乐趣区

关于安全:独家四连问证实被低估的混乱军团全新APT组织WellMess魔鼠

【导读】7 月 16 日(昨天),美国网络安全和基础设施安全局(CISA),英国国家网络安全核心(NCSC),加拿大通信安全机构(CSE)和美国国家安全局(NSA)公布了一份联结报告,称 APT29 组织应用 WellMess 系列工具针对美国、英国和加拿大的新冠病毒钻研和疫苗研发相干机构动员攻打。值得注意的是,报告中该重点提及的“WellMess”正是一例全新 APT 组织,2019 年 360 平安大脑就已捕捉并发现了 WellMess 组织一系列的 APT 攻打流动,并将其命名为“魔鼠”,独自编号为 APT-C-42。更为惊险的是,360 平安大脑披露,从 2017 年 12 月开始,WellMess 组织便通过网络浸透和供应链攻打作战之术,瞄准国内某网络根底服务提供商,发动了定向攻打。

神秘 APT 组织 WellMess 被揭秘!

就在刚刚,360 平安大脑披露了一例从未被外界公开的神秘 APT 组织——WellMess 组织,并将其命名为“魔鼠”,独自编号为 APT-C-42。从 2017 年 12 月起始终继续到 2019 年 12 月,WellMess 组织先后对某机构服务器、某网络根底服务提供商,进行长期的攻打渗透活动。

尽管,2018 年日本互联网应急响应核心曾报道过该组织的相干攻打流动,但那次只是将 wellmess 及其僵尸网络归为未知的 Golang 恶意软件。

而这一次,基于 WellMess 组织独特攻打特点和精细攻打技战术,360 平安大脑确定并国内首家将其定义为 APT 组织。

为更进一步理解这例全新的、神秘的 APT 组织,智库分为以下四问,顺次具体解析:

【一问】

WellMess 组织 凭何 被归属于 APT 组织行列?

寻根究底,这里咱们先回看下什么是 APT,据百科介绍:

APT(Advanced Persistent Threat):又名高级持续性威逼,是指隐匿而长久的网络入侵过程。其通常是出于政治、军事或经济动机,由国家级黑客组织精心操刀策动,针对特定组织或国家动员的持续性攻打。

APT 攻打具备三个特色:高级、长期、威逼。

  • 高级:强调应用简单精细的恶意软件及技术以利用零碎中的破绽;
  • 长期:暗指某个内部力量会继续监控特定指标,并从其获取数据;
  • 威逼:则指人为的或国家级黑客参加策动的攻打。

而依据 360 平安大脑披露的报告中,咱们发现 WellMess 组织备其以下特点:

  • 攻击能力上:善于应用 GO 语言构建攻打武器,具备 Windows 和 Linux 双平台攻击能力;
  • 攻打时长上 对指标的针对性极强,对指标进行了较长时间的管制;
  • 攻打威逼上 攻打后期进行了周密策划,针对指标和关联指标动员了供应链攻打口头。

基于上述 WellMess 组织的攻打特点与 APT 攻打定义与要害因素根本吻合,所以 360 平安大脑认定 WellMess 组织为一起新的 APT 组织。

而在命名考量上,因为 WellMess 是一种在 Golang 中编程的恶意软件,而又因 Golang 语言的吉祥物为地鼠,与此同时“Mess”谐音“Mise”,故而 360 平安大脑将这例新 APT 组织命名为“魔鼠”。

这里还有一些乏味的中央,报告称,WellMess 是该组织的一个外围函数名,通过剖析其性能本来的全称含意可能为“WelcomeMessage”。从另一个角度看这个命名,“Mess”单词译意为凌乱,所以,这个函数名外表兴许是来自攻击者表白欢送的信息,而背面也能够了解为攻击者要制作“彻底的凌乱”。

【二问】

WellMess 组织的攻打技术有多厉害?

依据昨天,美国网络安全和基础设施安全局(CISA),英国国家网络安全核心(NCSC),加拿大通信安全机构(CSE)和美国国家安全局(NSA)公布的联结报告,咱们能够看到:WellMess 组织针对美国、英国和加拿大的新冠病毒钻研和疫苗研发相干机构动员了攻打。

而实际上,360 平安大脑追踪溯源发现:

最早于 2017 年 12 月,WellMess 组织便针对某机构的服务器进行了网络浸透攻打。直到 2019 年 8 月 -2019 年 9 月期间,WellMess 组织又将重点攻打指标转向为某网络根底服务提供商,该公司的产品是各机构宽泛应用的网络根底服务零碎。

在攻打影响剖析上,咱们能够从对该组织的技战术攻打过程中,窥知一二。

通过借鉴 ATT&CK,360 平安大脑将 WellMsess 的攻打技战术过程,分为如下三个阶段:

