2響應(yīng)后方跟的是“命令”，通過創(chuàng)建的管道執(zhí)行“cmd /c 命令”

圖2-12 控制代碼為0

b). 當(dāng)控制代碼為1時，后方跟的是路徑，用于切換工作目錄

圖2-13 控制代碼為1

c). 當(dāng)控制代碼為2，清理痕跡并退出流程

圖2-14 控制代碼為2

d). 當(dāng)控制代碼為5，清理痕跡等待10秒重新開始以上流程

圖2-15 控制代碼為5

e). 當(dāng)控制代碼為6時，不清理痕跡直接等待5秒重新開始以上流程

圖2-16 控制代碼為6

3.攻擊目的分析

---

“慧眼行動”是我國一項(xiàng)科研成果征集活動。根據(jù)官方網(wǎng)站介紹：“慧眼行動”是通過廣泛掃描地方高校、中科院所屬院所、民營企業(yè)、地方國企、省/市屬科研機(jī)構(gòu)、行業(yè)科研機(jī)構(gòu)以及國家實(shí)驗(yàn)室、全國重點(diǎn)實(shí)驗(yàn)室、地方創(chuàng)新聯(lián)合體等全社會創(chuàng)新力量，發(fā)現(xiàn)遴選具有重大裝備應(yīng)用前景或技術(shù)引領(lǐng)作用的民口創(chuàng)新成果，支持向裝備領(lǐng)域快速轉(zhuǎn)化應(yīng)用的專項(xiàng)行動。

基于攻擊過程和其所仿冒的相關(guān)信息分析，可見攻擊者以我國高校、科研院所、創(chuàng)新企業(yè)、科研機(jī)構(gòu)等為攻擊目標(biāo)，通過社工偽裝試圖實(shí)現(xiàn)對相關(guān)科研人員電腦的遠(yuǎn)程控制，試圖竊取相關(guān)科研信息成果，以及進(jìn)行其他的相關(guān)活動。一旦收件人受到欺騙執(zhí)行，或誤點(diǎn)擊執(zhí)行了相關(guān)木馬。電腦主機(jī)則會被攻擊者完整控制，攻擊者不僅可以獲得主機(jī)上的全部文件和相關(guān)賬號憑證等信息。還會以對應(yīng)主機(jī)和身份為跳板進(jìn)行橫向移動和信任鏈攻擊，可以帶來嚴(yán)重安全威脅。

4.威脅框架視角的攻擊映射

---

本次系列攻擊活動共涉及ATT&CK框架中8個階段的10個技術(shù)點(diǎn)，具體行為描述如下表：

表4-1 本次攻擊活動的技術(shù)行為描述表

ATT&CK階段	具體行為	注釋
偵察	搜集受害者身份信息	搜集受害者網(wǎng)絡(luò)賬號、工作內(nèi)容等信息
	搜集受害者組織信息	搜集受害者所屬工作單位信息
資源開發(fā)	獲取基礎(chǔ)設(shè)施	搭建載荷分發(fā)節(jié)點(diǎn)、后門控制C2等
	能力開發(fā)	惡意組件研發(fā)制作
初始訪問	網(wǎng)絡(luò)釣魚	攻擊者通過魚叉式釣魚郵件投遞木馬程序
執(zhí)行	誘導(dǎo)用戶執(zhí)行	初始誘餌偽裝成官方軟件誘導(dǎo)用戶執(zhí)行
防御規(guī)避	仿冒	攻擊組件仿冒官方軟件、瀏覽器程序等
命令與控制	使用標(biāo)準(zhǔn)非應(yīng)用層協(xié)議	后門程序設(shè)定標(biāo)準(zhǔn)TCP協(xié)議進(jìn)行C2控制
數(shù)據(jù)滲出	使用C2信道回傳	攻擊者可能通過已有C2信道回傳數(shù)據(jù)
影響	操縱數(shù)據(jù)	攻擊者可能展開操縱受控機(jī)數(shù)據(jù)內(nèi)容操作

將涉及到的威脅行為技術(shù)點(diǎn)映射到ATT&CK框架如下圖所示：

圖4-1 本次攻擊活動對應(yīng)ATT&CK映射圖

5.防護(hù)建議

---

近兩年來，境外APT攻擊組織仿冒我國相關(guān)部委機(jī)構(gòu)，的釣魚活動頻發(fā)，攻擊者或以文獻(xiàn)報告?zhèn)鬟_(dá)分發(fā)、項(xiàng)目申報、榮譽(yù)資質(zhì)申請為素材，通過精心構(gòu)造模仿的主題郵件發(fā)送釣魚郵件，利用郵件正文中附帶仿冒釣魚網(wǎng)站連接竊取目標(biāo)郵箱賬號；通過附件投遞惡意代碼等方式，試圖控制目標(biāo)主機(jī)或竊取主機(jī)內(nèi)敏感信息。這類釣魚郵件攻擊手法看似沒有更高的技術(shù)能力手段，但實(shí)際危害極大。一是因?yàn)槠鋵?shí)施成本及其低廉便于實(shí)施，二是其不必突防目標(biāo)網(wǎng)絡(luò)邊界和縱深防護(hù)，只需構(gòu)造好相關(guān)郵件便可直達(dá)目標(biāo)人員的終端。三是可以大面積批量化進(jìn)行投放。

