【导读】7月16日(昨天),美国网络安全和基础设施安全局(CISA),英国国家网络安全中心(NCSC),加拿大通信安全机构(CSE)和美国国家安全局(NSA)发布了一份联合报告,称APT29组织使用WellMess系列工具针对美国、英国和加拿大的新冠病毒研究和疫苗研发相关机构发动攻击。值得注意的是,报告中该重点提及的“WellMess”正是一例全新APT组织,2019年360安全大脑就已捕获并发现了WellMess组织一系列的APT攻击活动,并将其命名为“魔鼠”,单独编号为APT-C-42。更为惊险的是,360安全大脑披露,从2017年12月开始,WellMess组织便通过网络渗透和供应链攻击作战之术,瞄准国内某网络基础服务提供商,发起了定向攻击。
神秘APT组织WellMess被揭秘!
就在刚刚,360安全大脑披露了一例从未被外界公开的神秘APT组织——WellMess组织,并将其命名为“魔鼠”,单独编号为APT-C-42。从2017年12月起一直持续到2019年12月,WellMess组织先后对某机构服务器、某网络基础服务提供商,进行长期的攻击渗透活动。
虽然,2018年日本互联网应急响应中心曾报道过该组织的相关攻击活动,但那次只是将wellmess及其僵尸网络归为未知的Golang恶意软件。
而这一次,基于WellMess组织独特攻击特点和精密攻击技战术,360安全大脑确定并国内首家将其定义为APT组织。
为更进一步了解这例全新的、神秘的APT组织,智库分为以下四问,依次详细解析:
【一问】
WellMess组织凭何被归属于APT组织行列?
追本溯源,这里我们先回看下什么是APT,据百科介绍:
APT(Advanced Persistent Threat):又名高级持续性威胁,是指隐匿而持久的网络入侵过程。其通常是出于政治、军事或经济动机,由国家级黑客组织精心操刀策划,针对特定组织或国家发动的持续性攻击。
APT攻击具有三个特征:高级、长期、威胁。
高级:强调使用复杂精密的恶意软件及技术以利用系统中的漏洞;长期:暗指某个外部力量会持续监控特定目标,并从其获取数据;威胁:则指人为的或国家级黑客参与策划的攻击。
而根据360安全大脑披露的报告中,我们发现WellMess组织备其以下特点:
攻击能力上:擅长使用GO语言构建攻击武器,具备Windows和Linux双平台攻击能力;攻击时长上:对目标的针对性极强,对目标进行了较长时间的控制;攻击威胁上:攻击前期进行了周密筹划,针对目标和关联目标发动了供应链攻击行动。基于上述WellMess组织的攻击特点与APT攻击定义与关键要素基本吻合,所以360安全大脑认定WellMess组织为一起新的APT组织。
而在命名考量上,由于WellMess是一种在Golang中编程的恶意软件,而又因Golang语言的吉祥物为地鼠,与此同时“Mess”谐音 “Mise”,故而360安全大脑将这例新APT组织命名为“魔鼠”。
这里还有一些有趣的地方,报告称,WellMess是该组织的一个核心函数名,经过分析其功能原本的全称含义可能为“WelcomeMessage”。从另一个角度看这个命名,“Mess”单词译意为混乱,所以,这个函数名表面也许是来自攻击者表达欢迎的信息,而反面也可以理解为攻击者要制造“彻底的混乱”。
【二问】
WellMess组织的攻击技术有多厉害?
