时间:2022-12-15 07:20:01
【导读】7月16日,美国网络安全基础设施安全( CISA )、英国国家网络安全中心( NCSC )、加拿大通信安全机构( CSE )和美国国家安全局( NSA )公布了APT29 值得注意的是,报告中重点提到的“WellMess”正是新的APT组织,2019年360安全大脑已经捕获并发现了WellMess组织的一系列APT攻击活动,将其命名为“魔鼠”,单独编号为APT-C-42 更惊险的是,360安全大脑宣布,从2017年12月开始,WellMess组织以互联网渗透和供应链攻击作战的技术,瞄准国内某互联网基础服务提供商,开始了定向攻击。 神秘的APT组织WellMess被暴露了! 就在刚才,360安全大脑公开了从未对外公开过的神秘的APT组织——WellMess组织,将其命名为“魔鼠”,并单独命名为APT-C-42。 从2017年12月持续到2019年12月,WellMess组织对某机构的服务器、某网络基础服务提供商进行了长期的攻击渗透活动。
2018年日本互联网紧急应对中心报道了该组织的相关攻击活动,但它只是将wellmess及其僵尸网络归类为未知的Golang恶意软件。 此次,根据WellMess组织独特的攻击特征和精密攻击技战术,360安全大脑被确定为国内首个APT组织。 为了更好地理解这个新的、神秘的APT组织,智库分为以下四个问题,依次详细解析。 【1问】WellMess组织为什么属于APT组织? 追根溯源,现在我们先来回顾一下什么是APT。 据百科全书介绍,高级持久性威胁( apt )也称为高级持久性威胁,是一种隐秘的持久性网络入侵过程。 通常,出于政治、军事和经济动机,国家级黑客组织精心策划,对特定组织或国家进行持续攻击。 APT攻击具有三个特点:高度、长期和威胁。 l高级:强调使用复杂、精密的恶意软件和技术来利用系统漏洞; l长期)暗指某外部力量持续监视特定目标,并从中获取数据; l )威胁是指人为或国家级黑客参与计划的攻击。 并根据360安全脑公开的报告,发现WellMess组织具备以下特征: L攻击能力方面,擅长使用GO语言构建攻击武器,具有Windows和Linux两平台攻击能力。 在攻击时间的长短上,目标瞄准非常强,对目标进行了较长时间的控制; l在攻击威胁中,攻击前期制定了周密的计划,对目标和相关目标发起了供应链攻击行动。 由于上述WellMess组织攻击的特征与APT攻击的定义和关键因素基本一致,360安全大脑认定WellMess组织为新的APT组织。 在命名上,WellMess是用Golang编程的恶意软件,由于Golang语言的吉祥物是地鼠,所以配合了“Mess”和“Mise”的谐音,360安全大脑将这个新的APT组织称为“ 这里还有有趣的地方。 据报道,WellMess是该组织的核心函数名称,据分析,其功能原本的全名含义可能是“WelcomeMessage”。 从另一个角度来看,“Mess”这个单词意味着混乱,所以这个函数名称的表面可能来自攻击者欢迎的信息,但另一方面也可以理解为攻击者试图制造“彻底的混乱”。 【二问】WellMess组织的攻击技术有多厉害? 昨天,美国网络安全&; 基础设施安全局( CISA )、英国国家网络安全中心(加拿大通信安全机构)、美国国家安全局( NSA ) )发表的联合报告显示,WellMess组织对美国、英国、加拿大的新型冠状病毒研究和疫苗开发相关机构发起了攻击。 实际上,360安全大脑跟踪的跟踪结果显示,早于2017年12月,WellMess组织就对某机构的服务器进行了网络渗透攻击。 2019年8月至2019年9月期间,WellMess组织将重点攻击目标瞄准了网络基础服务提供商,这是各机构广泛使用的网络基础服务系统。 在攻击的影响分析中,从对该组织的技战术攻击过程中,我们可以得知一二。
参考ATTCK,360安全大脑将WellMsess的攻击技战术过程分为以下3个阶段。
