肚腦蟲組織主要針對巴基斯坦、中國、斯里蘭卡、泰國，以及克什米爾地區(qū)等國家和地區(qū)發(fā)起攻擊，對政府機構(gòu)、國防軍事部門以及商務(wù)領(lǐng)域重要人士實施網(wǎng)絡(luò)間諜活動。

　　國家級APT（Advanced Persistent Threat，高級持續(xù)性威脅）組織是有國家背景支持的頂尖黑客團(tuán)伙，專注于針對特定目標(biāo)進(jìn)行長期的持續(xù)性網(wǎng)絡(luò)攻擊。

　　奇安信旗下的高級威脅研究團(tuán)隊紅雨滴（RedDrip Team）每年會發(fā)布全球APT年報【1】、中報，對當(dāng)年各大APT團(tuán)伙的活動進(jìn)行分析總結(jié)。

　　虎符智庫特約奇安信集團(tuán)旗下紅雨滴團(tuán)隊，開設(shè)“起底國家級APT組織”欄目，逐個起底全球各地區(qū)活躍的主要APT組織。本次我們依然鎖定在南亞地區(qū)，介紹本地區(qū)常年活躍的另一個國家級黑客團(tuán)伙：肚腦蟲（Donot Team）。

　　08

　　肚腦蟲

　　肚腦蟲是據(jù)稱有南亞背景的APT組織，其攻擊活動最早由奇安信威脅情報中心于2017年率先發(fā)現(xiàn)并公開披露。

　　肚腦蟲組織主要針對巴基斯坦、中國、斯里蘭卡、泰國，以及克什米爾地區(qū)等國家和地區(qū)發(fā)起攻擊，對政府機構(gòu)、國防軍事部門以及商務(wù)領(lǐng)域重要人士實施網(wǎng)絡(luò)間諜活動。奇安信內(nèi)部跟蹤編號為APT-Q-38

　　背景

　　肚腦蟲，又名Donot Team、SectorE02，是一個據(jù)稱有南亞背景的APT組織，該組織的攻擊活動最早由奇安信威脅情報中心于2017年率先發(fā)現(xiàn)并公開披露。肚腦蟲組織的攻擊活動最早可追溯到2016年，迄今為止該組織一直處于活躍狀態(tài)。

　　肚腦蟲組織主要針對巴基斯坦、中國、克什米爾地區(qū)、斯里蘭卡、泰國等南亞國家和地區(qū)發(fā)起攻擊，對政府機構(gòu)、國防軍事部門以及商務(wù)領(lǐng)域重要人士實施網(wǎng)絡(luò)間諜活動。

　　肚腦蟲組織在一些攻擊活動中使用的工具特征和網(wǎng)絡(luò)基礎(chǔ)設(shè)施，與南亞的其他攻擊組織，比如蔓靈花（BITTER）、摩訶草（Patchwork），存在重疊，不排除這些組織由更高層級的機構(gòu)領(lǐng)導(dǎo)協(xié)調(diào)的可能性。

　　2021年11月19日，環(huán)球時報披露南亞地區(qū)的國家級APT組織

　　攻擊手段與工具

　　肚腦蟲組織的攻擊活動涉及Windows和Android雙平臺。

　　在Windows平臺上，肚腦蟲組織常用帶有宏代碼或者遠(yuǎn)程模板的惡意文檔發(fā)起攻擊，攻擊流程一般為惡意文檔釋放中間組件，再通過多階段downloader下載插件執(zhí)行具體的木馬功能。在整個攻擊流程中，一些中間階段的組件在進(jìn)入下一階段前會通過bat腳本執(zhí)行自刪除操作，或者后一階段的組件在執(zhí)行之后會刪除前一階段的組件，從而大大降低整個攻擊流程中代碼暴露的風(fēng)險。此外，肚腦蟲組織在早期攻擊活動中就開始以Google Doc文檔服務(wù)為載體傳遞C&C服務(wù)器信息。

　　肚腦蟲組織針對Android平臺的惡意軟件有時會結(jié)合釣魚網(wǎng)站進(jìn)行傳播。惡意軟件常常經(jīng)過多方面?zhèn)窝b：

　?。?）軟件圖標(biāo)偽裝，圖標(biāo)偽裝為具有針對性的應(yīng)用軟件（比如克什米爾新聞、印度錫克教等相關(guān)應(yīng)用），或者偽裝成通用型應(yīng)用軟件（比如VPN、谷歌服務(wù)）；