根据昨天,美国网络安全和基础设施安全局(CISA),英国国家网络安全中心(NCSC),加拿大通信安全机构(CSE)和美国国家安全局(NSA)发布的联合报告,我们可以看到:WellMess组织针对美国、英国和加拿大的新冠病毒研究和疫苗研发相关机构发动了攻击。
而实际上,360安全大脑追踪溯源发现:
最早于2017年12月,WellMess组织便针对某机构的服务器进行了网络渗透攻击。直到2019年8月-2019年9月期间,WellMess组织又将重点攻击目标转向为某网络基础服务提供商,该公司的产品是各机构广泛使用的网络基础服务系统。
在攻击影响分析上,我们可以从对该组织的技战术攻击过程中,窥知一二。
通过借鉴ATT&CK,360安全大脑将WellMsess的攻击技战术过程,分为如下三个阶段:
供应链入侵阶段该组织通过架设恶意VPN服务器的方式进行钓鱼攻击,用社会工程学的方式诱导目标连接恶意VPN服务器,达到远程植入木马后门的效果。
边界入侵阶段该组织对多个目标实施了网络攻击,部分攻击是通过安全漏洞入侵目标网络的服务器,同时疑似通过失陷供应商的信任关系,获取账户密码接入目标网络边界服务(如VPN、邮件服务等)。
内网后渗透阶段该组织在攻陷目标机器之后,会安装专属的后门程序,控制目标机器进行信息搜集和横向移动,同时为了行动的方便也会建立代理跳板隧道方便内网渗透。
而从“供应链入侵”到“边界入侵”再到“内网后渗透”,狡黠的WellMsess组织,采取“迂回”作战之术,并以“环环相扣”联动之姿,进行了长期的潜伏渗透。然而,上文我们已经讲到,WellMsess组织供应链攻击的重点目标为某网络基础服务提供商公司,而其产品又是各机构广泛使用的网络基础服务系统。
由此可见,我们所将承受的攻击影响,将是“攻破一点,伤及一片”的“毁灭级”杀伤力,整个国家网络系统或许都处于最危险的边缘之境。
【三问】
关于WellMess组织的具体攻击行为分析?
Part 1:供应链攻击行为分析
承接上文,如此神秘又强大的攻击组织,如此“低调又能制造混乱”的军团,如此“牵一发如动全身”的供应链攻击,其具体又是如何操作的呢?根据360安全大脑提供的报告显示:
某流行VPN产品的客户端升级程序存在安全漏洞,攻击者通过架设恶意的VPN服务器,通过社会工程学方式诱使该公司产品技术人员登陆,当技术人员使用存在漏洞的VPN 客户端连接恶意的VPN服务器时,将自动下载恶意的更新包并执行。攻击者下发的恶意程序是该组织的专属下载者程序WellMess_Downloader,下载并植入的最终的后门是WellMess_Botlib。
整体攻击流程,如下图所示:
关于上文提到的某VPN厂商VPN客户端漏洞:该漏洞被利用时为在野0day漏洞状态,由360安全大脑捕获并报告给该厂商,双方确认漏洞编号(SRC-2020-281)并跟进处理。
Part 2:服务器渗透攻击行为分析
然而,除上述利用VPN客户端漏洞,发起供应链攻击外,在早期WellMess组织还针对目标服务器,发起了针对性的网络渗透。其具体攻击行为如下:
WellMess组织会先通过对公网服务器攻击,取得一定权限,下发并启动wellmess专用后门,用于维持shell权限,后门会定时反向连接C&C,通过远程控制命令完成收集信息、内网横向移动、设置内网端口转发等操作。而且由于服务器很少重启,所以该组织自身并没有内置设计持久化功能。攻击流程图如下:
值得注意的是,在服务器攻击中,WellMess组织用到了后门组件(包括GO类型后门和.Net类型后门)、持久化组件、第三方工具等攻击组件。
而关于上述两大攻击行为,360安全大脑根据其特性将其分别代号为WellVpn和WellServ。
【四问】
WellMess组织的幕后“操盘手”为谁?
由于在历史攻击数据中,暂未关联到与此次WellMess攻击模式相似的数据,目前只能通过此次攻击行动的攻击痕迹推测幕后组织的归属,360安全大脑对攻击时间范围和样本编译时间范围进行统计分析。
· 远程shell按小时统计时区(UTC+0)
· 落地样本编译时间按小时统计时区(UTC+0)
根据攻击者远程shell的日志时间和样本的编译时间规律显示,该组织是来源于时区UTC+3即东三时区地域的国家。
智库时评
