肚腦蟲(chóng)組織主要針對(duì)巴基斯坦、中國(guó)、斯里蘭卡、泰國(guó)，以及克什米爾地區(qū)等國(guó)家和地區(qū)發(fā)起攻擊，對(duì)政府機(jī)構(gòu)、國(guó)防軍事部門(mén)以及商務(wù)領(lǐng)域重要人士實(shí)施網(wǎng)絡(luò)間諜活動(dòng)。

　　國(guó)家級(jí)APT（Advanced Persistent Threat，高級(jí)持續(xù)性威脅）組織是有國(guó)家背景支持的頂尖黑客團(tuán)伙，專(zhuān)注于針對(duì)特定目標(biāo)進(jìn)行長(zhǎng)期的持續(xù)性網(wǎng)絡(luò)攻擊。

　　奇安信旗下的高級(jí)威脅研究團(tuán)隊(duì)紅雨滴（RedDrip Team）每年會(huì)發(fā)布全球APT年報(bào)【1】、中報(bào)，對(duì)當(dāng)年各大APT團(tuán)伙的活動(dòng)進(jìn)行分析總結(jié)。

　　虎符智庫(kù)特約奇安信集團(tuán)旗下紅雨滴團(tuán)隊(duì)，開(kāi)設(shè)“起底國(guó)家級(jí)APT組織”欄目，逐個(gè)起底全球各地區(qū)活躍的主要APT組織。本次我們依然鎖定在南亞地區(qū)，介紹本地區(qū)常年活躍的另一個(gè)國(guó)家級(jí)黑客團(tuán)伙：肚腦蟲(chóng)（Donot Team）。

　　08

　　肚腦蟲(chóng)

　　肚腦蟲(chóng)是據(jù)稱(chēng)有南亞背景的APT組織，其攻擊活動(dòng)最早由奇安信威脅情報(bào)中心于2017年率先發(fā)現(xiàn)并公開(kāi)披露。

　　肚腦蟲(chóng)組織主要針對(duì)巴基斯坦、中國(guó)、斯里蘭卡、泰國(guó)，以及克什米爾地區(qū)等國(guó)家和地區(qū)發(fā)起攻擊，對(duì)政府機(jī)構(gòu)、國(guó)防軍事部門(mén)以及商務(wù)領(lǐng)域重要人士實(shí)施網(wǎng)絡(luò)間諜活動(dòng)。奇安信內(nèi)部跟蹤編號(hào)為APT-Q-38

　　背景

　　肚腦蟲(chóng)，又名Donot Team、SectorE02，是一個(gè)據(jù)稱(chēng)有南亞背景的APT組織，該組織的攻擊活動(dòng)最早由奇安信威脅情報(bào)中心于2017年率先發(fā)現(xiàn)并公開(kāi)披露。肚腦蟲(chóng)組織的攻擊活動(dòng)最早可追溯到2016年，迄今為止該組織一直處于活躍狀態(tài)。

　　肚腦蟲(chóng)組織主要針對(duì)巴基斯坦、中國(guó)、克什米爾地區(qū)、斯里蘭卡、泰國(guó)等南亞國(guó)家和地區(qū)發(fā)起攻擊，對(duì)政府機(jī)構(gòu)、國(guó)防軍事部門(mén)以及商務(wù)領(lǐng)域重要人士實(shí)施網(wǎng)絡(luò)間諜活動(dòng)。

　　肚腦蟲(chóng)組織在一些攻擊活動(dòng)中使用的工具特征和網(wǎng)絡(luò)基礎(chǔ)設(shè)施，與南亞的其他攻擊組織，比如蔓靈花（BITTER）、摩訶草（Patchwork），存在重疊，不排除這些組織由更高層級(jí)的機(jī)構(gòu)領(lǐng)導(dǎo)協(xié)調(diào)的可能性。

