國(guó)外安全媒體這兩天都在爭(zhēng)相報(bào)道，疑似來(lái)自中國(guó)的黑客組織APT10最近正在行動(dòng)。據(jù)外媒報(bào)道，本周內(nèi)，普華永道、BAE Systems和Fidelis Cybersecurity分別發(fā)布了不同的報(bào)告，披露了這個(gè)他們宣稱是我國(guó)黑客組織的APT10針對(duì)全球多家MSP服務(wù)供應(yīng)商和美國(guó)對(duì)外貿(mào)易委員會(huì)的攻擊行為。這一周的兩波攻擊分別被這些機(jī)構(gòu)命名為Operation Cloud Hopper和Operation TradeSecret。

Operation Cloud Hopper

        英國(guó)普華永道研究所和BAE系統(tǒng)公司的安全專(zhuān)家宣稱近日發(fā)現(xiàn)了一起大面積攻擊行動(dòng)——“Operation Cloud Hopper”（云料斗行動(dòng)），攻擊全球范圍內(nèi)多國(guó)MSP供應(yīng)商。安全專(zhuān)家將這一行動(dòng)歸咎于APT10，并認(rèn)為APT10是來(lái)自我國(guó)的APT組織。

行動(dòng)目的

        報(bào)告中提到，Operation Cloud Hopper攻擊行動(dòng)利用事先深入調(diào)查好的魚(yú)叉式釣魚(yú)信息，攻擊MSP服務(wù)供應(yīng)商。APT10黑客通過(guò)該手段獲得合法登錄憑證，訪問(wèn)MPS服務(wù)供應(yīng)商客戶的網(wǎng)絡(luò)，獲取敏感數(shù)據(jù)。據(jù)報(bào)告，APT10的目的在于開(kāi)展網(wǎng)絡(luò)間諜行為，攻擊供應(yīng)鏈，盜取受害者的IP知識(shí)資產(chǎn)。根據(jù)普華永道的報(bào)告，APT10從眾多受害者網(wǎng)絡(luò)中獲取了大量數(shù)據(jù)。

“我們認(rèn)為我們觀察到的針對(duì)MSP的攻擊是一場(chǎng)大規(guī)模供應(yīng)鏈攻擊的一部分。”

為什么認(rèn)為是APT10

        安全專(zhuān)家發(fā)現(xiàn)攻擊者使用的惡意程序與其他據(jù)稱是APT10的攻擊行動(dòng)中所用到的惡意程序相同，其中最常用的就是Poison Ivy RAT和PlugX。專(zhuān)家注意到APT10從2016年年中左右，開(kāi)始重新使用PlugX、ChChes、Quasar和RedLeaves。

        “自2016年早些時(shí)候開(kāi)始，APT10明顯擴(kuò)大了其規(guī)模，提升了能力，包括新增的幾個(gè)定制化工具。2013年FireEye發(fā)布Poison Ivy相關(guān)報(bào)告，報(bào)告中全面分析了該惡意程序的功能和特性，以及包括APT10在內(nèi)的幾個(gè)中國(guó)背景威脅源對(duì)該惡意程序的使用；報(bào)告發(fā)布之后，APT10停用了Poison Ivy。從2014到2016年，APT10主要使用PlugX，并積極提升和部署新版本，同時(shí)將其C2功能標(biāo)準(zhǔn)化?！?/span>

為什么認(rèn)為與我國(guó)有關(guān)

        據(jù)報(bào)告，英國(guó)普華永道研究所和BAE系統(tǒng)公司判斷，APT10很可能是中國(guó)背景的威脅源。該判斷基于以下幾點(diǎn)：

        1. 網(wǎng)絡(luò)安全界普遍認(rèn)為APT10是中國(guó)背景威脅源。

        2. 安全專(zhuān)家分析了惡意程序二進(jìn)制碼編譯時(shí)間、APT10所有域注冊(cè)時(shí)間和大部分入侵行動(dòng)，發(fā)現(xiàn)其工作模式與中國(guó)標(biāo)準(zhǔn)時(shí)間（UTC+8）一致。

