半岛APT“趁势之危”对我国商贸相关政府机构发动攻击

1月14日，微软正式宣告Windows 7系统停止更新。此次停服，引爆全网危机，不仅顺机突发全球首例复合0day漏洞——“双星”漏洞，令国内超六成用户曝光在其阴霾之下；更有别有用心者“趁势追击”，利用“双星”发动猛攻。近期，作为全球首家捕获该漏洞的狙击者——360安全大脑继续对其分析溯源，判定：“双星”漏洞已被活跃近十余年的半岛APT组织Darkhotel(APT-C-06)所利用，并瞄准我国商贸相关的政府机构发动攻击。针对此事，本文，不仅对事件进行了抽丝剥茧、逐层深入的分析，更首次独家揭秘了该APT组织，阴险、刁滑、狡诈的攻击手法。
在开启正文前，先向读者交代下背景：
2020年1月14日，微软正式宣告Windows 7系统停止更新。
在Win 7正式停服关键节点的首日，360安全大脑就在全球范围内捕获首例时利用IE浏览器和火狐浏览器两个0day漏洞的复合攻击，由于是全球首家捕获到此次攻击，360安全大脑将其命名为“双星”0day漏洞攻击，其编号分别是：CVE-2019-17026（火狐）和CVE-2020-0674（IE）。
“双星”漏洞不仅影响了最新版本的火狐浏览器和IE浏览器及使用了相关浏览器内核的应用程序；值得警惕的是，该漏洞可致使用户在毫无防备的情况下，就被植入勒索病毒，甚至被黑客监听监控，执行窃取敏感信息等任意操作，其威胁性可谓是史无前例。
然而，别有用心者仍在“趁势之危”。近期，360安全大脑经分析溯源判定：“双星”漏洞不仅已被活跃十余年的半岛APT组织Darkhotel(APT-C-06)所利用，更是针对我国商贸相关的政府机构发动主要攻击。
 
又一起针对我国的APT攻击，此次攻击者是“何方妖孽”？
Darkhotel（APT-C-06），中文名为黑店。是一个有着东亚背景，长期针对企业高管、国防工业、电子工业等重要机构实施网络间谍攻击活动的APT组织。其相关攻击行动最早可以追溯到2007年。2014年11月，被卡巴斯基实验室的安全专家首次发现。此后，360高级威胁团队就对该团伙的活动一直保持着持续跟踪。
2018年4月，360安全大脑就曾在全球范围内，率先监测到了该组织使用0day漏洞进行APT攻击。从其溯源分析报告来看，该APT组织瞄准中、俄、日、韩等国政府及组织机构或企业单位，尤其针对中国重点省份外贸企业单位和相关机构展开攻击。
“一个经验老道的惯犯”来形容Darkhotel APT组织一点不为过！长期被国家级APT组织盯上，本就如一颗随时可爆发的炸弹，随时面临一国网络被瘫痪的风险。然而，这一次，Darkhotel APT组织还还携“重磅利器”——“双星”漏洞而来，于它简直是“如虎添翼”；但于我国，简直是恶魔梦魇的降世！
还记得WannaCry勒索病毒吗？2017年5月12日，它利用Windows系统“永恒之蓝”高危漏洞席卷全球，引爆网络世界的“生化危机”。以迅雷不及掩耳，横扫150国家几十万台计算机，不止政府机关、高校、医院的电脑屏幕都被“染”成了红色，能源、通信、交通、制造等诸多关键信息基础设施也在这场风暴中，遭遇到前所未有的重创。
以至于，自那日起，它所带来的恐惧就如不散的“阴魂”盘桓在人们的心中，久久不能散去；然而，与不断加深恐惧相对应的是，其危害影响仍在持续。
2019年5月，也就是在WannaCry 爆发两年之后，堪比“永恒之蓝”的Bluekeep高危远程漏洞高调来袭，一时间，全球400万台主机再次暴露在漏洞的暴风眼下，一旦该漏洞被黑客成功利用，世界将再次陷入不尽的黑暗。
单纯利用Windows系统漏洞，就足以拥有了“毁天灭地”的力量，然而，作为IE浏览器和火狐浏览器两个0day漏洞的“结合体”，“双星”漏洞所蕴含的巨大威胁性、爆发力、破坏力不敢想，不敢想！
 
继医疗机构、视频监控系统被锁定后，这一次的攻击者瞄准的是谁？
然而，屋漏偏逢连夜雨，船迟又遇打头风。
6天前的热门推文，印度APT组织趁火打劫对我国医疗机构发起定向攻击，还历历在目；
3天前的重磅警告，境外黑客组织又蠢蠢欲动，公然扬言欲对我国视频监控系统痛下毒手，还萦绕在耳；
而今，半岛APT组织Darkhotel又早已携手“双星”漏洞，对我国发动猛烈攻击。在具体攻击目标上，这一次，它再次瞄准与商贸相关的政府机构。
这一点非常好理解。“双星”漏洞本就爆发于Win7停服之际，其攻击之目标早已昭然若揭。而与此同时的关键是，当前我国的情况：
第一，国内超六成用户曝光在“双星”漏洞阴霾之下
直至2019年10月底，国内Windows7系统的市场份额占比仍有近6成。Windows 7的终结，无疑意味着这些庞大的用户失去了微软官方的所有支持，包括软件更新、补丁修复和防火墙保障，将直面各类利用漏洞等威胁进行的攻击。蓄谋而来的“双星”0day漏洞也不在Windows7的修复范围内，所以，攻击者完全可以凭借该漏洞重击所有使用Windows 7系统的计算机，并像野火一样蔓延至整个网络，
第二，升级系统未纳入采购清单，Win7仍是政府企事业单位主力
而另外一端，出于国家安全考量，我国政府至今未将Win 8、Win 10系统纳入政府采购清单，也就是说，目前Win7仍被广泛应用于政府企事业单位中。而随着Win7的正式停服，这些单位的系统无疑在网络世界中裸奔。
所以，此次半岛APT组织Darkhotel携手“双星”漏洞对商贸相关的我国政府机构发动攻击，于它简直是“如虎添翼”；但于我国，简直是毁灭世界的恶魔！
第三，疫情大敌当前，医疗战役与稳定国民经济发展同重要
尤其，在当前我国倾一国之力，对抗疫情的当下，除了要打赢这场医疗疫情之战，还要在这紧要关头稳住国民经济的发展。此时，半岛APT组织Darkhotel对我国商贸领域下手，此举不亚于印度APT组织，它不仅在趁火打劫！更是居心不良！
 
阴险、刁滑、狡诈六字揭秘，Darkhotel APT组织如何发动攻击？
能利用“双星”、双浏览器0day漏洞，足见Darkhotel(APT-C-06)的攻击技术早已骤然升级，然而，在对其攻击流程和攻击细节分析中，发现Darkhotel APT组织更是阴险、刁滑、狡诈的代名词。

[1] [2]  下一页