【导读】7月16日(昨天),美国网络安全和基础设施安全局(CISA),英国国家网络安全核心(NCSC),加拿大通信安全机构(CSE)和美国国家安全局(NSA)公布了一份联结报告,称APT29组织应用WellMess系列工具针对美国、英国和加拿大的新冠病毒钻研和疫苗研发相干机构动员攻打。值得注意的是,报告中该重点提及的“WellMess”正是一例全新APT组织,2019年360平安大脑就已捕捉并发现了WellMess组织一系列的APT攻打流动,并将其命名为“魔鼠”,独自编号为APT-C-42。更为惊险的是,360平安大脑披露,从2017年12月开始,WellMess组织便通过网络浸透和供应链攻打作战之术,瞄准国内某网络根底服务提供商,发动了定向攻打。
神秘APT组织WellMess被揭秘!
就在刚刚,360平安大脑披露了一例从未被外界公开的神秘APT组织——WellMess组织,并将其命名为“魔鼠”,独自编号为APT-C-42。从2017年12月起始终继续到2019年12月,WellMess组织先后对某机构服务器、某网络根底服务提供商,进行长期的攻打渗透活动。
尽管,2018年日本互联网应急响应核心曾报道过该组织的相干攻打流动,但那次只是将wellmess及其僵尸网络归为未知的Golang恶意软件。
而这一次,基于WellMess组织独特攻打特点和精细攻打技战术,360平安大脑确定并国内首家将其定义为APT组织。
为更进一步理解这例全新的、神秘的APT组织,智库分为以下四问,顺次具体解析:
【一问】
WellMess组织凭何被归属于APT组织行列?
寻根究底,这里咱们先回看下什么是APT,据百科介绍:
APT(Advanced Persistent Threat):又名高级持续性威逼,是指隐匿而长久的网络入侵过程。其通常是出于政治、军事或经济动机,由国家级黑客组织精心操刀策动,针对特定组织或国家动员的持续性攻打。
APT攻打具备三个特色:高级、长期、威逼。
- 高级:强调应用简单精细的恶意软件及技术以利用零碎中的破绽;
- 长期:暗指某个内部力量会继续监控特定指标,并从其获取数据;
- 威逼:则指人为的或国家级黑客参加策动的攻打。
而依据360平安大脑披露的报告中,咱们发现WellMess组织备其以下特点:
- 攻击能力上:善于应用GO语言构建攻打武器,具备Windows和Linux双平台攻击能力;
- 攻打时长上:对指标的针对性极强,对指标进行了较长时间的管制;
- 攻打威逼上:攻打后期进行了周密策划,针对指标和关联指标动员了供应链攻打口头。
基于上述WellMess组织的攻打特点与APT攻打定义与要害因素根本吻合,所以360平安大脑认定WellMess组织为一起新的APT组织。
而在命名考量上,因为WellMess是一种在Golang中编程的恶意软件,而又因Golang语言的吉祥物为地鼠,与此同时“Mess”谐音 “Mise”,故而360平安大脑将这例新APT组织命名为“魔鼠”。
这里还有一些乏味的中央,报告称,WellMess是该组织的一个外围函数名,通过剖析其性能本来的全称含意可能为“WelcomeMessage”。从另一个角度看这个命名,“Mess”单词译意为凌乱,所以,这个函数名外表兴许是来自攻击者表白欢送的信息,而背面也能够了解为攻击者要制作“彻底的凌乱”。
【二问】
WellMess组织的攻打技术有多厉害?
依据昨天,美国网络安全和基础设施安全局(CISA),英国国家网络安全核心(NCSC),加拿大通信安全机构(CSE)和美国国家安全局(NSA)公布的联结报告,咱们能够看到:WellMess组织针对美国、英国和加拿大的新冠病毒钻研和疫苗研发相干机构动员了攻打。
而实际上,360平安大脑追踪溯源发现:
最早于2017年12月,WellMess组织便针对某机构的服务器进行了网络浸透攻打。直到2019年8月-2019年9月期间,WellMess组织又将重点攻打指标转向为某网络根底服务提供商,该公司的产品是各机构宽泛应用的网络根底服务零碎。
在攻打影响剖析上,咱们能够从对该组织的技战术攻打过程中,窥知一二。
通过借鉴ATT&CK,360平安大脑将WellMsess的攻打技战术过程,分为如下三个阶段:
- 供应链入侵阶段
该组织通过架设歹意VPN服务器的形式进行钓鱼攻打,用社会工程学的形式诱导指标连贯歹意VPN服务器,达到近程植入木马后门的成果。
- 边界入侵阶段
该组织对多个指标施行了网络攻击,局部攻打是通过安全漏洞入侵指标网络的服务器,同时疑似通过失陷供应商的信赖关系,获取账户明码接入指标网络边界服务(如VPN、邮件服务等)。
- 内网后浸透阶段
该组织在攻陷指标机器之后,会装置专属的后门程序,控制目标机器进行信息收集和横向挪动,同时为了口头的不便也会建设代理跳板隧道不便内网浸透。
而从“供应链入侵”到“边界入侵”再到“内网后浸透”,狡黠的WellMsess组织,采取“曲折”作战之术,并以“环环相扣”联动之姿,进行了长期的埋伏浸透。然而,上文咱们曾经讲到,WellMsess组织供应链攻打的重点指标为某网络根底服务提供商公司,而其产品又是各机构宽泛应用的网络根底服务零碎。
由此可见,咱们所将接受的攻打影响,将是“攻破一点,伤及一片”的“覆灭级”杀伤力,整个国家网络系统或者都处于最危险的边缘之境。
【三问】
对于WellMess组织的具体攻击行为剖析?
