國(guó)家級(jí)APT（Advanced Persistent Threat，高級(jí)持續(xù)性威脅）組織是有國(guó)家背景支持的頂尖黑客團(tuán)伙，專(zhuān)注于針對(duì)特定目標(biāo)進(jìn)行長(zhǎng)期的持續(xù)性網(wǎng)絡(luò)攻擊。

　　奇安信旗下的高級(jí)威脅研究團(tuán)隊(duì)紅雨滴（RedDrip Team）每年會(huì)發(fā)布全球APT年報(bào)【1】、中報(bào)，對(duì)當(dāng)年各大APT團(tuán)伙的活動(dòng)進(jìn)行分析總結(jié)。

　　虎符智庫(kù)特約奇安信集團(tuán)旗下紅雨滴團(tuán)隊(duì)，開(kāi)設(shè)“起底國(guó)家級(jí)APT組織”欄目，逐個(gè)起底全球各地區(qū)活躍的主要APT組織。本次鎖定是在南亞地區(qū)且較為活躍的另一APT組織：摩訶草。

　　07

　　摩訶草

　　摩訶草是具有南亞背景的APT組織，持續(xù)活躍超過(guò)8年時(shí)間，最早攻擊活動(dòng)可以追溯到2009年11月。

　　摩訶草組織攻擊目標(biāo)非常廣泛，除中國(guó)和巴基斯坦等主要目標(biāo)，還包括以色列、孟加拉國(guó)、美國(guó)、英國(guó)、日本、韓國(guó)等國(guó)及中東和東南亞地區(qū)。奇安信內(nèi)部跟蹤編號(hào)為APT-Q-36

　　背景

　　摩訶草，又名Hangover、Patchwork、白象等稱(chēng)號(hào)，是一個(gè)具有南亞背景的APT組織。摩訶草組織已經(jīng)持續(xù)活躍了超過(guò)8年時(shí)間，其最早攻擊活動(dòng)可以追溯到2009年11月，從2015年開(kāi)始變得更加活躍。

　　該組織主要針對(duì)Windows系統(tǒng)進(jìn)行攻擊，同時(shí)也會(huì)針對(duì)Android【2】、Mac OS【3】系統(tǒng)進(jìn)行攻擊。其攻擊活動(dòng)中使用了大量漏洞，其中至少包括一次 0day 漏洞利用攻擊。

　　摩訶草APT組織攻擊目標(biāo)所涉及的國(guó)家和地區(qū)分布非常廣泛，除了中國(guó)和巴基斯坦等主要目標(biāo)，還包括以色列、孟加拉國(guó)、美國(guó)、英國(guó)、日本、韓國(guó)等國(guó)以及中東和東南亞地區(qū)。

　　該組織以魚(yú)叉攻擊為主，以少量水坑攻擊為輔，針對(duì)目標(biāo)國(guó)家的政府、軍事、電力、工業(yè)、外交和經(jīng)濟(jì)進(jìn)行網(wǎng)絡(luò)間諜活動(dòng)，竊取敏感信息。

　　攻擊手段與工具

　　摩訶草APT組織具有使用0day漏洞和Nday漏洞的能力，其經(jīng)常使用漏洞利用文檔進(jìn)行攻擊。其攻擊活動(dòng)常以魚(yú)叉郵件開(kāi)始，偶爾也會(huì)利用水坑攻擊，并結(jié)合社會(huì)工程學(xué)技巧，以熱點(diǎn)問(wèn)題為誘餌主題，將自身偽裝為目標(biāo)國(guó)家、目標(biāo)領(lǐng)域的相關(guān)人員發(fā)起定向攻擊。近年來(lái)，摩訶草組織還被發(fā)現(xiàn)利用VBA宏文檔、偽裝圖標(biāo)PE等技術(shù)進(jìn)行攻擊。