　　2021年11月19日，環(huán)球時(shí)報(bào)披露南亞地區(qū)的國(guó)家級(jí)APT組織

　　攻擊手段與工具

　　肚腦蟲(chóng)組織的攻擊活動(dòng)涉及Windows和Android雙平臺(tái)。

　　在Windows平臺(tái)上，肚腦蟲(chóng)組織常用帶有宏代碼或者遠(yuǎn)程模板的惡意文檔發(fā)起攻擊，攻擊流程一般為惡意文檔釋放中間組件，再通過(guò)多階段downloader下載插件執(zhí)行具體的木馬功能。在整個(gè)攻擊流程中，一些中間階段的組件在進(jìn)入下一階段前會(huì)通過(guò)bat腳本執(zhí)行自刪除操作，或者后一階段的組件在執(zhí)行之后會(huì)刪除前一階段的組件，從而大大降低整個(gè)攻擊流程中代碼暴露的風(fēng)險(xiǎn)。此外，肚腦蟲(chóng)組織在早期攻擊活動(dòng)中就開(kāi)始以Google Doc文檔服務(wù)為載體傳遞C&C服務(wù)器信息。

　　肚腦蟲(chóng)組織針對(duì)Android平臺(tái)的惡意軟件有時(shí)會(huì)結(jié)合釣魚(yú)網(wǎng)站進(jìn)行傳播。惡意軟件常常經(jīng)過(guò)多方面?zhèn)窝b：

　?。?）軟件圖標(biāo)偽裝，圖標(biāo)偽裝為具有針對(duì)性的應(yīng)用軟件（比如克什米爾新聞、印度錫克教等相關(guān)應(yīng)用），或者偽裝成通用型應(yīng)用軟件（比如VPN、谷歌服務(wù)）；

　?。?）運(yùn)行后行為偽裝，運(yùn)行后要么通過(guò)展示正常應(yīng)用的功能隱藏自身，要么通過(guò)提示欺騙性信息（如軟件已卸載）并且隱藏圖標(biāo)刪除快捷方式以隱藏木馬程序。

　?。ㄒ唬┕羰侄?/p>

　　1. 魚(yú)叉攻擊

　　通過(guò)魚(yú)叉郵件投遞惡意文檔是肚腦蟲(chóng)組織常用的一種手段。與其他攻擊組織不一樣的是，肚腦蟲(chóng)組織制作的惡意文檔有時(shí)候是空白內(nèi)容，不包含與文檔名相關(guān)的具體誘餌內(nèi)容。該組織經(jīng)常使用的惡意文檔有如下幾種類(lèi)型：

　?。?）宏代碼文檔

　　通過(guò)文檔中的宏代碼釋放后續(xù)組件并執(zhí)行。宏代碼往往會(huì)彈出錯(cuò)誤消息提示框，讓受害者誤以為宏代碼未能成功執(zhí)行，降低受害者警惕心。

　?。?）遠(yuǎn)程模板文檔

　　通過(guò)遠(yuǎn)程模板注入的方式遠(yuǎn)程加載攜帶CVE-2017-11882漏洞的文檔，然后通過(guò)漏洞文檔釋放后續(xù)組件并執(zhí)行。2021年肚腦蟲(chóng)組織開(kāi)始利用RTF文檔注入遠(yuǎn)程模板，借助RTF文檔中的unicode編碼方式隱藏遠(yuǎn)程模板的URL，以繞過(guò)對(duì)URL的靜態(tài)檢測(cè)。

　　2. 釣魚(yú)網(wǎng)站

　　肚腦蟲(chóng)組織常借助釣魚(yú)網(wǎng)站傳播移動(dòng)端惡意軟件。在首次披露的移動(dòng)端攻擊活動(dòng)中，肚腦蟲(chóng)組織構(gòu)建了一個(gè)簡(jiǎn)單的工具應(yīng)用下載網(wǎng)頁(yè)托管移動(dòng)端惡意軟件。肚腦蟲(chóng)組織還多次偽造針對(duì)巴基斯坦的在線(xiàn)交友網(wǎng)站，并在網(wǎng)站中提供相應(yīng)社交聊天應(yīng)用的下載，而這些應(yīng)用實(shí)際上是該組織的Android木馬。

　?。ǘ┦褂霉ぞ呒凹夹g(shù)特征

　　肚腦蟲(chóng)組織針對(duì)Windows平臺(tái)先后使用了兩套獨(dú)有的惡意代碼框架：EHDevel和yty，這兩套框架均支持通過(guò)插件拓展木馬功能。

