獨家披露:懸在政企頭上的無形尖刀“蔓靈花（APT-C-08）”

2019年，全球APT威脅與攻防日趨白熱化，全球安全報告頻繁披露各APT組織攻擊行動就是有力實證。就在今年8月，360安全大腦再次率先發(fā)現(xiàn)一新型Android木馬，并根據(jù)CC特點將其命名為SlideRAT。而在對SlideRAT深度分析后，發(fā)現(xiàn)該樣本來自于APT組織“蔓靈花”。

此后，在對惡意樣本持續(xù)且嚴密的監(jiān)控中，360安全大腦終于在11月捕捉到SlideRAT先后瞄準中國軍工行業(yè)從事人員、中國駐巴基斯坦人員，并展開定向攻擊行動，嚴重威脅政治軍工領(lǐng)域安全。對此，360安全大腦基于長期追蹤所獲情報及數(shù)據(jù)，獨家發(fā)布《蔓靈花(APT-C-08)移動平臺攻擊活動揭露》報告，全盤披露蔓靈花(APT-C-08)組織肆虐中巴區(qū)域的攻擊內(nèi)情與威脅。

瞄準中巴政企及軍工，定向打擊竊取敏感信息

從360安全大腦追蹤監(jiān)測情況來看，2016年首次曝光至今，蔓靈花(APT-C-08)組織就一直針對中巴一帶進行攻擊活動，重點瞄準政府、軍工和電力等行業(yè)相關(guān)單位，旨在竊取敏感數(shù)據(jù)，獲得中巴區(qū)域情報信息，是目前針對境內(nèi)目標較為活躍的海外APT組織之一。此次360安全大腦追蹤到的最新攻擊動向，蔓靈花(APT-C-08)組織就再次將毒手伸向中國、巴基斯坦，以及印巴交界的克什米爾區(qū)域，精準滲透黨政干部、軍工從業(yè)人員、赴巴基斯坦留學人員、企業(yè)客服人員等具有鮮明軍政背景人群。

而在360安全大腦所追蹤到的一系列攻擊事件中，蔓靈花(APT-C-08)組織將SlideRAT樣本偽裝成軍工業(yè)郵件系統(tǒng)輔助登錄工具，預謀對一頻繁出差沙特的軍工業(yè)人員發(fā)起精準打擊。

(某軍工業(yè)郵件系統(tǒng)首頁新手指引)

無獨有偶，追溯到2016年7月，某綜合性、開放式干部網(wǎng)絡(luò)學習平臺培訓的用戶，也成為了蔓靈花(APT-C-08)組織的攻擊目標。此次攻擊中，該組織偽裝成某旅游公司，對攻擊目標發(fā)送釣魚短信，預謀竊取信息。讓人倍感擔心的是，從被攻擊目標參加培訓等信息推測，其極可能為該省一黨政干部。

(某干部網(wǎng)絡(luò)學院官網(wǎng))

除此之外，還有赴巴基斯坦留學人員也遭遇了蔓靈花(APT-C-08)組織的精準打擊。不難看出，蔓靈花(APT-C-08)組織針對軍事、政治等敏感機構(gòu)，意圖竊取情報、進行破壞攻擊的背后，是昭然若揭的政治預謀。

水坑攻擊釣魚齊上陣，蔓靈花瞄準移動平臺

曾有國外安全報告顯示：近年來，移動攻擊已逐漸從APT組織的“新寵”演變成了“攻擊標配”。而360安全大腦對蔓靈花(APT-C-08)組織所捕獲的最新攻擊樣本，亦正印證了這一論點。

從360安全大腦公開數(shù)據(jù)來看，蔓靈花(APT-C-08)組織移動平臺載荷投遞的方式主要為水坑攻擊和釣魚鏈接，其次還會通過短信和WhatsApp進行載荷投遞。2017年3月，巴基斯坦某重要工程機械、備件和土木工程項目交易公司官網(wǎng)，發(fā)現(xiàn)托管SlideRAT家族樣本。2017年9月，交通運輸部“智能交通技術(shù)與設(shè)備”行業(yè)研發(fā)中心、北京市企業(yè)技術(shù)中心核心支撐單位，北京一科技有限公司網(wǎng)絡(luò)發(fā)現(xiàn)暗藏SlideRAT家族樣本。