　　從過(guò)往摩訶草攻擊活動(dòng)中，我們總結(jié)出該組織的攻擊手段具有以下特點(diǎn)：

　　熟悉目標(biāo)國(guó)家的政治熱點(diǎn)問(wèn)題，用于制作魚(yú)叉郵件；

　　會(huì)主動(dòng)搜索和加入即時(shí)通訊工具的一些相關(guān)人員交流的社群（如QQ群），并主動(dòng)投放一些釣魚(yú)鏈接；

　　攻擊工具和惡意代碼以多種形式呈現(xiàn)，包括PowerShell腳本、JS腳本、C#開(kāi)發(fā)的木馬程序等等，也會(huì)利用一些公開(kāi)的文檔漏洞構(gòu)造誘餌文檔；

　　投放的攻擊載荷投放多為以漏洞文檔觸發(fā)的腳本類(lèi)，并用于收集文檔信息和機(jī)器信息以供攻擊者判斷是否重要目標(biāo)；

　　用于持久化的木馬實(shí)現(xiàn)豐富的控制指令，更多以C#形態(tài)存在。

　?。ㄒ唬┕羰侄?/p>

　　1. 魚(yú)叉攻擊

　　摩訶草組織大多以目標(biāo)國(guó)家的熱點(diǎn)時(shí)事作為主題，用于制作魚(yú)叉郵件的誘餌文檔，迷惑性極強(qiáng)。通常情況下，魚(yú)叉郵件內(nèi)攜帶的誘餌文檔為漏洞利用文檔。攻擊者也會(huì)在攻擊郵件中嵌入釣魚(yú)鏈接，并誘導(dǎo)受害者訪(fǎng)問(wèn)釣魚(yú)鏈接，輸入賬號(hào)密碼以供情報(bào)收集或橫向攻擊所用。該組織還在其電子郵件中使用了帶有獨(dú)特的、針對(duì)每個(gè)收件人的跟蹤鏈接，以識(shí)別哪些收件人打開(kāi)了郵件。

　　據(jù)不完全統(tǒng)計(jì)，摩訶草在歷次攻擊活動(dòng)中使用過(guò)的漏洞如下：

　　CVE-2017-0261；

　　CVE-2017-11882；

　　CVE-2017-8570；

　　CVE-2015-1641；

　　CVE-2014-4114；

　　CVE-2013-3906（0day）；

　　CVE-2016-7255；

　　CVE-2019-0808；

　　CVE-2015-2545；

　　CVE-2012-0158；

　　CVE-2014-6352。

　　2. 水坑攻擊

　　摩訶草組織會(huì)通過(guò)搭建與合法網(wǎng)站極其相似的仿冒網(wǎng)站，掛載誘餌文檔或后門(mén)安裝程序，誘使受害者下載執(zhí)行。此外，摩訶草組織也會(huì)通過(guò)入侵合法網(wǎng)站的方式傳播木馬程序。

　?。ǘ┦褂霉ぞ呒凹夹g(shù)特征

　　摩訶草組織的網(wǎng)絡(luò)武器庫(kù)主要包括：AutoIt backdoor、BADNEWS 、NDiskMonitor、PowerSploit、QuasarRAT、Socksbot、TINYTYPHON、Unknown Logger，主要通過(guò)漏洞利用文檔或水坑網(wǎng)站進(jìn)行下發(fā)。

