“折纸”行动：针对南亚多国军政机构的网络攻击

1、背景概述
        一直以来，南亚地区都是APT攻击的焦点区域之一。安天从2014年基于分析成果曝光白象攻击组织起，已经先后发布了《白象的舞步——来自南亚次大陆的网络攻击》[1]、《潜伏的象群——来自南亚次大陆的系列网络攻击行动》[2]等多篇分析报告，对来自南亚次大陆方向的多个攻击组织的攻击活动进行了系统曝光和溯源。在过去的2019年，安天CERT（应急响应中心）继续关注相关威胁来源方向，接连捕获多批针对南亚多国军事、政府和教育等实体的攻击样本，且样本之间存在一定关联，攻击者带有明显窃密意图，受害者集中于巴基斯坦，少量分布在孟加拉、斯里兰卡和马尔代夫等南亚国家。根据当前观测数据，攻击者投递的诱饵文件形态丰富，诱饵的主题涉及军情事务、地缘争端、核武器、区域会议等重要话题，攻击者所使用的木马武器既有开源工具、也有自研工具，包括其中一种通过U盘摆渡机制，突破内网隔离以获取内网数据的木马。这一系列的攻击活动至少在2017年7月已经开始，迄今仍保持活跃。通过溯源分析，这些攻击样本来自被安天命名为“幼象”的组织（考虑到组织攻击手法简单、载荷还不成熟等特点，因此我们命名为“幼象”），其手法和装备与“白象”组织有一定差异，同时我们判断该组织与友商命名为“响尾蛇”的攻击组织存在关联。根据攻击者擅长依托少量资源伪装变换的特点，我们将这系列攻击活动命名为“折纸”行动（Operation PaperFolding）。
2、攻击活动分析
        2019年6月，相关攻击活动引起巴基斯坦相关机构的关注。2019年6月25日，巴基斯坦国家电信和信息技术安全委员会（NTISB）发出全国网络威胁预警[3]，称存在一批针对巴基斯坦国防和政府组织的钓鱼邮件活动，攻击目的是窃取机密数据，攻击者还对巴基斯坦原子能委员会（PAEC）发动了伪造成官方网页的钓鱼网站（骗取邮箱账号密码）攻击。此后，巴基斯坦电力信息技术公司（PITC）给出了更多的细节[4]：
        1.鱼叉邮件的主题包括：“中印峰会期间的关键讨论要点”、“巴基斯坦MOFA（外交部）官员的工资”、 “2019年11月9日卡塔普尔走廊的就职典礼”、“Cyber Policy 2019”和“NDU国外学习之旅（FST）-2020”等。
        2.虚假的邮件发件人：“dgpr.paknavy.gov.pk@email.com”和“arif9945@baf.mil.bd”，收件人都位于巴基斯坦境内。
        3.诱饵文件通过邮件正文中的下载链接传播，大多数挂载于域名“pakcert.gov-pk.org”下，诱饵文件的类型包括：快捷方式、伪装成PDF的程序、宏文档等，被执行后会先展示一个看似来自官方的掩饰文档。
        4.攻击者还通过“mail.paec.gov-pk.org”等钓鱼链接攻击巴基斯坦用户。
        2019年1月，安天陆续捕获到相关攻击波次样本，通过安天赛博超脑威胁情报分析子系统、样本分析子系统扩线分析，对相关攻击载荷的进行了全面的关联。攻击者使用了多种类型的攻击载荷和社工技巧，包括通过带有图标欺骗的PE可执行文件释放掩护图片、WinRAR自解压包同时打开掩护文件和木马程序、采用压缩包伪装指向恶意URL的LNK文件、以及带有格式文档漏洞或恶意宏的文档文件等。攻击目标集中于巴基斯坦，少量分布在其他南亚国家。文件名和释放的掩饰文件皆以巴基斯坦军事情报、中印、印巴边境问题、网络安全和核武器援助问题等为主体。木马载荷既有自研通过C++编写的窃密木马（可借助U盘突破内网隔离）、Python语言编写的木马和Go语言编写的木马，也用公开的Empire渗透框架和Exploit Pack漏洞攻击平台。最早发现的攻击样本编译于2017年7月，最新的编译于2019年10月16日，活动特征总结如下：
表2-1 活动特征总结
攻击时间
至少始于2017年7月，迄今保持活跃
攻击意图
窃密、刺探
针对目标
集中于巴基斯坦，其他少量分布在孟加拉国、斯里兰卡和马尔代夫等南亚国家。
针对行业/领域
政府、军事、国防、外交、核能、金融、教育、电信等
攻击手法
鱼叉邮件、钓鱼网站
涉及平台
Windows、Linux
攻击技术
纯脚本载荷、突破内网隔离、恶意宏、图标伪装、后缀名伪装、域名伪装
诱饵类型
图标伪装EXE、PDF图标自解压、Office文档、快捷方式等
使用漏洞
CVE-2017-11882、CVE-2018-0802
开发语言
C++、Python、PowerShell、HTML和Go语言
武器装备
Empire框架、Exploit Pack平台、自研C++窃密木马，自研Python木马
表 2 2典型诱饵一览
文件名
时间戳
释放的掩饰文件主题
Registration_Details.zip
2019-10-13 13:53:20
巴基斯坦空军大学简介。
CNS_Guidelines_2019.zip
2019-05-13 15:30:36
网络安全注意事项。
shipment.rar
2019-04-30 12:15:14
网络安全注意事项。
Response_of_Turkey_to_ISI_Help.exe
2019-01-29 05:49:12
土耳其回应对巴基斯坦三军情报局(ISI)的军事援助。
Betrayal_of_Pakistan_by_China.exe
2018-12-18 02:36:04
印度、巴基斯坦和中国在克什米尔边境线和Shaksgam谷地的军事战略问题。
ISI_Role_Sino-PAK_Nuclear_Deal.exe
2018-10-25 06:04:33
巴基斯坦三军情报局(ISI)是否能够获取中国对其的核武器援助。
Emergency-Contact-Numbers.pdf.exe
2018-03-01 17:34:25
斯里兰卡各境内机构的紧急联系方式。
provisionalagenda.pdf.exe
2018-02-07 14:30:11
2018年4月9-12日期间，印度中央邦印多尔辉煌会议中心召开亚太地区第八届3R论坛。
UPDATED Program Dec 6 Trident Conference.pdf.exe
2017-12-08 17:24:38
2017年12月19日，伊斯兰堡战略研究所召开“巴基斯坦－中国－伊朗国际会议：区域互联互通的传统”的议程安排。

[1] [2] [3] [4] [5] [6] [7] [8] [9]  下一页