　?。?）運行后行為偽裝，運行后要么通過展示正常應(yīng)用的功能隱藏自身，要么通過提示欺騙性信息（如軟件已卸載）并且隱藏圖標(biāo)刪除快捷方式以隱藏木馬程序。

　?。ㄒ唬┕羰侄?/p>

　　1. 魚叉攻擊

　　通過魚叉郵件投遞惡意文檔是肚腦蟲組織常用的一種手段。與其他攻擊組織不一樣的是，肚腦蟲組織制作的惡意文檔有時候是空白內(nèi)容，不包含與文檔名相關(guān)的具體誘餌內(nèi)容。該組織經(jīng)常使用的惡意文檔有如下幾種類型：

　?。?）宏代碼文檔

　　通過文檔中的宏代碼釋放后續(xù)組件并執(zhí)行。宏代碼往往會彈出錯誤消息提示框，讓受害者誤以為宏代碼未能成功執(zhí)行，降低受害者警惕心。

　　（2）遠(yuǎn)程模板文檔

　　通過遠(yuǎn)程模板注入的方式遠(yuǎn)程加載攜帶CVE-2017-11882漏洞的文檔，然后通過漏洞文檔釋放后續(xù)組件并執(zhí)行。2021年肚腦蟲組織開始利用RTF文檔注入遠(yuǎn)程模板，借助RTF文檔中的unicode編碼方式隱藏遠(yuǎn)程模板的URL，以繞過對URL的靜態(tài)檢測。

　　2. 釣魚網(wǎng)站

　　肚腦蟲組織常借助釣魚網(wǎng)站傳播移動端惡意軟件。在首次披露的移動端攻擊活動中，肚腦蟲組織構(gòu)建了一個簡單的工具應(yīng)用下載網(wǎng)頁托管移動端惡意軟件。肚腦蟲組織還多次偽造針對巴基斯坦的在線交友網(wǎng)站，并在網(wǎng)站中提供相應(yīng)社交聊天應(yīng)用的下載，而這些應(yīng)用實際上是該組織的Android木馬。

　?。ǘ┦褂霉ぞ呒凹夹g(shù)特征

　　肚腦蟲組織針對Windows平臺先后使用了兩套獨有的惡意代碼框架：EHDevel和yty，這兩套框架均支持通過插件拓展木馬功能。

　　近年來該組織使用的惡意代碼雖然不斷在更新，但整體結(jié)構(gòu)并沒有脫離yty框架，該框架的結(jié)構(gòu)可分為兩階段downloader和一系列功能插件：

　?。?） 第一階段downloader組件檢測運行環(huán)境，實現(xiàn)持久化，創(chuàng)建具有系統(tǒng)隱藏屬性的文件目錄，然后收集各類主機信息并回傳給C&C服務(wù)器，再從C&C服務(wù)器下載第二階段downloader；

　?。?） 第二階段downloader用于下載各類功能插件，運行插件執(zhí)行具體的木馬功能。

　　其中yty框架的第一階段downloader由惡意文檔直接釋放，或是惡意文檔先釋放中間組件，再由中間組件進(jìn)一步釋放或者從C&C服務(wù)器下載。目前已知的插件功能包括：截圖、鍵盤記錄、收集特定類型文件、瀏覽器敏感信息竊取、文件上傳等。

　　肚腦蟲組織針對Android平臺的惡意軟件通常偽裝為正常應(yīng)用誘使受害者安裝然后隱蔽運行，該組織的Android木馬獲取受害者設(shè)備的地理位置、通話錄音、通訊錄、短信等敏感數(shù)據(jù)。肚腦蟲組織不斷升級移動端攻擊手法，自2020年起開始借助Google Firebase Cloud Messaging （FCM）服務(wù)向惡意軟件下發(fā)下載后續(xù)載荷的URL，不僅增加了隱蔽性，而且可以做到隨時更換C&C服務(wù)器以保持對感染設(shè)備的控制。