　　此外，安全廠(chǎng)商還披露了該組織Android和Mac OS平臺(tái)的惡意軟件。

　　通過(guò)分析摩訶草組織的攻擊案例，可以總結(jié)出其技術(shù)特征：

　　使用 Base64 或自定義的加密邏輯對(duì) C2 流量進(jìn)行編碼；

　　利用DLL側(cè)加載技術(shù)（白加黑）執(zhí)行BADNEWS；

　　使用現(xiàn)有的合法外部 Web 服務(wù)來(lái)托管其 base64 編碼和加密的 C2 服務(wù)器位置；

　　使用 EPS 腳本傳送有效負(fù)載；

　　使用 AES 加密收集的文件路徑，然后使用 base64 對(duì)其進(jìn)行編碼。

　　著名攻擊事件

　?。ㄒ唬┠υX草首次曝光

　　2013年5月，國(guó)外安全廠(chǎng)商N(yùn)orman披露了一次起源于印度的網(wǎng)絡(luò)攻擊活動(dòng)，相關(guān)攻擊活動(dòng)最早可以追溯到2009年11月，Norman將其命名為Operation Hangover【4】，也就是后來(lái)的摩訶草組織。在第一次攻擊行動(dòng)中摩訶草就已經(jīng)開(kāi)始利用漏洞進(jìn)行攻擊，主要針對(duì)巴基斯坦、中國(guó)，以情報(bào)竊取為目的。隨后又有其他安全廠(chǎng)商持續(xù)追蹤并披露該組織的最新活動(dòng)，但該組織并未由于相關(guān)攻擊行動(dòng)曝光而停止對(duì)相關(guān)目標(biāo)的攻擊，相反從2015年開(kāi)始更加活躍。除了針對(duì)windows操作系統(tǒng)的攻擊，在2012年也出現(xiàn)了針對(duì)Mac OS操作系統(tǒng)的攻擊。

　　2013年10月，摩訶草組織開(kāi)始了一次具有代表性的攻擊活動(dòng)，主要針對(duì)巴基斯坦情報(bào)機(jī)構(gòu)或軍事相關(guān)目標(biāo)。本次攻擊行動(dòng)的代表性體現(xiàn)在摩訶草采利用了0day漏洞（CVE-2013-3906）進(jìn)行攻擊，該漏洞是針對(duì)微軟Office產(chǎn)品，隨后微軟發(fā)布的漏洞預(yù)警指出該漏洞主要和TIFF圖像解析有關(guān)【5】【6】。

　?。ǘ┽槍?duì)中國(guó)政府、軍事部門(mén)的攻擊活動(dòng)

　　2017年5月，國(guó)內(nèi)某安全廠(chǎng)商通過(guò)一份包含漏洞的Word文檔發(fā)現(xiàn)了“白象”團(tuán)伙針對(duì)中國(guó)政府、軍事相關(guān)部門(mén)的攻擊活動(dòng)【7】，挖掘出其注冊(cè)的大量可疑域名和木馬樣本。有趣的是，就在印度軍隊(duì)于8月28日自洞朗撤軍，中印雙方結(jié)束了兩個(gè)多月的對(duì)峙后，該團(tuán)伙的釣魚(yú)網(wǎng)站于8月29日再次上線(xiàn)，并以“中印邊境”為題誘導(dǎo)訪(fǎng)問(wèn)者下載惡意程序植入后門(mén)，繼續(xù)對(duì)中國(guó)目標(biāo)發(fā)起攻擊。

　　具體內(nèi)容包括：

　　釣魚(yú)網(wǎng)站于2017年8月29日上線(xiàn)，以“中印邊境”為話(huà)題構(gòu)造了仿冒優(yōu)酷的釣魚(yú)頁(yè)面，誘導(dǎo)訪(fǎng)問(wèn)者下載后門(mén)程序。

　　木馬使用C++編寫(xiě)，執(zhí)行后會(huì)再調(diào)用一段加密后的。Net代碼，并偽裝成360安全防護(hù)軟件，具備較強(qiáng)的隱蔽性和對(duì)抗性。

　　木馬啟動(dòng)后能夠接受遠(yuǎn)程控制服務(wù)器任意指令，完全控制受害主機(jī)。

　?。ㄈ├肅VE-2017-8570以社會(huì)政治生活為主題針對(duì)國(guó)內(nèi)的攻擊活動(dòng)

　　2018年春節(jié)前后，奇安信威脅情報(bào)中心與安全監(jiān)測(cè)與響應(yīng)中心協(xié)助用戶(hù)處理了多起非常有針對(duì)性的魚(yú)叉郵件攻擊事件，發(fā)現(xiàn)了客戶(hù)郵件系統(tǒng)中大量被投遞的魚(yú)叉郵件，被攻擊的單位為某些重要敏感的政府機(jī)構(gòu)。經(jīng)過(guò)溯源分析與關(guān)聯(lián)，幕后團(tuán)伙正是摩訶草組織（APT-Q-36）。

