现代“碟中谍”——多国APT组织的杀戮之路.pdf

现代 “碟中谍”——多国APT组织的杀戮之路 徐智鑫 三零卫士 木星安全实验室 情报分析师 目录 0 序言 1 APT-32/海莲花 黑客组织 2 TA505 黑客组织 3 蓝宝菇/APT-C-12 黑客组织 PART 00 PART 00 序言 序言 什么是APT 高级长期威胁 （简称 ：APT），又称高级持续性威 胁、先进持续性威胁等，是指隐匿而持久的电脑入 侵过程 ，通常由某些人员精心策划，针对特定的 目 标。其通常是出于商业或政治动机 ，针对特定组织 或国家，并要求在长时间内保持高隐蔽性。高级长 期威胁包含三个要素：高级、长期、威胁。高级强 调的是使用复杂精密的恶意软件及技术 以利用系统 中的漏洞。长期暗指某个外部力量会持续监控特定 目标 ，并从其获取数据。威胁则指人为参与策划的 攻击。 PART 01 PART 0 1 APT-32/海莲花 组织背景 海莲花黑客组织是近些年来频繁针对东南亚地区进 行攻击的活跃APT组织之一，自从被友商披露后逐渐进 入大家的视野，但该组织的攻击活动并没有因为被披露 而进入“睡眠期”，而是一直处于“活跃期”。 组织来源 ： 疑为越南或越南周边区域 海莲花黑客组织是非常灵活的黑客组织，擅长使用 攻击地域 ： 中国、柬埔寨 、老挝 、菲律 开源工具或商业工具并将其定制化开发使其变为私有工 宾、以及其他东南亚国家 具，例如知名的商业木马 Cobalt Strike 和 开源木马 gh0st 。 攻击 目标 ： 能源 、高校 、海事、金融 、 擅于利用多层 shellcode内存加载技术和脚本语言来 政府 、科研 逃避终端威胁检测。 普通宏文档攻击 该样本宏代码 ，首先会把硬编码的数据 通过Data变量相加，然后通过Base64解 码将解码后的vbs代码 ，释放到 msohtml.log ，并判断相应的系统位数， 把对应的wscript.exe复制 windows\Sys