　　著名攻擊事件

　?。ㄒ唬┒悄X蟲組織首次曝光

　　2017年3月，國內(nèi)某安全廠商發(fā)現(xiàn)了一類定向攻擊的樣本，疑似是未知的APT組織的攻擊行動樣本。同年6月，奇安信威脅情報中心紅雨滴團(tuán)隊確認(rèn)并曝光了該APT組織針對巴基斯坦的定向攻擊活動，并詳細(xì)分析和披露了該組織使用的獨有的EHDevel惡意代碼框架【2】。

　　2018年3月，國外安全團(tuán)隊ASERT繼續(xù)披露了該組織新的惡意代碼框架yty，并根據(jù)PDB路徑中的機器用戶名將該組織命名為Donot【3】。奇安信威脅情報中心將該APT組織正式命名為“肚腦蟲”組織（Donot的音譯）。

　　圖1  ASERT披露的yty惡意代碼組件【3】

　?。ǘ┮苿佣斯艋顒邮状闻?/p>

　　2018年8月，肚腦蟲組織針對移動端的攻擊活動首次披露【4】。在此次攻擊活動中，肚腦蟲組織將惡意APP偽裝為如KNS Lite（克什米爾新聞服務(wù)）、VPN、谷歌服務(wù)等應(yīng)用，并在免費在線網(wǎng)站平臺Weebly上搭建了一個簡單的釣魚網(wǎng)站用于傳播惡意軟件。

　　惡意APP最早出現(xiàn)于2017年7月，在2018年進(jìn)入活躍期，攻擊目標(biāo)為克什米爾地區(qū)。這些惡意APP均為Android木馬，能夠響應(yīng)遠(yuǎn)程攻擊指令執(zhí)行錄音、上傳聯(lián)系人/通話記錄/短信等操作，收集的受害者信息可能用于后續(xù)的魚叉郵件和短信投遞。

　?。ㄈ┽槍υ谌A巴基斯坦商務(wù)人士的定向攻擊

　　2018年12月，奇安信披露了肚腦蟲組織對在我國境內(nèi)的巴基斯坦重要商務(wù)人士的定向攻擊活動【5】，該輪攻擊活動最早發(fā)生在2018年5月。在此次攻擊中，攻擊者繼續(xù)使用惡意代碼框架yty，通過魚叉釣魚郵件誘騙攻擊目標(biāo)打開帶有惡意宏代碼的文檔，釋放的木馬對攻擊目標(biāo)機器進(jìn)行了長時間的控制。肚腦蟲組織在此攻擊活動中依然讓中間組件執(zhí)行自刪除操作，試圖減少攻擊痕跡。

　　從捕獲的攻擊活動來看，該組織仍以巴基斯坦相關(guān)人士作為首要攻擊目標(biāo)，甚至將攻擊范圍擴大到包括在華的巴基斯坦人員和機構(gòu)。

　　圖2 肚腦蟲組織針對在華巴基斯坦商務(wù)人士的定向攻擊流程【5】

　?。ㄋ模Π突固拐聂~叉攻擊

　　2019年3月至7月期間肚腦蟲組織對巴基斯坦政府機構(gòu)、國防情報部門持續(xù)實施魚叉攻擊【6】。肚腦蟲組織在此次攻擊后期階段投遞的誘餌文檔會通過宏代碼彈出“文件已損壞”等錯誤信息欺騙受害者，降低受害者的警惕心。

　　肚腦蟲在這次攻擊中使用的yty框架具有與針對在華巴基斯坦商務(wù)人士攻擊活動中相同的特征：

　　（1）下載功能插件的URL格式為“/orderme/[計算機名]-[隨機數(shù)]”， [計算機名]-[隨機數(shù)]在木馬執(zhí)行時生成并保存在文件中，用于區(qū)分不同的感染設(shè)備，攻擊者可以根據(jù)URL指定特定的感染者獲取后續(xù)插件；

　?。?）下載插件的downloader從C&C服務(wù)器獲取3種類型的響應(yīng)，分別是：“Content-Type: application”， “Content-Type: cmdline”和 “Content-Type: batcmd”。