Part 1:供应链攻击行为剖析
承接上文,如此神秘又弱小的攻打组织,如此“低调又能制作凌乱”的军团,如此“牵一发如动全身”的供应链攻打,其具体又是如何操作的呢?依据360平安大脑提供的报告显示:
某风行VPN产品的客户端降级程序存在安全漏洞,攻击者通过架设歹意的VPN服务器,通过社会工程学形式诱使该公司产品技术人员登陆,当技术人员应用存在破绽的VPN 客户端连贯歹意的VPN服务器时,将主动下载歹意的更新包并执行。攻击者下发的恶意程序是该组织的专属下载者程序WellMess_Downloader,下载并植入的最终的后门是WellMess_Botlib。
整体攻打流程,如下图所示:
对于上文提到的某VPN厂商VPN客户端破绽:该破绽被利用时为在朝0day破绽状态,由360平安大脑捕捉并报告给该厂商,单方确认破绽编号(SRC-2020-281)并跟进解决。
Part 2:服务器浸透攻击行为剖析
然而,除上述利用VPN客户端破绽,发动供应链攻打外,在晚期WellMess组织还针对指标服务器,发动了针对性的网络浸透。其具体攻击行为如下:
WellMess组织会先通过对公网服务器攻打,获得肯定权限,下发并启动wellmess专用后门,用于维持shell权限,后门会定时反向连贯C&C,通过近程管制命令实现收集信息、内网横向挪动、设置内网端口转发等操作。而且因为服务器很少重启,所以该组织本身并没有内置设计长久化性能。攻打流程图如下:
值得注意的是,在服务器攻打中,WellMess组织用到了后门组件(包含GO类型后门和.Net类型后门)、长久化组件、第三方工具等攻打组件。
而对于上述两大攻击行为,360平安大脑依据其个性将其别离代号为WellVpn和WellServ。
【四问】
*WellMess组织的幕后“操盘手”为谁?*
因为在历史攻打数据中,暂未关联到与此次WellMess攻打模式类似的数据,目前只能通过此次攻打口头的攻打痕迹揣测幕后组织的归属,360平安大脑对攻打工夫范畴和样本编译工夫范畴进行统计分析。
· 近程shell按小时统计时区(UTC+0)
· 落地样本编译工夫按小时统计时区(UTC+0)
依据攻击者近程shell的日志工夫和样本的编译工夫法则显示,该组织是来源于时区UTC+3即东三时区地区的国家。
智 库 时 评
高山一声惊雷起,揭开万倾网络攻防风波战。能够说,此次全新APT组织的披露,无疑为网络安全的世界再蒙一层冰霜。尤其是在网络战早已成为大国博弈重要伎俩之下,WellMess组织以其高隐秘性、广目标性、强杀伤性的供应链攻打,令寰球的网络系统犹如不定时炸弹一样,随时会在临界点中“暴发”。
针对如此强劲的APT高阶威逼攻打,请相干单位提高警惕,爱护好要害网络基础设施的平安,同时对客户端做好平安漏洞补丁的更新,并定期进行病毒查杀。
危机时刻,咱们更心愿业界如360平安大脑及其360威逼情报云、APT全景雷达等诸多平安产品,能持续性反对对该组织的攻打检测。
最初,对于360高级威逼研究院:它是360政企平安团体的外围能力反对部门,由360资深平安专家组成,专一于高级威逼的发现、进攻、处理和钻研,曾在寰球范畴内率先捕捉双杀、双星、噩梦公式等多起业界出名的0day在朝攻打,独家披露多个国家级APT组织的高级口头,博得业内外的宽泛认可,为360保障国家网络安全提供无力撑持。