　　近年來(lái)該組織使用的惡意代碼雖然不斷在更新，但整體結(jié)構(gòu)并沒(méi)有脫離yty框架，該框架的結(jié)構(gòu)可分為兩階段downloader和一系列功能插件：

　　（1） 第一階段downloader組件檢測(cè)運(yùn)行環(huán)境，實(shí)現(xiàn)持久化，創(chuàng)建具有系統(tǒng)隱藏屬性的文件目錄，然后收集各類(lèi)主機(jī)信息并回傳給C&C服務(wù)器，再?gòu)腃&C服務(wù)器下載第二階段downloader；

　?。?） 第二階段downloader用于下載各類(lèi)功能插件，運(yùn)行插件執(zhí)行具體的木馬功能。

　　其中yty框架的第一階段downloader由惡意文檔直接釋放，或是惡意文檔先釋放中間組件，再由中間組件進(jìn)一步釋放或者從C&C服務(wù)器下載。目前已知的插件功能包括：截圖、鍵盤(pán)記錄、收集特定類(lèi)型文件、瀏覽器敏感信息竊取、文件上傳等。

　　肚腦蟲(chóng)組織針對(duì)Android平臺(tái)的惡意軟件通常偽裝為正常應(yīng)用誘使受害者安裝然后隱蔽運(yùn)行，該組織的Android木馬獲取受害者設(shè)備的地理位置、通話(huà)錄音、通訊錄、短信等敏感數(shù)據(jù)。肚腦蟲(chóng)組織不斷升級(jí)移動(dòng)端攻擊手法，自2020年起開(kāi)始借助Google Firebase Cloud Messaging （FCM）服務(wù)向惡意軟件下發(fā)下載后續(xù)載荷的URL，不僅增加了隱蔽性，而且可以做到隨時(shí)更換C&C服務(wù)器以保持對(duì)感染設(shè)備的控制。

　　著名攻擊事件

　?。ㄒ唬┒悄X蟲(chóng)組織首次曝光

　　2017年3月，國(guó)內(nèi)某安全廠(chǎng)商發(fā)現(xiàn)了一類(lèi)定向攻擊的樣本，疑似是未知的APT組織的攻擊行動(dòng)樣本。同年6月，奇安信威脅情報(bào)中心紅雨滴團(tuán)隊(duì)確認(rèn)并曝光了該APT組織針對(duì)巴基斯坦的定向攻擊活動(dòng)，并詳細(xì)分析和披露了該組織使用的獨(dú)有的EHDevel惡意代碼框架【2】。

　　2018年3月，國(guó)外安全團(tuán)隊(duì)ASERT繼續(xù)披露了該組織新的惡意代碼框架yty，并根據(jù)PDB路徑中的機(jī)器用戶(hù)名將該組織命名為Donot【3】。奇安信威脅情報(bào)中心將該APT組織正式命名為“肚腦蟲(chóng)”組織（Donot的音譯）。

　　圖1  ASERT披露的yty惡意代碼組件【3】

　?。ǘ┮苿?dòng)端攻擊活動(dòng)首次披露

　　2018年8月，肚腦蟲(chóng)組織針對(duì)移動(dòng)端的攻擊活動(dòng)首次披露【4】。在此次攻擊活動(dòng)中，肚腦蟲(chóng)組織將惡意APP偽裝為如KNS Lite（克什米爾新聞服務(wù)）、VPN、谷歌服務(wù)等應(yīng)用，并在免費(fèi)在線(xiàn)網(wǎng)站平臺(tái)Weebly上搭建了一個(gè)簡(jiǎn)單的釣魚(yú)網(wǎng)站用于傳播惡意軟件。

　　惡意APP最早出現(xiàn)于2017年7月，在2018年進(jìn)入活躍期，攻擊目標(biāo)為克什米爾地區(qū)。這些惡意APP均為Android木馬，能夠響應(yīng)遠(yuǎn)程攻擊指令執(zhí)行錄音、上傳聯(lián)系人/通話(huà)記錄/短信等操作，收集的受害者信息可能用于后續(xù)的魚(yú)叉郵件和短信投遞。

