国家级APT(Advanced Persistent Threat,高级持续性威胁)组织是有国家背景支持的专注于针对特定目标进行长期持续性网络攻击的顶尖黑客团伙。
奇安信旗下的高级威胁研究团队红雨滴(RedDrip Team)在每年发布的全球APT年报、中报里都会对当年各大APT团伙的活动进行分析总结。此次,奇安信病毒响应中心移动安全团队将起底一个来自南亚地区新国家级APT组织。
今天,我们依然把目光放在南亚地区,介绍又一个来自该地区且常年活跃的国家级黑客团伙:金刚象(VajraEleph)。
金刚象
金刚象是一个来自南亚某国军方背景的APT组织,该组织最早由奇安信病毒响应中心于2022年3月进行全球独家首次公开披露,是奇安信独立发现并率先披露的第15个APT组织。
金刚象组织的攻击活动最早可追溯到2021年,一年多的持续攻击已经影响到巴基斯坦、阿联酋、尼泊尔、沙特阿拉伯、斯里兰卡、马尔代夫等印度周边国家。奇安信内部跟踪编号为APT-Q-43。
背景
金刚象(VajraEleph),是一个来自南亚某国军方背景的APT组织,该组织的攻击活动最早由奇安信病毒响应中心于2022年3月进行全球首次公开披露,是奇安信独立发现并率先披露的第15个APT组织。金刚象组织的攻击活动最早可追溯到2021年,迄今为止该组织一直处于活跃状态。
金刚象组织主要针对巴基斯坦、阿联酋、尼泊尔、沙特阿拉伯、斯里兰卡、马尔代夫等印度周边国家发起攻击,对政府机构、国防军事部门人员实施网络间谍活动,攻击活动具有强烈的军事意图。其中巴基斯坦是最主要的受害国家,目前已受害人员近600名,受害占比96.6%。
图1 受金刚象组织攻击的受害国情况分布图
金刚象组织在一些攻击活动中使用的工具特征和网络基础设施与南亚的其他攻击组织,如响尾蛇SideWinder、蔓灵花Bitter、肚脑虫Donot等没有显著关联(仅与肚脑虫Donot存在少量相似性),具有很强的独立性和独立特征。
攻击手段与工具
金刚象组织的攻击活动主要针对Android平台。该组织主要把恶意软件伪装成小众化的聊天应用,在几大社交平台上进行鱼叉攻击。
1. 水坑攻击
金刚象组织擅长把恶意软件伪装成小众化的聊天应用,发布到国外某知名应用商店平台。虽然有一部分被下架处理,但还有一批仍在上架继续进行着水坑攻击。这部分应用虽也能作为水坑攻击,但我们认为这并不是该组织主要的真实意图。
2. 鱼叉攻击
金刚象组织通过在几个公开的社交平台搜索进行筛选高价值目标,再结合色情话术等聊天诱导目标用户安装指定的诱饵聊天攻击应用进行窃取信息攻击。这有别于PC常见的鱼叉形式,但这也算是移动端对鱼叉攻击形式的一种“新发展”。
金刚象组织针对Android平台使用的是该组织特有的定制化RAT,被我们命名为VajraSpy。Android平台的恶意软件通常伪装为正常聊天应用诱使受害者安装运行,该组织的Android木马可获取受害者设备的通讯录、短信、通话记录、音视频、文本文档、相册等敏感数据。
著名攻击事件
2022年3月,奇安信病毒响应中心将该APT组织命名为金刚象组织(VajraEleph)并进行全球首次公开披露。报告中提到了该组织针对巴基斯坦和尼泊尔国家进行了攻击,主要涉及了巴基斯坦多种部队的军事人员。
图2 首次报告披露的描述相关图
2022年4月,我们关注到该组织把斯里兰卡也列入了其攻击国家目标中,其中斯里兰卡的两位军方少将手机疑似已遭受攻击,两位军方高层分别为:56步兵师现任指挥官LDSS Liyanage少将和66步兵师现任指挥官Ajith Dissanayake少将。
图3 两张斯里兰卡少将被窃取的相关图片举例(左 LDSS Liyanage少将、右 Ajith Dissanayake少将)
2022年4月,我们关注到该组织把马尔代夫也列入了其攻击国家目标中,其中马尔代夫的一位军方少校手机疑似已遭受攻击。
图4 一张马尔代夫某少校被窃取的相关图片举例
至今,我们已发现到巴基斯坦有近600名人员手机受到攻击,大多为巴基斯坦的陆、海和空三军军方人员。被窃取的资料近10w个,除了人员的生活相关信息,还包含了大量的军方文档文件、人物武器地点相关图片等,甚至包含有巴基斯坦的三军情报局(ISI)相关。
图5 部分巴基斯坦被窃取的相关图片举例
总结
金刚象这个“新起之秀”攻击组织在短短一年多的时间里,已悄然完成覆盖攻击了多个周边国家,获取到大量的军事情报,即使是有相当经验的军事高层也不能幸免。除了该组织是来自南亚某国专业化的军方情报机构支持外,我们认为主要还有以下几个方面:
首先,利用进行上架带用正常功能的恶意应用到国外某知名应用商店平台的形式,致受害用户会轻易进行安装而极大提高攻击成功率。