　　2018年3月，國(guó)內(nèi)某安全廠(chǎng)商捕獲“白象”APT組織（摩訶草）使用的多個(gè)誘餌文檔【8】，分別存放在fprii.net、ifenngnews.com和chinapolicyanalysis.org等該組織注冊(cè)的仿冒網(wǎng)站上，文檔內(nèi)容涉及“2018最新部隊(duì)工資調(diào)整政策” （3月6日出現(xiàn)）、 “民政部公布一批非法社會(huì)組織” （3月14日生成）、“中華人民共和國(guó)監(jiān)察法（草案）”（3月15日生成）、以及日本防衛(wèi)研究所發(fā)布的2018年版《中國(guó)安全戰(zhàn)略報(bào)告》（3月13日出現(xiàn)）等某特定期間的熱點(diǎn)話(huà)題，具備較強(qiáng)的迷惑性和針對(duì)性。這批誘餌文檔均利用了微軟Office漏洞CVE-2017-8570，未及時(shí)安裝補(bǔ)丁的用戶(hù)一旦打開(kāi)文檔就會(huì)觸發(fā)漏洞并運(yùn)行惡意腳本，惡意腳本會(huì)繼續(xù)下載執(zhí)行遠(yuǎn)控木馬并篩選特定目標(biāo)繼續(xù)下發(fā)執(zhí)行特定的木馬模塊。

　　整個(gè)樣本執(zhí)行流程如下：

　　圖1 CVE-2017-8570樣本執(zhí)行流程【9】

　　（四）偽裝合法產(chǎn)品圖標(biāo)的攻擊事件

　　2019年11月上旬，摩訶草組織通過(guò)偽裝成安全殺軟程序?qū)?guó)內(nèi)目標(biāo)單位發(fā)起了定向攻擊活動(dòng)【10】。投遞攻擊誘餌為壓縮包，解壓后附帶殺軟介紹的說(shuō)明文檔，解壓后的安全殺軟組件為竊密木馬程序。

　　該組織使用同樣的攻擊手段，偽裝成中共黨校通知，對(duì)國(guó)內(nèi)目標(biāo)單位發(fā)起了定向攻擊活動(dòng)。誘餌名稱(chēng)包括：新時(shí)代黨校（行政學(xué)院）工作的基本遵循--中央黨校（國(guó)家行政學(xué)院）負(fù)責(zé)人就頒布《中國(guó)共產(chǎn)黨黨校（行政學(xué)院）工作條例》答記者問(wèn)；中共中央印發(fā)《中國(guó)共產(chǎn)黨黨校（行政學(xué)院）工作條例》2019年中共中央政治局會(huì)議審議批準(zhǔn)。

　　摩訶草組織還對(duì)中國(guó)黨政機(jī)關(guān)發(fā)起了移動(dòng)端的定向攻擊活動(dòng)。攻擊誘餌為一款安卓平臺(tái)APK安裝包，其偽裝成中國(guó)教育部開(kāi)發(fā)的翻譯APP。該APK程序具備手機(jī)用戶(hù)手機(jī)信息監(jiān)控、遠(yuǎn)程命令執(zhí)行、回傳敏感信息等惡意功能，是一款典型的竊密型手機(jī)木馬。C&C地址moe-gov.net同樣偽裝成我國(guó)教育部網(wǎng)站（www.moe.gov.cn）。

　　有趣的是，該APK程序的翻譯功能代碼來(lái)自于一款為名TranslateApp的開(kāi)源翻譯軟件，其作者“apaar97”恰好是一名來(lái)自印度的開(kāi)發(fā)者。

　?。ㄎ澹┮浴靶鹿谝咔椤睘橹黝}的攻擊活動(dòng)