(水坑攻擊網(wǎng)站)

此外，360安全大腦通過對SlideRAT進行溯源分析發(fā)現(xiàn)，該木馬還仿冒了GooglePlay、安郵ID、旅游APP等多個合法軟件進行釣魚傳播。

(釣魚網(wǎng)站相關(guān)信息)

在載荷投遞之外，360安全大腦對SlideRAT樣本分析時發(fā)現(xiàn)，2016年6月蔓靈花(APT-C-08)組織既已開始使用SlideRAT發(fā)起持續(xù)性攻擊。而相比于其早起使用的開源遠程管理工具AndroRAT，兩種RAT在代碼結(jié)構(gòu)和功能上存在較大差異。對比可見，早起的AndroRAT功能偏向于遠程控制，而后期使用的SlideRAT則更傾向于隱私竊取。

(左為AndroRAT結(jié)構(gòu)，右為SlideRAT結(jié)構(gòu))

全球APT攻防趨于白熱化 網(wǎng)絡(luò)安全威脅一觸即發(fā)

值得一提的是，報告中360安全大腦詳細梳理了一直以來，組織典型攻擊事件，再現(xiàn)該組織異?；钴S的攻擊動向。而漸趨頻繁且精準面向軍工政企的APT攻擊，也證實了近年全球范圍內(nèi)愈演愈烈地APT攻擊態(tài)勢。

(蔓靈花組織攻擊時間線)

在APT攻擊的巨浪下，不只蔓靈花(APT-C-08)組織異?；钴S。2019年，一面是南美洲多國頻頻因網(wǎng)絡(luò)攻擊遭遇大規(guī)模斷電、伊朗宣稱攻擊美國紐約電網(wǎng);另一面則是北約舉辦最大網(wǎng)絡(luò)安全演習“鎖盾2019”讓4000個虛擬軍事系統(tǒng)承受了2000多次攻擊、全球100多個國家成立超過200多支網(wǎng)軍部隊，全球網(wǎng)絡(luò)安全生態(tài)搖搖欲墜。

360董事長兼CEO周鴻祎曾表示，在大安全時代，APT(高級持續(xù)威脅)是對國家安全、國防安全、社會安全、基礎(chǔ)設(shè)施安全等最大的威脅，能夠?qū)φ麄€國家的社會生活進行遠程打擊。APT攻擊與過去的網(wǎng)絡(luò)攻擊不可同日而語，也與傳統(tǒng)的熱戰(zhàn)不同。當下貌似和平已久，但戰(zhàn)爭從未遠離，只是形式不同，所以我們必須用作戰(zhàn)的視角看待網(wǎng)絡(luò)安全，全面理解APT攻擊。

全球披露發(fā)現(xiàn)蔓靈花（APT-C-08）最新移動端攻擊的 360烽火實驗室

關(guān)于360烽火實驗室，致力于Android病毒分析、移動黑產(chǎn)研究、移動威脅預警以及Android漏洞挖掘等移動安全領(lǐng)域及Android安全生態(tài)的深度研究。作為全球頂級移動安全生態(tài)研究實驗室，360烽火實驗室在全球范圍內(nèi)首發(fā)了多篇具備國際影響力的Android木馬分析報告和Android木馬黑色產(chǎn)業(yè)鏈研究報告。實驗室在為360手機衛(wèi)士、360手機急救箱、360手機助手等提供核心安全數(shù)據(jù)和頑固木馬清除解決方案的同時，也為上百家國內(nèi)外廠商、應用商店等合作伙伴提供了移動應用安全檢測服務(wù)，全方位守護移動安全。

生成海報

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。