來源:環球網
中國網路安全廠商安天科技集團近日釋出長篇分析報告《“幼象”組織在南亞地區的網路攻擊活動分析》,披露一個長期入侵南亞多國的印度駭客組織,該組織近期將攻擊目標轉向攻擊我國。
根據安天科技集團副總工程師李柏松介紹“該組織早期活動是在2017年,當時安天捕獲了了一批針對南亞地區國家政府、軍事、國防等部門的規模性定向網路攻擊。該組織有自己的一套相對獨立的攻擊資源和攻擊工具,但當時攻擊能力相對比較初級,可能是一個新組建的攻擊團隊,技術能力上尚不成熟。因此將這個新的高階威脅組織命名‘幼象’。”
圖 1-1幼象組織不同攻擊技術首次被發現的時間軸和對應攻擊的目標國家
近5年以來,該組織向南亞國家和我國發動了多各攻擊波次:
2017年中開始,向巴基斯坦、斯里蘭卡等國家的軍隊、政府機構投遞針對性的自解壓攻擊檔案。
2017年底開始,向巴基斯坦、尼泊爾等國家的教育、政府機構投遞Office文件攻擊檔案。
2018年底開始,向巴基斯坦等國家的軍隊投遞針對性的隔離網滲透木馬。
2019年中開始,向南亞眾多國家發起針對性的大規模釣魚網站攻擊。
2019年底開始,向巴基斯坦、斯里蘭卡等國家的軍隊投遞LNK類攻擊檔案。
2020年底開始,向尼泊爾等國家政治相關目標投遞惡意的安卓木馬。
2021年中旬,向中國的相關機構進行情報竊取的定向攻擊活動。
本報告對2020年至今發現的幼象組織攻擊活動、手法和工具做一定程度的總結,整體活動的特徵可簡要總結如下表:
表1-1整體攻擊活動特徵總結攻擊時間
在過去四年中,‘幼象’攻擊活動的規模數量逐年倍增,攻擊手法和攻擊資源逐漸豐富,攻擊目標也從初期僅為南亞地區開始覆蓋更多的地區。2021年,該組織開始向中國的相關機構進行情報竊取的定向攻擊活動。該組織採取的攻擊方式包括搭建釣魚網站、使用惡意安卓應用程式攻擊手機,用Python等語言編寫的木馬竊取電腦上的各種文件檔案、瀏覽器快取密碼和其他一些主機系統環境資訊。
此次披露的檔案中,最為重要的一點是:“幼象”攻擊者在2020-11-23至2020-11-24期間一共向國際公開的安全資源上傳了8個測試性的惡意檔案,來測試木馬逃逸防毒軟體的能力,但也因此暴露了其所在位置。安天CERT透過對攻擊者的載荷、使用的C2等攻擊基礎設施等進行關聯拓線,確認些測試檔案與已知的‘幼象’樣本在程式碼內容上也存在高度同源。並且透過資源檢索,至少一名樣本的上傳者來自印度德里。
圖 1-2幼象攻擊組織載荷與C2等攻擊基礎設施關聯圖(部分)
相對於“幼象”早期比較初級的攻擊活動,如今該組織已成長為南亞地區最為活躍和成熟的攻擊組織,已經成為了南亞乃至整個亞太重要的網路安全威脅,從攻擊活躍的頻度來看,目前已有替代同源的白象、苦象組織的趨勢,未來很有可能成為南亞的主要攻擊組織,需要對其進行重點跟蹤和關注。從目前看到的攻擊裝備圖譜上看,其攻擊載荷工具體系性不強,技術棧相對龐雜混亂,高度依賴社會工程學技巧,尚未看到具備0DAY漏洞的挖掘和利用能力,甚至很少看到對已知漏洞的使用。但這並不表明,幼象帶來的攻擊就是低成功率的。這種攻擊能力一定真實反應了被攻擊方真實的低水平防護和較弱的人員安全意識。
李柏松指出“高階持續性威脅(APT)攻擊是由帶有政治經濟背景的組織發動,面向高價值目標定向發動的網路攻擊活動,其中持續性體現了攻擊方的戰略意圖和作業意志,是分析判斷APT攻擊的關鍵要素。而從攻擊的高階性來看,攻擊方並不需要絕對“高階”的攻擊技術,只要能構建出相對於防禦水平包括意識短板的“位勢差”或與攻擊方脆弱性敞口碰撞點,就能形成有效的攻擊。“”
李柏松說:“這種攻擊能頻繁奏效,實際上真實體現了南亞國家、包括更多發展中國家真實的面臨的網路安全風險挑戰。該組織攻擊目標也從初期僅為南亞地區開始指向我國境內。這與2013年後南亞“白象”組織攻擊目標重點逐漸從南亞地區遷移至中國有類似之處。我們必須保持高度警惕”