l在供应链入侵阶段,该组织通过设置恶意VPN服务器进行网络钓鱼攻击,通过社会工程的方法引导目标连接到恶意VPN服务器,达到远程嵌入木马后门的效果。 l在边界入侵阶段,该组织对多个目标实施了网络攻击。 部分攻击涉嫌通过安全漏洞入侵目标网络的服务器,同时导致提供商失去信任关系,获取账户密码接入目标网络边界服务(如VPN、邮件服务等) 在局域网后渗透阶段,攻克目标设备后,安装专用的后门程序,控制目标设备进行信息采集和横向移动,同时为了行动方便,建立代理跳板隧道以方便局域网渗透。 然后,从“供应链入侵”到“边界入侵”,再到“内网后渗透”,狡猾的WellMsess组织采取“迂回”作战的策略,以与“圈子”联动的姿态,进行了长期的潜伏渗透。 然而,综上所述,WellMsess组织供应链攻击的重点目标是某网络基础服务提供商公司,其产品是各组织广泛使用的网络基础服务系统。 由此可见,我们受到的攻击影响,是“突破一点、伤一面”的“毁灭级”杀伤力,整个国家网络系统可能正处于最危险的边缘。 【三问】关于WellMess组织的具体攻击行为分析? Part 1)供应链攻击行为分析基于上述,这种神秘而强大的攻击组织,这种“静而生乱”的军团,这种“牵一发而动”的供应链攻击,具体是如何操作的呢? 360安全大脑提供的报告显示,某热门VPN产品的客户端升级程序中存在安全漏洞,攻击者通过安装恶意VPN服务器,让该产品的技术人员在社会工程上登录,导致技术人员登录存在漏洞的VPN客户端攻击者发布的恶意程序是该组织的专用下载者程序WellMess_Downloader,下载并移植的最终后门是WellMess_Botlib。 整体攻击流程如下图所示。
(针对前述某VPN厂商的VPN客户端漏洞)该漏洞被利用时处于在野0天漏洞状态,360安全大脑捕获并报告给该厂商,双方确认漏洞号码( SRC-2020-281 )后跟进处理( Part 2)服务器渗透攻击行为分析)但是,除了如上所述利用VPN客户端的漏洞发起供应链攻击外,在初期的WellMess组织中还开始了针对目标服务器的针对性网络渗透。 其具体攻击行为如下。 WellMess组织首先通过对公众网服务器的攻击,获取一定的权限,为了维护shell权限,分发并启动WellMess专用后门。 后门定时反向连接CC,通过远程控制命令完成信息采集、内网横向移动、内网端口转发设置等操作。 此外,由于服务器很少重新启动,因此该组织本身没有内置的设计持久化功能。 攻击的流程图如下。
值得注意的是,在服务器攻击中,WellMess组织使用了攻击组件,包括GO类型的后门和. Net类型的后门,包括后门组件、持久化组件和第三方工具。 对于这两大攻击行为,360安全大脑根据其特性分别命名为WellVpn和WellServ。 【四问】WellMess组织背后的“操纵者”是谁? 由于历史攻击数据尚未关联与此次WellMess攻击模式相似的数据,目前只能根据此次攻击行动的攻击痕迹推测背后组织的归属,360安全大脑正在统计分析攻击时间范围和样本编译时间范围
l统计远程shell不同时间的时区( UTC 0)
l落地样本的编译时间按时间统计时区( UTC 0)
根据攻击者远程shell的日志时间和示例编译时间规则,该组织来源于时区UTC 3东三时区地区的国家。
智库时代的评价齐鸣,揭示了网络攻防的面貌。 可以说,此次新的APT组织的披露,无疑给网络安全世界蒙上了一层冰霜。 特别是在网络战已经成为大国博弈的重要手段之际,WellMess组织凭借其高隐秘性、广阔的目标性、大规模杀伤性的供应链攻击,可以像一颗随时命中的炸弹,随时在临界点“引爆”全球网络系统对于这些强大的APT高级威胁攻击,请警惕相关公司提高,在保护重要网络基础设施安全的同时,对客户端进行安全漏洞补丁更新,并定期进行病毒检查。 在危机时刻,我们希望360安全大脑及其360威胁信息云、APT全景雷达等多种安全产品能够持续支持对该组织的攻击检测。 最后,关于360高级威胁研究院:它是360政企安全集团核心能力支持部门,由360多名高级安全专家组成,专注于高级威胁的发现、防御、处置与研究,曾是世界上首次捕获双杀、双星、噩梦官方等多个行业知名的0day在野攻击
