盘旋在中亚上空的阴影-黄金雕（APT-C-34）攻击活动揭秘.pdfVIP

用户上传 更多免费报告请查看研报客 盘旋在中亚上空的阴影-黄金雕（APT-C-34） 组织攻击活动揭露 用户上传 更多免费报告请查看研报客 背景 Hacking Team 是为数不多的几家在全世界范围出售商业网络武器的公司之一。2015 年 7 月 5 日， Hacking Team 遭遇了大型数据攻击泄漏事件，该公司已经工程化的漏洞和后门产品代码几乎被全部 公开。该事件泄露包括了 Flash、Windows 字体、IE、Chrome、Word 、PPT、Excel、Android 的未公 开 0day 漏洞，覆盖了大部分的桌面电脑和超过一半的智能手机。泄露的网络武器被黑客大肆利用， 随后 Hacking Team 公司也宣布破产被并购。2015 年后，有关 HackingTeam 的活动突然肖声觅迹。 2018 年在乌俄两国突发“刻赤海峡”事件的危机时刻，360 高级威胁应对团队在全球范围内率先发 现 了一起针对俄罗斯的 APT 攻击行动，攻击者精心准备了一份俄文内容的员工问卷的诱饵文档，根 据文档内容推测，攻击所指向的是俄罗斯总统办公室所属的医疗机构 ，结合被攻击目标医疗机构的职 能特色，我们将 APT 攻击命名为 了“毒针”行动。我们无法确定“毒针”行动的动机和攻击身份，但攻击 所指向的医疗机构特殊背景 ，使攻击表现出了明确的定向性 ，同时攻击发生在“刻赤海峡”危机的敏感 时段，也为攻击带上了一些未知的政治意图。 我们发现“毒针”行动使用了 Flash 0day 漏洞 cve-2018-15982 ，后门程序疑似自于意大利网络武 器军火商 HackingTeam，所以不难推测其背后的 APT 组织可能经常采购商业网络武器。种种迹象表 明 HackingTeam 的生意并没有消失，这引发了我们对 HackingTeam 网络武器再次追踪的兴趣，我们 尝试针对 HackingTeam 网络武器进行关联追踪，意料之外地发现了一支未被披露过的俄语系 APT 组 织，该组织的活动主要影响中亚地区，大部分集中在哈萨克坦国境内。因为是全球首次发现披露，我 们参照中亚地区擅长驯养猎鹰进行狩猎的习俗特性，将该组织命名为黄金雕（APT-C-34）。 概要 在针对 HackingTeam 后门程序研究过程中，我们从 360 的大数据中找到了更多的在野攻击中使 用的 HackingTeam 后门程序，通过对程序的同源性进行分析，关联扩展发现了大量不同种类的后门 程序。通过持续一年的观察和一步一步的深入调查分析，我们挖掘了更多的细节信息，逐渐整合形成 用户上传 更多免费报告请查看研报客 了黄金雕（APT-C-34）组织的全貌。 黄金雕（APT-C-34）组织的受害者广泛分布中亚地区，主要活跃在哈萨克斯坦国境内，涉及各 行各业，包括教育 、航空航天 、政府机关、媒体工作人员等 ，其中部分受害者有中国背景，涉及我方 与哈萨克合作项目，而极少数的人位于西北部地区。该组织背后疑似有政府实体机构支持其行动。 在技术手段上 ，除了传统的后门程序，黄金雕 （APT-C-34）组织还采购了 HackingTeam 和 NSO 的商业间谍软件。我们发现该组织的 HackingTeam 后门版本号为 10.3.0，与“毒针”行动的后门版本号 相同 。在攻击方式上 ，除了使用了传统的社会工程学等手段外，该组织也大量使用了物理接触的方式 投递恶意程序（例如 U 盘等）；除此之外，其也有使用特殊侦查设备对目标直接进行窃听和信号获取 的迹象。 用户上传 更多免费报告请查看研报客 攻击影响范围 对受害者进行分析统计 ，绝大部分受害者都集中在哈萨克斯坦国境内，涉及各行各业，从相关数 据中看，包括教育行业 、政府机关人员、科研人员 、媒体工作人员 、部分商务工业 、军方人员、宗教 人员、政府异见人士和外交人员。 波及我国的主要人员绝大部分也集中在哈萨克斯坦国境内，包括留学生群体 、驻哈萨克斯坦教育 机构、驻哈萨克斯坦相关工程项目组，极少数的受害者分布在我国西北部地区，涉及政府工作人员。 在该组织的 CC 服务器上，我们发现了大量的根据哈萨克斯坦城市命名的文件夹，包含了大部 分哈萨克斯坦的主要城市。 文件夹名称 城市名 Aktay 阿克套