第二,很多发展中国家的网络安全建设水平、管理水平相对落后,导致仅仅通过针对智能手机的攻击,就有可能获得大量的敏感、机密信息。
第三,智能手机普及度越来越高,针对安全意识不足的涉密人员,通过社交平台发动网络攻击,是一种低成本,高效率的攻击方式。
第四,智能手机,往往存在更多未修复的安全漏洞,加之移动安全软件的普及率不高,导致针对移动平台发起网络攻击的技术门槛相对更低。
那么,对于政企机构,特别是军方、警方等涉密或敏感机构来说,应当怎样做好防护,尽可能的避免或减少针对移动平台、社交平台的APT活动给自身带来的影响呢?我们在此给予如下一些实用建议。
1) 工作生活相分离,敏感信息不外传
相关机构应努力避免工作人员使用个人智能手机进行日常办公活动。有条件的单位,可以为工作人员配发工作手机或涉密手机。如果条件确实不允许,可以使用企业级安全移动工作平台进行内部的交流和办公,比如蓝信、云手机安全管理系统等。
2) 加强安全意识教育,严格执行安全规范
相关机构应加强员工安全意识教育,不要使用个人手机拍摄、存储敏感或涉密信息,更不能通过社交平台分享敏感信息;不去点击陌生人发来的不明链接;拒绝色情、赌博等非法信息的诱惑。同时,相关机构还应制定切实可行的网络安全管理标准与员工行为规范,并进行严格的监督与审查。
3) 更新软件系统,使用安全软件
相关机构应要求员工,不论是办公手机还是个人手机,都要做到及时更新操作系统与核心软件,以确保智能手机始终处于最佳安全状态。同时安装必要的手机安全软件,以尽可能的减少各类木马、病毒的侵害。
4) 补齐网络安全短板,及时增加一体化安全综合体系能力
相关机构应与专业安全厂商一起,补齐网络安全短板,及时根据网络发展时代趋势,迅速引入有效的移动端、物联网等安全防护产品,实现一体化综合安全体系。
5) 建立威胁情报能力,防范APT攻击
相关机构应与专业安全厂商一起,共建高效的威胁情收集、分析与处置能力,及时发现、拦截和追踪各类APT活动,将APT活动带来的影响和损失降到最低。
目前,基于奇安信自研的猫头鹰引擎和奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天机、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等,都已经支持对此类攻击的精确检测。
附录1 奇安信病毒响应中心
奇安信病毒响应中心是北京奇安信科技有限公司(奇安信集团)旗下的病毒鉴定及响应专业团队,背靠奇安信核心云平台,拥有每日千万级样本检测及处置能力、每日亿级安全数据关联分析能力。结合多年反病毒核心安全技术、运营经验,基于集团自主研发的QOWL和QDE(人工智能)引擎,形成跨平台木马病毒、漏洞的查杀与修复能力,并且具有强大的大数据分析以及实现全平台安全和防护预警能力。
奇安信病毒响应中心负责支撑奇安信全线安全产品的病毒检测,积极响应客户侧的安全反馈问题,可第一时间为客户排除疑难杂症。中心曾多次处置重大病毒事件、参与重大活动安全保障工作,受到客户的高度认可,提升了奇安信在业内的品牌影响力。
附录2 奇安信病毒响应中心移动安全团队
奇安信病毒响应中心移动安全团队一直致力移动安全领域及Android安全生态的研究。目前,奇安信的移动安全产品除了可以查杀常见的移动端病毒木马,也可以精准查杀时下流行的刷量、诈骗、博彩、违规、色情等黑产类软件。通过其内部分析系统可以有效支持对溯源分析等追踪。通过其高价值移动端攻击发现流程已捕获到多起攻击事件,并发布了多篇移动黑产报告,对外披露了多个APT组织活动,近两年已首发披露4个国家背景下的新APT组织(诺崇狮组织SilencerLion、利刃鹰组织BladeHawk、艾叶豹组织SnowLeopard和金刚象组织VajraEleph)。未来我们还会持续走在全球移动安全研究的前沿,第一时间追踪分析最新的移动安全事件、对国内移动相关的黑灰产攻击进行深入挖掘和跟踪,为维护移动端上的网络安全砥砺前行。
附录3 奇安信移动产品介绍
奇安信移动终端安全管理系统(天机)是面向公安、司法、政府、金融、运营商、能源、制造等行业客户,具有强终端管控和强终端安全特性的移动终端安全管理产品。产品基于奇安信在海量移动终端上的安全技术积淀与运营经验,从硬件、OS、应用、数据到链路等多层次的安全防护方案,确保企业数据和应用在移动终端的安全性。
奇安信移动态势感知系统是由奇安信安全监管BG态势感知第一事业部及其合作伙伴奇安信病毒响应中心移动团队合力推出的一个移动态势感知管理产品。不同于传统移动安全厂商着重于APP生产,发布环节,为客户提供APP加固、检测、分析等;移动态势感知面向具有监管责任的客户,更加着重于APP的下载,使用环节,摸清辖区范围内APP的使用情况,给客户提供APP违法检测、合规性分析、溯源等功能。