　　（五）印巴克什米爾沖突期間傳播Android木馬

　　2019年4月，奇安信高級威脅研究團(tuán)隊捕獲到與肚腦蟲組織相關(guān)的Android木馬樣本，發(fā)現(xiàn)該組織對使用的惡意安卓APK框架進(jìn)行大規(guī)模升級【7】。攜帶木馬的惡意APP名為 “KashmirVoice”（克什米爾之聲），當(dāng)時印度和巴基斯坦在克什米爾地區(qū)的摩擦加劇，而克什米爾之聲本身是用于宣傳印度軍隊暴力行為的網(wǎng)站，疑似由巴基斯坦建立，因此該APP有很可能是針對一些會訪問該網(wǎng)站的巴基斯坦人所精心定做。

　　2019年9月，印巴在克什米爾地區(qū)沖突不斷升級，肚腦蟲通過仿冒Kashmir News Service（克什米爾新聞服務(wù)）的APP“KNS”傳播木馬【8】。惡意APP運行以后，并沒有像以往一樣隱藏自身圖標(biāo)，而是通過仿冒Kashmir News Service（克什米爾新聞服務(wù)）展現(xiàn)給用戶完整的新聞APP功能，從而讓受害者放心使用，增加自身的隱蔽性。

　?。├冕烎~網(wǎng)站和社交軟件發(fā)起移動攻擊

　　2020年4月，國內(nèi)安全廠商監(jiān)測到肚腦蟲組織通過將惡意軟件偽裝成在線聊天工具RapidChat，利用釣魚網(wǎng)站和社交軟件發(fā)起網(wǎng)絡(luò)攻擊【9】。此次攻擊活動中，攻擊者搭建了名為RapidChat在線聊天功能的釣魚網(wǎng)站，網(wǎng)站首頁介紹稱其為全世界巴基斯坦人最喜歡的聊天場所，偽造了多名分布在世界各地巴基斯坦虛假人物。網(wǎng)站還提供了相應(yīng)的聊天APP軟件下載。

　　通過該鏈接下載的APP軟件實際上為Android木馬，此次攻擊樣本的惡意功能和云端執(zhí)行命令與肚腦蟲之前的Android平臺攻擊樣本完全一致，不過攻擊者在此次攻擊樣本中添加了后臺延時運行的相關(guān)包，以支持其在高版本Android系統(tǒng)上實現(xiàn)后臺運行。

　　（七）移動端武器庫升級再度發(fā)起攻擊

　　2020年10月，國內(nèi)外安全廠商均發(fā)現(xiàn)肚腦蟲組織的Android木馬開始利用Google Firebase Cloud Messaging （FCM）服務(wù)下發(fā)用于下載后續(xù)載荷的C&C服務(wù)器信息【10,11】。

　　圖3  肚腦蟲組織在移動端攻擊活動中使用Google FCM服務(wù)【10】

　　在此次攻擊活動中，肚腦蟲組織使用偽裝成巴基斯坦流行的在線交友網(wǎng)站LoveHabibi的釣魚網(wǎng)站傳播惡意APP。根據(jù)對受害者地理位置的分析，肚腦蟲此次攻擊的目標(biāo)主要為巴基斯坦和克什米爾地區(qū)，并且受害者可能包含軍事背景人員。攻擊中使用的惡意軟件具有以下特點：

　?。?） 攻擊者可以根據(jù)從感染設(shè)備回傳的信息選擇特定受害者下載后續(xù)載荷，減少了后續(xù)載荷暴露的風(fēng)險；

　?。?） 借助FCM服務(wù)下發(fā)C&C服務(wù)器信息，隱蔽性強，并且即使現(xiàn)有C&C服務(wù)器暴露，攻擊者也可以及時切換到新的C&C服務(wù)器，維持對感染設(shè)備的控制。

　　總結(jié)

　　長期以來，肚腦蟲組織針對南亞多國的政府、軍事部門進(jìn)行頻繁的網(wǎng)絡(luò)間諜活動，攻擊活動具有強烈的政治背景。該組織使用的攻擊手法整體上比較固定且具有自己的特色。

　　為了對抗安全軟件的檢測查殺和安全人員的分析追蹤，肚腦蟲組織仍在持續(xù)不斷地升級更新自己的武器庫和攻擊手段，以保證攻擊過程的隱蔽性，減少后續(xù)攻擊載荷暴露的風(fēng)險。

　　由于肚腦蟲組織和南亞其他攻擊組織存在聯(lián)系，該組織在未來的攻擊活動中可能會采用更加多樣化的攻擊手法。