2019年，全球APT威脅與攻防日趨白熱化，全球安全報(bào)告頻繁披露各APT組織攻擊行動(dòng)就是有力實(shí)證。就在今年8月，360安全大腦再次率先發(fā)現(xiàn)一新型Android木馬，并根據(jù)CC特點(diǎn)將其命名為SlideRAT。而在對(duì)SlideRAT深度分析后，發(fā)現(xiàn)該樣本來自于APT組織“蔓靈花”。

此后，在對(duì)惡意樣本持續(xù)且嚴(yán)密的監(jiān)控中，360安全大腦終于在11月捕捉到SlideRAT先后瞄準(zhǔn)中國(guó)軍工行業(yè)從事人員、中國(guó)駐巴基斯坦人員，并展開定向攻擊行動(dòng)，嚴(yán)重威脅政治軍工領(lǐng)域安全。對(duì)此，360安全大腦基于長(zhǎng)期追蹤所獲情報(bào)及數(shù)據(jù)，獨(dú)家發(fā)布《蔓靈花(APT-C-08)移動(dòng)平臺(tái)攻擊活動(dòng)揭露》報(bào)告，全盤披露蔓靈花(APT-C-08)組織肆虐中巴區(qū)域的攻擊內(nèi)情與威脅。

瞄準(zhǔn)中巴政企及軍工，定向打擊竊取敏感信息

從360安全大腦追蹤監(jiān)測(cè)情況來看，2016年首次曝光至今，蔓靈花(APT-C-08)組織就一直針對(duì)中巴一帶進(jìn)行攻擊活動(dòng)，重點(diǎn)瞄準(zhǔn)政府、軍工和電力等行業(yè)相關(guān)單位，旨在竊取敏感數(shù)據(jù)，獲得中巴區(qū)域情報(bào)信息，是目前針對(duì)境內(nèi)目標(biāo)較為活躍的海外APT組織之一。此次360安全大腦追蹤到的最新攻擊動(dòng)向，蔓靈花(APT-C-08)組織就再次將毒手伸向中國(guó)、巴基斯坦，以及印巴交界的克什米爾區(qū)域，精準(zhǔn)滲透黨政干部、軍工從業(yè)人員、赴巴基斯坦留學(xué)人員、企業(yè)客服人員等具有鮮明軍政背景人群。

而在360安全大腦所追蹤到的一系列攻擊事件中，蔓靈花(APT-C-08)組織將SlideRAT樣本偽裝成軍工業(yè)郵件系統(tǒng)輔助登錄工具，預(yù)謀對(duì)一頻繁出差沙特的軍工業(yè)人員發(fā)起精準(zhǔn)打擊。

(某軍工業(yè)郵件系統(tǒng)首頁新手指引)

無獨(dú)有偶，追溯到2016年7月，某綜合性、開放式干部網(wǎng)絡(luò)學(xué)習(xí)平臺(tái)培訓(xùn)的用戶，也成為了蔓靈花(APT-C-08)組織的攻擊目標(biāo)。此次攻擊中，該組織偽裝成某旅游公司，對(duì)攻擊目標(biāo)發(fā)送釣魚短信，預(yù)謀竊取信息。讓人倍感擔(dān)心的是，從被攻擊目標(biāo)參加培訓(xùn)等信息推測(cè)，其極可能為該省一黨政干部。

(某干部網(wǎng)絡(luò)學(xué)院官網(wǎng))

除此之外，還有赴巴基斯坦留學(xué)人員也遭遇了蔓靈花(APT-C-08)組織的精準(zhǔn)打擊。不難看出，蔓靈花(APT-C-08)組織針對(duì)軍事、政治等敏感機(jī)構(gòu)，意圖竊取情報(bào)、進(jìn)行破壞攻擊的背后，是昭然若揭的政治預(yù)謀。

水坑攻擊釣魚齊上陣，蔓靈花瞄準(zhǔn)移動(dòng)平臺(tái)

曾有國(guó)外安全報(bào)告顯示：近年來，移動(dòng)攻擊已逐漸從APT組織的“新寵”演變成了“攻擊標(biāo)配”。而360安全大腦對(duì)蔓靈花(APT-C-08)組織所捕獲的最新攻擊樣本，亦正印證了這一論點(diǎn)。

從360安全大腦公開數(shù)據(jù)來看，蔓靈花(APT-C-08)組織移動(dòng)平臺(tái)載荷投遞的方式主要為水坑攻擊和釣魚鏈接，其次還會(huì)通過短信和WhatsApp進(jìn)行載荷投遞。2017年3月，巴基斯坦某重要工程機(jī)械、備件和土木工程項(xiàng)目交易公司官網(wǎng)，發(fā)現(xiàn)托管SlideRAT家族樣本。2017年9月，交通運(yùn)輸部“智能交通技術(shù)與設(shè)備”行業(yè)研發(fā)中心、北京市企業(yè)技術(shù)中心核心支撐單位，北京一科技有限公司網(wǎng)絡(luò)發(fā)現(xiàn)暗藏SlideRAT家族樣本。