面對此類精準(zhǔn)仿冒的釣魚郵件攻擊，我們需要精準(zhǔn)施策：

5.1 對政企機(jī)構(gòu)、科研院所的安全建議

1. 釣魚郵件攻擊的最終目標(biāo)是端點(diǎn)系統(tǒng)的使用者，端點(diǎn)系統(tǒng)是防御威脅的最后防線。建議使用具有較強(qiáng)病毒查殺能力、主動防御能力和釣魚攻擊檢測攔截能力的端點(diǎn)安全防護(hù)軟件，如安天智甲終端防御系統(tǒng)。

2. 重點(diǎn)人員，特別是頻繁使用郵件對外通訊交互的人員，建議提升防護(hù)等級，基于終端防護(hù)軟件使用白名單防護(hù)策略。針對所有新的可執(zhí)行文件，均上報管理中心留存，并基于網(wǎng)管人員的審核確認(rèn)方能運(yùn)行。終端防護(hù)軟件的白防功能應(yīng)提供基于簽名證書、文件Hash、文件路徑等組合配置策略，以在保障可信環(huán)境塑造同時檢測網(wǎng)管可信操作能力。

3. 建議政企機(jī)構(gòu)注冊獨(dú)立“.cn”域名，并為所有工作人員分配工作信箱。不建議政企機(jī)構(gòu)使用互聯(lián)網(wǎng)免費(fèi)郵箱承載工作連接活動。

4. 對于中大型機(jī)構(gòu)和敏感機(jī)構(gòu)，建議基于安全可靠的企業(yè)郵件系統(tǒng)進(jìn)行郵件服務(wù)部署，并強(qiáng)化相關(guān)的服務(wù)器安全策略、監(jiān)測策略和郵件威脅聯(lián)動檢測機(jī)制，將郵件相關(guān)系統(tǒng)日志和對應(yīng)的監(jiān)測日志匯聚到安天XDR和其他管理平臺統(tǒng)一監(jiān)測。

5. 對于使用互聯(lián)網(wǎng)公有云郵箱服務(wù)的政企機(jī)構(gòu)，網(wǎng)絡(luò)管理人員也需要監(jiān)測相關(guān)安全事件，將可導(dǎo)出的安全日志匯聚到安天XDR和其他管理平臺。

6. 在企業(yè)內(nèi)網(wǎng)和互聯(lián)網(wǎng)出口設(shè)置流量監(jiān)測環(huán)節(jié)，如安天探海NDR產(chǎn)品，對釣魚郵件投放、釣魚鏈接點(diǎn)擊，被木馬植入后C2連接等情況進(jìn)行持續(xù)監(jiān)測和響應(yīng)。

5.2 對具有相關(guān)科研、學(xué)術(shù)活動主辦方的安全建議

1. 使用本機(jī)構(gòu)域名信箱進(jìn)行相關(guān)工作聯(lián)系，使用官網(wǎng)域名發(fā)布相關(guān)填報入口，提供填報軟件下載，做好對應(yīng)網(wǎng)站自身安全防護(hù)工作。

2. 網(wǎng)站訪問和文件下載均使用HTTPS加密協(xié)議，避免訪問劫持和捆綁投放。

3. 對自身供應(yīng)商提出明確要求，如相關(guān)客戶端、安裝包與二進(jìn)制程序等，要求做好簽名環(huán)境的安全防護(hù)，避免證書失竊，以確保相關(guān)軟件具有可辨識性、可追溯性，便于自身安全防護(hù)軟件添加策略規(guī)則。

4. 對可能參與相關(guān)活動的人員進(jìn)行安全提示，明確工作網(wǎng)站、工作信箱、官網(wǎng)下載地址、程序簽名信息等要素。明確不會在附件中直接發(fā)送二進(jìn)制文件等安全規(guī)則。

5.3 對系統(tǒng)終端使用者的安全建議

1. 安裝由單位提供/或個人選擇具有較強(qiáng)病毒查殺能力、主動防御能力和釣魚攻擊檢測攔截能力的端點(diǎn)安全防護(hù)軟件。

2. 在收到相關(guān)郵件時，檢查發(fā)件人信箱是否與相關(guān)機(jī)構(gòu)一致。對于來自非可信域的郵件一律采取附件不打開、鏈接不點(diǎn)擊、二維碼不掃描的措施。

3. 對系統(tǒng)相關(guān)配置策略進(jìn)行調(diào)整，如選擇顯示已知格式擴(kuò)展名等策略，避免攻擊者用文檔、圖片等軟件圖標(biāo)誘騙點(diǎn)開打開可執(zhí)行文件。

由于釣魚攻擊的防范和治理涉及大量的安全要素，難以在一篇分析報告中反饋所有安全建議，如需反釣魚解決方案或相關(guān)產(chǎn)品和培訓(xùn)服務(wù)請與安天聯(lián)系。