APT10:中国黑客组织攻击全球IT服务供应商

前言

普华永道(英国普华永道研究所)与世界第三大军工企业BAE Systems(BAE系统公司)在4月3日联合发布了一份名为《Operation Cloud Hopper》的APT报告,报告指出中国黑客组织APT10(又名CVNX、Stone Panda、MenuPass和POTASSIUM)攻击了全球各大IT服务供应商,并利用此类攻击方式做为跳板从IT服务供应商中窃取客户资料。

infographic

APT10攻击阶段图

概要

普华永道的网络安全部门与BAE Systems配合英国国家网络安全中心(、NCSC)共同发现了该黑客组织的行迹。据称APT10曾于2014年进行过此类攻击并在2016年年初大达到了最大攻击规模,包括新增Exploit与技术人员来不断提升自我的攻击能力。报告认为”Operation Cloud Hopper”是迄今为止全球范围内规模最大的持续性网络间谍行为之一。

TIM截图20170405120327

APT10活动时间表

APT10通过攻击外包IT托管服务供应商的方式,向其全球各客户发动间谍活动,并在进入企业网络之后部署mimikatz、PwDump等密码抓取工具来获取凭证,分析中攻击者还使用了几种Payload:

  • PlugX:一个众所周知的间谍工具
  • RedLeaves – 一个功能齐全的新后门(APT10最近几个月使用)

TIM截图20170405115214

APT10攻击流程

APT10已经从多家受害者企业中窃取到大量数据,并将这些数据隐藏在世界各地。

TIM截图20170405115052

受害者分布

目前APT10利用这种攻击手段对美国、加拿大、英国、法国、瑞士、南非、斯堪的纳维亚、泰国、韩国、印度和日本等国家发动过网络攻击。

伪装日本政府机构进行网络间谍活动

普华永道与BAE Systems方面表示部分日本组织机构被作为针对性的攻击对象,其中APT10很可能将自身伪装成为日本政府机构来进行网络间谍活动。

从2016年底开始APT10使用日语对恶意样本进行命名(恶意文件具体分析请查看报告原文附录B):

TIM截图20170405114507

伪装为新闻的钓鱼文件与伪装的域名:

TIM截图20170405114520

TIM截图20170405115443

注册信息如下:

whois

基础设施

下图描绘了攻击者在2016年底使用的基础设施:

Infra

FireEye在2014年“Siesta Campaign”文章中披露的一组新操作中使用PlugX C和Cs之间的联系以及APT10的旧基础设施之间的联系:

linkage

根据面向攻击时间以及所使用之工具与技术进行的取证分析,甚至与历史上与该组织的操作相关联。调查人员称该黑客组织可能位于中国,但除此之外尚不清楚APT10背后的操纵人员组成以及攻击目的。

目前英国国家网络安全中心(NCSC)和澳大利亚国家网络安全中心(ACSC)已经对所在国的企业发布相关安全告警。

参考

报告原文

https://www.pwc.co.uk/cyber-security/pdf/cloud-hopper-report-final-v4.pdf

 

*转载请注明来自MottoIN

原创文章,作者:Moto,如若转载,请注明出处:http://www.mottoin.com/news/99776.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code