　?。ㄈ┽槍?duì)在華巴基斯坦商務(wù)人士的定向攻擊

　　2018年12月，奇安信披露了肚腦蟲(chóng)組織對(duì)在我國(guó)境內(nèi)的巴基斯坦重要商務(wù)人士的定向攻擊活動(dòng)【5】，該輪攻擊活動(dòng)最早發(fā)生在2018年5月。在此次攻擊中，攻擊者繼續(xù)使用惡意代碼框架yty，通過(guò)魚(yú)叉釣魚(yú)郵件誘騙攻擊目標(biāo)打開(kāi)帶有惡意宏代碼的文檔，釋放的木馬對(duì)攻擊目標(biāo)機(jī)器進(jìn)行了長(zhǎng)時(shí)間的控制。肚腦蟲(chóng)組織在此攻擊活動(dòng)中依然讓中間組件執(zhí)行自刪除操作，試圖減少攻擊痕跡。

　　從捕獲的攻擊活動(dòng)來(lái)看，該組織仍以巴基斯坦相關(guān)人士作為首要攻擊目標(biāo)，甚至將攻擊范圍擴(kuò)大到包括在華的巴基斯坦人員和機(jī)構(gòu)。

　　圖2 肚腦蟲(chóng)組織針對(duì)在華巴基斯坦商務(wù)人士的定向攻擊流程【5】

　?。ㄋ模?duì)巴基斯坦政府的魚(yú)叉攻擊

　　2019年3月至7月期間肚腦蟲(chóng)組織對(duì)巴基斯坦政府機(jī)構(gòu)、國(guó)防情報(bào)部門(mén)持續(xù)實(shí)施魚(yú)叉攻擊【6】。肚腦蟲(chóng)組織在此次攻擊后期階段投遞的誘餌文檔會(huì)通過(guò)宏代碼彈出“文件已損壞”等錯(cuò)誤信息欺騙受害者，降低受害者的警惕心。

　　肚腦蟲(chóng)在這次攻擊中使用的yty框架具有與針對(duì)在華巴基斯坦商務(wù)人士攻擊活動(dòng)中相同的特征：

　?。?）下載功能插件的URL格式為“/orderme/[計(jì)算機(jī)名]-[隨機(jī)數(shù)]”， [計(jì)算機(jī)名]-[隨機(jī)數(shù)]在木馬執(zhí)行時(shí)生成并保存在文件中，用于區(qū)分不同的感染設(shè)備，攻擊者可以根據(jù)URL指定特定的感染者獲取后續(xù)插件；

　?。?）下載插件的downloader從C&C服務(wù)器獲取3種類(lèi)型的響應(yīng)，分別是：“Content-Type: application”， “Content-Type: cmdline”和 “Content-Type: batcmd”。

　?。ㄎ澹┯“涂耸裁谞枦_突期間傳播Android木馬

　　2019年4月，奇安信高級(jí)威脅研究團(tuán)隊(duì)捕獲到與肚腦蟲(chóng)組織相關(guān)的Android木馬樣本，發(fā)現(xiàn)該組織對(duì)使用的惡意安卓APK框架進(jìn)行大規(guī)模升級(jí)【7】。攜帶木馬的惡意APP名為 “KashmirVoice”（克什米爾之聲），當(dāng)時(shí)印度和巴基斯坦在克什米爾地區(qū)的摩擦加劇，而克什米爾之聲本身是用于宣傳印度軍隊(duì)暴力行為的網(wǎng)站，疑似由巴基斯坦建立，因此該APP有很可能是針對(duì)一些會(huì)訪(fǎng)問(wèn)該網(wǎng)站的巴基斯坦人所精心定做。

　　2019年9月，印巴在克什米爾地區(qū)沖突不斷升級(jí)，肚腦蟲(chóng)通過(guò)仿冒Kashmir News Service（克什米爾新聞服務(wù)）的APP“KNS”傳播木馬【8】。惡意APP運(yùn)行以后，并沒(méi)有像以往一樣隱藏自身圖標(biāo)，而是通過(guò)仿冒Kashmir News Service（克什米爾新聞服務(wù)）展現(xiàn)給用戶(hù)完整的新聞APP功能，從而讓受害者放心使用，增加自身的隱蔽性。