　　摩訶草是第一個(gè)被披露利用疫情進(jìn)行攻擊的APT組織。在疫情爆發(fā)初期，摩訶草組織便利用“武漢旅行信息收集申請(qǐng)表。xlsm”，“衛(wèi)生部指令。docx”等誘餌對(duì)我國(guó)進(jìn)行攻擊活動(dòng)【11】。2020年6月，摩訶草又利用“疫情防范指南”為誘餌針對(duì)巴基斯坦發(fā)起攻擊【12】。

　　此類(lèi)樣本將通過(guò)宏等方式從遠(yuǎn)程服務(wù)器下載后續(xù)木馬執(zhí)行，獲取的木馬均為該組織獨(dú)有的CnC后門(mén)，該后門(mén)具有遠(yuǎn)程shell，上傳文件，下載文件等功能。在對(duì)巴基斯坦的攻擊活動(dòng)中，同樣采用惡意VBA宏展開(kāi)后續(xù)攻擊行為，最終通過(guò)內(nèi)存加載Bozok遠(yuǎn)控木馬實(shí)現(xiàn)對(duì)目標(biāo)人員PC主機(jī)的遠(yuǎn)程控制，到達(dá)情報(bào)竊取的攻擊目的。

　?。┙柚琅畧D片誘騙受害者執(zhí)行惡意程序

　　2021年8月，國(guó)內(nèi)某安全廠(chǎng)商捕獲到幾例借助美女圖片作為誘餌的惡意樣本程序【13】，這些樣本針對(duì)南亞地區(qū)周邊國(guó)家目標(biāo)，通過(guò)婚介主題來(lái)誘騙用戶(hù)執(zhí)行惡意程序，運(yùn)行后釋放對(duì)應(yīng)圖片文件并打開(kāi)以達(dá)到偽裝的效果，自身主體則釋放loader程序，創(chuàng)建傀儡進(jìn)程，傀儡進(jìn)程通過(guò)內(nèi)存加載的方式執(zhí)行RAT，與服務(wù)器連接，接收指令數(shù)據(jù)，達(dá)到攻擊者遠(yuǎn)程控制用戶(hù)設(shè)備的效果。攻擊流程如下：

　　圖2 美色誘惑樣本執(zhí)行流程【13】

　　比較有趣的是，本次惡意程序在對(duì)殺毒程序檢測(cè)時(shí)，當(dāng)進(jìn)程內(nèi)存在以下兩種進(jìn)程（“K7SysMon.exe”和“k7tsecurity.exe”）時(shí)，會(huì)繞過(guò)提權(quán)步驟。且在實(shí)行持久化流程中，若存在這兩個(gè)進(jìn)程，程序則不會(huì)拷貝自身到指定路徑，直接使用當(dāng)前路徑作為“%stratup%”目錄下的快捷方式路徑。

　　這兩種進(jìn)程指向印度防病毒軟件企業(yè)“K7 Total Security”，因此推測(cè)攻擊者憑借該方式來(lái)篩選攻擊者范圍。

　　總結(jié)

　　長(zhǎng)久以來(lái)，摩訶草APT組織都使用魚(yú)叉釣魚(yú)作為攻擊入口，并保持著多種漏洞利用的攻擊能力。但這并不意味著該組織的攻擊技術(shù)一直不變。

　　摩訶草自曝光以來(lái)一直處于活躍狀態(tài)，并不斷升級(jí)改進(jìn)攻擊技術(shù)，例如，開(kāi)始使用MACROVBA宏文檔、偽裝圖標(biāo)PE等技術(shù)，以達(dá)到更好的免殺效果。

　　從摩訶草組織的歷次攻擊活動(dòng)的目標(biāo)、時(shí)間節(jié)點(diǎn)、誘餌主題等來(lái)看，摩訶草組織的攻擊活動(dòng)具有較強(qiáng)的政治動(dòng)機(jī)，其背后的力量支持也不言而喻。