  • 供应链入侵阶段

该组织通过架设歹意 VPN 服务器的形式进行钓鱼攻打,用社会工程学的形式诱导指标连贯歹意 VPN 服务器,达到近程植入木马后门的成果。

  • 边界入侵阶段

该组织对多个指标施行了网络攻击,局部攻打是通过安全漏洞入侵指标网络的服务器,同时疑似通过失陷供应商的信赖关系,获取账户明码接入指标网络边界服务(如 VPN、邮件服务等)。

  • 内网后浸透阶段

该组织在攻陷指标机器之后,会装置专属的后门程序,控制目标机器进行信息收集和横向挪动,同时为了口头的不便也会建设代理跳板隧道不便内网浸透。

而从“供应链入侵”到“边界入侵”再到“内网后浸透”,狡黠的 WellMsess 组织,采取“曲折”作战之术,并以“环环相扣”联动之姿,进行了长期的埋伏浸透。然而,上文咱们曾经讲到,WellMsess 组织供应链攻打的重点指标为某网络根底服务提供商公司,而其产品又是各机构宽泛应用的网络根底服务零碎。

由此可见,咱们所将接受的攻打影响,将是“攻破一点,伤及一片”的“覆灭级”杀伤力,整个国家网络系统或者都处于最危险的边缘之境。

【三问】

对于 WellMess 组织的具体攻击行为剖析?

Part 1:供应链攻击行为剖析

承接上文,如此神秘又弱小的攻打组织,如此“低调又能制作凌乱”的军团,如此“牵一发如动全身”的供应链攻打,其具体又是如何操作的呢?依据 360 平安大脑提供的报告显示:

某风行 VPN 产品的客户端降级程序存在安全漏洞,攻击者通过架设歹意的 VPN 服务器,通过社会工程学形式诱使该公司产品技术人员登陆,当技术人员应用存在破绽的 VPN 客户端连贯歹意的 VPN 服务器时,将主动下载歹意的更新包并执行。攻击者下发的恶意程序是该组织的专属下载者程序 WellMess_Downloader,下载并植入的最终的后门是 WellMess_Botlib。

整体攻打流程,如下图所示:

对于上文提到的某 VPN 厂商 VPN 客户端破绽:该破绽被利用时为在朝 0day 破绽状态,由 360 平安大脑捕捉并报告给该厂商,单方确认破绽编号(SRC-2020-281)并跟进解决。

Part 2:服务器浸透攻击行为剖析

然而,除上述利用 VPN 客户端破绽,发动供应链攻打外,在晚期 WellMess 组织还针对指标服务器,发动了针对性的网络浸透。其具体攻击行为如下:

WellMess 组织会先通过对公网服务器攻打,获得肯定权限,下发并启动 wellmess 专用后门,用于维持 shell 权限,后门会定时反向连贯 C &C,通过近程管制命令实现收集信息、内网横向挪动、设置内网端口转发等操作。而且因为服务器很少重启,所以该组织本身并没有内置设计长久化性能。攻打流程图如下:

值得注意的是,在服务器攻打中,WellMess 组织用到了后门组件(包含 GO 类型后门和.Net 类型后门)、长久化组件、第三方工具等攻打组件。

而对于上述两大攻击行为,360 平安大脑依据其个性将其别离代号为 WellVpn 和 WellServ。

【四问】

*WellMess 组织 的幕后“操盘手”为谁?*

因为在历史攻打数据中,暂未关联到与此次 WellMess 攻打模式类似的数据,目前只能通过此次攻打口头的攻打痕迹揣测幕后组织的归属,360 平安大脑对攻打工夫范畴和样本编译工夫范畴进行统计分析。

· 近程 shell 按小时统计时区(UTC+0)

· 落地样本编译工夫按小时统计时区(UTC+0)

依据攻击者近程 shell 的日志工夫和样本的编译工夫法则显示,该组织是来源于时区 UTC+ 3 即东三时区地区的国家。

智  库  时  评

高山一声惊雷起,揭开万倾网络攻防风波战。能够说,此次全新 APT 组织的披露,无疑为网络安全的世界再蒙一层冰霜。尤其是在网络战早已成为大国博弈重要伎俩之下,WellMess 组织以其高隐秘性、广目标性、强杀伤性的供应链攻打,令寰球的网络系统犹如不定时炸弹一样,随时会在临界点中“暴发”。

针对如此强劲的 APT 高阶威逼攻打,请相干单位提高警惕,爱护好要害网络基础设施的平安,同时对客户端做好平安漏洞补丁的更新,并定期进行病毒查杀。

危机时刻,咱们更心愿业界如 360 平安大脑及其 360 威逼情报云、APT 全景雷达等诸多平安产品,能持续性反对对该组织的攻打检测。

最初,对于 360 高级威逼研究院:它是 360 政企平安团体的外围能力反对部门,由 360 资深平安专家组成,专一于高级威逼的发现、进攻、处理和钻研,曾在寰球范畴内率先捕捉双杀、双星、噩梦公式等多起业界出名的 0day 在朝攻打,独家披露多个国家级 APT 组织的高级口头,博得业内外的宽泛认可,为 360 保障国家网络安全提供无力撑持。

退出移动版