　?。├冕烎~(yú)網(wǎng)站和社交軟件發(fā)起移動(dòng)攻擊

　　2020年4月，國(guó)內(nèi)安全廠(chǎng)商監(jiān)測(cè)到肚腦蟲(chóng)組織通過(guò)將惡意軟件偽裝成在線(xiàn)聊天工具RapidChat，利用釣魚(yú)網(wǎng)站和社交軟件發(fā)起網(wǎng)絡(luò)攻擊【9】。此次攻擊活動(dòng)中，攻擊者搭建了名為RapidChat在線(xiàn)聊天功能的釣魚(yú)網(wǎng)站，網(wǎng)站首頁(yè)介紹稱(chēng)其為全世界巴基斯坦人最喜歡的聊天場(chǎng)所，偽造了多名分布在世界各地巴基斯坦虛假人物。網(wǎng)站還提供了相應(yīng)的聊天APP軟件下載。

　　通過(guò)該鏈接下載的APP軟件實(shí)際上為Android木馬，此次攻擊樣本的惡意功能和云端執(zhí)行命令與肚腦蟲(chóng)之前的Android平臺(tái)攻擊樣本完全一致，不過(guò)攻擊者在此次攻擊樣本中添加了后臺(tái)延時(shí)運(yùn)行的相關(guān)包，以支持其在高版本Android系統(tǒng)上實(shí)現(xiàn)后臺(tái)運(yùn)行。

　?。ㄆ撸┮苿?dòng)端武器庫(kù)升級(jí)再度發(fā)起攻擊

　　2020年10月，國(guó)內(nèi)外安全廠(chǎng)商均發(fā)現(xiàn)肚腦蟲(chóng)組織的Android木馬開(kāi)始利用Google Firebase Cloud Messaging （FCM）服務(wù)下發(fā)用于下載后續(xù)載荷的C&C服務(wù)器信息【10,11】。

　　圖3  肚腦蟲(chóng)組織在移動(dòng)端攻擊活動(dòng)中使用Google FCM服務(wù)【10】

　　在此次攻擊活動(dòng)中，肚腦蟲(chóng)組織使用偽裝成巴基斯坦流行的在線(xiàn)交友網(wǎng)站LoveHabibi的釣魚(yú)網(wǎng)站傳播惡意APP。根據(jù)對(duì)受害者地理位置的分析，肚腦蟲(chóng)此次攻擊的目標(biāo)主要為巴基斯坦和克什米爾地區(qū)，并且受害者可能包含軍事背景人員。攻擊中使用的惡意軟件具有以下特點(diǎn)：

　　（1） 攻擊者可以根據(jù)從感染設(shè)備回傳的信息選擇特定受害者下載后續(xù)載荷，減少了后續(xù)載荷暴露的風(fēng)險(xiǎn)；

　?。?） 借助FCM服務(wù)下發(fā)C&C服務(wù)器信息，隱蔽性強(qiáng)，并且即使現(xiàn)有C&C服務(wù)器暴露，攻擊者也可以及時(shí)切換到新的C&C服務(wù)器，維持對(duì)感染設(shè)備的控制。

　　總結(jié)

　　長(zhǎng)期以來(lái)，肚腦蟲(chóng)組織針對(duì)南亞多國(guó)的政府、軍事部門(mén)進(jìn)行頻繁的網(wǎng)絡(luò)間諜活動(dòng)，攻擊活動(dòng)具有強(qiáng)烈的政治背景。該組織使用的攻擊手法整體上比較固定且具有自己的特色。

　　為了對(duì)抗安全軟件的檢測(cè)查殺和安全人員的分析追蹤，肚腦蟲(chóng)組織仍在持續(xù)不斷地升級(jí)更新自己的武器庫(kù)和攻擊手段，以保證攻擊過(guò)程的隱蔽性，減少后續(xù)攻擊載荷暴露的風(fēng)險(xiǎn)。

　　由于肚腦蟲(chóng)組織和南亞其他攻擊組織存在聯(lián)系，該組織在未來(lái)的攻擊活動(dòng)中可能會(huì)采用更加多樣化的攻擊手法。