(水坑攻擊網(wǎng)站)

此外，360安全大腦通過對(duì)SlideRAT進(jìn)行溯源分析發(fā)現(xiàn)，該木馬還仿冒了GooglePlay、安郵ID、旅游APP等多個(gè)合法軟件進(jìn)行釣魚傳播。

(釣魚網(wǎng)站相關(guān)信息)

在載荷投遞之外，360安全大腦對(duì)SlideRAT樣本分析時(shí)發(fā)現(xiàn)，2016年6月蔓靈花(APT-C-08)組織既已開始使用SlideRAT發(fā)起持續(xù)性攻擊。而相比于其早起使用的開源遠(yuǎn)程管理工具AndroRAT，兩種RAT在代碼結(jié)構(gòu)和功能上存在較大差異。對(duì)比可見，早起的AndroRAT功能偏向于遠(yuǎn)程控制，而后期使用的SlideRAT則更傾向于隱私竊取。

(左為AndroRAT結(jié)構(gòu)，右為SlideRAT結(jié)構(gòu))

全球APT攻防趨于白熱化 網(wǎng)絡(luò)安全威脅一觸即發(fā)

值得一提的是，報(bào)告中360安全大腦詳細(xì)梳理了一直以來，組織典型攻擊事件，再現(xiàn)該組織異?；钴S的攻擊動(dòng)向。而漸趨頻繁且精準(zhǔn)面向軍工政企的APT攻擊，也證實(shí)了近年全球范圍內(nèi)愈演愈烈地APT攻擊態(tài)勢(shì)。

(蔓靈花組織攻擊時(shí)間線)

在APT攻擊的巨浪下，不只蔓靈花(APT-C-08)組織異?；钴S。2019年，一面是南美洲多國(guó)頻頻因網(wǎng)絡(luò)攻擊遭遇大規(guī)模斷電、伊朗宣稱攻擊美國(guó)紐約電網(wǎng);另一面則是北約舉辦最大網(wǎng)絡(luò)安全演習(xí)“鎖盾2019”讓4000個(gè)虛擬軍事系統(tǒng)承受了2000多次攻擊、全球100多個(gè)國(guó)家成立超過200多支網(wǎng)軍部隊(duì)，全球網(wǎng)絡(luò)安全生態(tài)搖搖欲墜。

360董事長(zhǎng)兼CEO周鴻祎曾表示，在大安全時(shí)代，APT(高級(jí)持續(xù)威脅)是對(duì)國(guó)家安全、國(guó)防安全、社會(huì)安全、基礎(chǔ)設(shè)施安全等最大的威脅，能夠?qū)φ麄€(gè)國(guó)家的社會(huì)生活進(jìn)行遠(yuǎn)程打擊。APT攻擊與過去的網(wǎng)絡(luò)攻擊不可同日而語，也與傳統(tǒng)的熱戰(zhàn)不同。當(dāng)下貌似和平已久，但戰(zhàn)爭(zhēng)從未遠(yuǎn)離，只是形式不同，所以我們必須用作戰(zhàn)的視角看待網(wǎng)絡(luò)安全，全面理解APT攻擊。

全球披露發(fā)現(xiàn)蔓靈花（APT-C-08）最新移動(dòng)端攻擊的 360烽火實(shí)驗(yàn)室

關(guān)于360烽火實(shí)驗(yàn)室，致力于Android病毒分析、移動(dòng)黑產(chǎn)研究、移動(dòng)威脅預(yù)警以及Android漏洞挖掘等移動(dòng)安全領(lǐng)域及Android安全生態(tài)的深度研究。作為全球頂級(jí)移動(dòng)安全生態(tài)研究實(shí)驗(yàn)室，360烽火實(shí)驗(yàn)室在全球范圍內(nèi)首發(fā)了多篇具備國(guó)際影響力的Android木馬分析報(bào)告和Android木馬黑色產(chǎn)業(yè)鏈研究報(bào)告。實(shí)驗(yàn)室在為360手機(jī)衛(wèi)士、360手機(jī)急救箱、360手機(jī)助手等提供核心安全數(shù)據(jù)和頑固木馬清除解決方案的同時(shí)，也為上百家國(guó)內(nèi)外廠商、應(yīng)用商店等合作伙伴提供了移動(dòng)應(yīng)用安全檢測(cè)服務(wù)，全方位守護(hù)移動(dòng)安全。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。