        3. APT10根據(jù)地域政治緊張局勢(shì)攻擊外交團(tuán)體、政治團(tuán)體和特定商業(yè)企業(yè)的行為，與中國(guó)戰(zhàn)略利益非常契合。

完整報(bào)告請(qǐng)看：

https://www.pwc.co.uk/cyber-security/pdf/cloud-hopper-report-final-v3.pdf

Operation TradeSecret

        就在習(xí)大大訪問(wèn)美國(guó)的當(dāng)下，另一家安全公司Fidelis Cybersecurity發(fā)布了另一篇名為《Operation TradeSecret: Cyber Espionage at the Heart of Global Trade》（秘密交易行動(dòng)：針對(duì)全球貿(mào)易中心的網(wǎng)絡(luò)間諜活動(dòng)）。據(jù)報(bào)告，APT10黑客組織曾在今年2月份向美國(guó)全國(guó)對(duì)外貿(mào)易委員會(huì)（NFTC）的“Events”（活動(dòng)）頁(yè)面中植入惡意程序。

        這一針對(duì)NFTC網(wǎng)站的攻擊活動(dòng)，被冠名為“Operation TradeSecret”。專(zhuān)家認(rèn)為攻擊活動(dòng)是為了監(jiān)控主要行業(yè)巨頭和與美國(guó)貿(mào)易政策活動(dòng)緊密相關(guān)的游說(shuō)團(tuán)體。

具體活動(dòng)

        據(jù)報(bào)告，黑客在NFTC網(wǎng)站中植入惡意鏈接，并邀請(qǐng)NFTC理事去登記一個(gè)將于3月7日在華盛頓召開(kāi)的會(huì)議。但是點(diǎn)擊鏈接之后，實(shí)際會(huì)部署一個(gè)叫做“Scanbox”的間諜工具。

        Scanbox早在2014年就已經(jīng)投入使用了，據(jù)稱與我國(guó)有關(guān)的黑客組織也曾經(jīng)使用過(guò)Scanbox。據(jù)Fidelis研究員John Bambenek的說(shuō)法，Scanbox能夠記錄受害者運(yùn)行的軟件類(lèi)型和版本，并在目標(biāo)計(jì)算機(jī)中運(yùn)行鍵盤(pán)記錄程序。

“這個(gè)攻擊本質(zhì)上是偵察攻擊。任何訪問(wèn)日歷條目的訪客都會(huì)暴露其軟件版本，運(yùn)行的JavaScript鍵盤(pán)記錄程序則會(huì)暴露訪問(wèn)者的身份。

“一般來(lái)講，這種類(lèi)型的攻擊都是用來(lái)精確識(shí)別目標(biāo)身份，幫助攻擊者利用目標(biāo)對(duì)象的弱點(diǎn)來(lái)發(fā)起針對(duì)性的釣魚(yú)攻擊?！?/span>

        NFTC網(wǎng)站上的惡意鏈接在2月27日跟3月1日之間是活躍的。Fidelis聯(lián)系NFTC后，鏈接已被移除。

        NFTC的員工和理事會(huì)是影響力比較大的個(gè)人和企業(yè)，包括世貿(mào)組織副總干事Rufus Yerxa，谷歌、亞馬遜、易趣、IBM、可口可樂(lè)、微軟、甲骨文、思科、畢馬威、輝瑞、Visa、福特、哈里伯頓和沃爾瑪?shù)却笮推髽I(yè)的高層。

        雖然沒(méi)有檢測(cè)到進(jìn)一步的攻擊，但Fidelis認(rèn)為黑客的目標(biāo)是與本周中美貿(mào)易談判相關(guān)的所有實(shí)體。

        Fidelis報(bào)告中還提到一起類(lèi)似的攻擊，仿冒日本外務(wù)省網(wǎng)站，而普華永道的報(bào)告中也披露了APT10針對(duì)日本的攻擊行為。

完整報(bào)告請(qǐng)看：

https://www.fidelissecurity.com/TradeSecret

*參考來(lái)源：thehackernews、securityaffairs、securityweek，本文作者：白熊，轉(zhuǎn)載請(qǐng)注明來(lái)自FreeBuf.COM