平地一声惊雷起,揭开万倾网络攻防风云战。可以说,此次全新APT组织的披露,无疑为网络安全的世界再蒙一层冰霜。尤其是在网络战早已成为大国博弈重要手段之下,WellMess组织以其高隐秘性、广目标性、强杀伤性的供应链攻击,令全球的网络系统犹如不定时炸弹一样,随时会在临界点中“爆发”。
针对如此强劲的APT高阶威胁攻击,请相关单位提高警惕,保护好关键网络基础设施的安全,同时对客户端做好安全漏洞补丁的更新,并定期进行病毒查杀。
危机时刻,我们更希望业界如360安全大脑及其360威胁情报云、APT全景雷达等诸多安全产品,能持续性支持对该组织的攻击检测。
本文TAG:混乱军团
- 上一篇: 包含传奇sf刷元宝的词条
- 下一篇: 潜艇小游戏(打潜艇小游戏)
猜你喜欢
- 2022-02-22英雄联盟隐藏分(英雄联盟隐藏分多少算正常)
- 2022-02-22矛盾找出骗子的简单介绍
- 2022-02-21太阁立志传4修改器(太阁立志传4贴吧)
- 2022-02-21儿童小游戏免费下载(儿童小游戏免费马上玩)
- 2022-02-21模拟人生2四季(模拟人生下载)
- 2022-02-20第三人称射击网游(第三人称单机射击游戏下载)
- 最近发表
- 标签列表
-
- 传奇手游私服 (7)
- 新开传奇手游网站 (7)
- 传奇单职业 (2)
- 传奇手游变态版 (1)
- 传奇发布网 (7)
- 传奇sf手游版 (1)
- 新开传奇 (1)
- 传奇私服 (1)
- 拳皇7k7k小游戏 (0)
- nitrome小游戏 (0)
- 最新传奇发布网 (0)
- 每日新开传奇网 (0)
- 找176复古传奇 (0)
- 超级变态热血传奇 (0)
- nba2k11最新名单 (0)
- 王者荣耀更新 (0)
- 王者荣耀体验服申请 (0)
- 英雄联盟出装顺序 (0)
- 三国志单机游戏 (0)
- 王者荣耀宫本武藏符文 (0)
- 梦幻西游109神器任务攻略 (0)
- 下载英雄联盟 (0)
- 机械公敌兰博出装 (0)
- 王者荣耀西施 (0)
- 王者荣耀无限火力 (0)
- 不知火舞王者荣耀 (0)
- 300英雄三笠出装 (0)
- 冒险岛2职业 (0)
- 龙将2官网 (0)
- 热血传奇怀旧版好玩吗 (0)
- 传奇超级 (0)
- 传奇师服 (0)
- 迷失传奇发布网 (0)
- 韩版传奇私服发布网 (0)
- 传世新开 (0)
- 传奇2外挂 (0)
- 传奇复古 (0)
- 单职业变态 (0)
- 传奇sf180 (0)
- 传世sf吧 (0)
- 传奇私服gm命令大全 (0)
- 传奇世界私服刷元宝 (0)
- dnf私服发布网 (0)
- 网页三国游戏排行榜 (0)
- 傲视千雄私服 (0)
- 热血传奇176客户端下载 (0)
- 最新机战私服 (0)
- 传奇吉吉免费版 (0)
- 蜘蛛纸牌游戏 (0)
- 最热门的网游排行榜 (0)
- 2d网游 (0)
- 网游私服排行榜 (0)
- moba网游 (0)
- 439小游戏 (0)
- 飞车小游戏 (0)
- 奥奇传说小游戏 (0)
- 龙斗士小游戏 (0)
- 下载手机游戏 (0)
- 维京神域之战 (0)
- 星际2单机 (0)
- 防守类单机游戏 (0)
- 灰烬攻略 (0)
- 战神3pc版 (0)
- 腐尸之屋 (0)
- 新神奇传说3秘籍 (0)
- 生化危机5怎么存档 (0)
- 三国群英传1单机版下载 (0)
- 捕鱼达人手机版 (0)
- 仙剑奇侠传游戏1 (0)
- 暴力摩托单机版下载 (0)
- fifa12下载 (0)
- 色单机游戏 (0)
- 三国志13修改器 (0)
- 梦幻西游单机版神剑情天3 (0)
- 对打单机游戏 (0)
- 三国群英传7补丁 (0)
- 最好单机游戏下载 (0)
- 流星蝴蝶剑秘籍大全 (0)
- 孢子 (0)
- 梦幻西游赚钱 (0)
- 梦幻西游答题 (0)
- 王者荣耀防沉迷 (0)
- 梦幻西游挖图技巧 (0)
- 梦幻岛游戏 (0)
- 轩辕剑网游官网 (0)
- 梦幻西游手游论坛 (0)
- 极道阴阳师 (0)
- 仙剑奇侠传3下载 (0)
- 七龙珠人物换装2 (0)
- 赛尔号手机版下载 (0)
- lol战队名字 (0)
- 黑湾海盗中文版 (0)
- 超级街霸4街机版 (0)
- 侵略行为 (0)
- 孤岛惊魂3结局 (0)
- 龙珠单机游戏大全 (0)
- 仙剑三游戏下载 (0)
- 策略单机游戏 (0)
- 家园2简体中文版 (0)
- 现代战争2 (0)