作者:360 A-TEAM
公众号:360安全监测与响应中心

APT37

目标:日韩/中东/越南 =》航空航天/教育/金融/政务/医疗等机构.

描述:

  • 从2012年开始活动,针对日韩/中东/越南进行渗透。
  • 前期钓鱼:
    1. 黑掉一个知名机构,然后以该机构邮箱作为发送方投递钓鱼邮件.
    2. 邮件中使用office或hwp中的0day和刚公开不久的nday.
  • 数据提取:
    1. 通过dropbox的api上传敏感数据,过流控设备的检查.


APT34

目标:中东地区金融 能源 政务 化工行业

描述:

  • 从14年开始活动,常用鱼叉式钓鱼方案进行前期打点.
  • 样本使用最新的office nday.
  • 通过powershell写计划任务做权限维持.
  • 通过DGA域名与c2通讯.


APT33

目标:美国/沙特阿拉伯/韩国等国家的航空航天及能源行业

描述:

  • 从13年开始活动
  • 采取邮件钓鱼的方案获取初次访问权限.
  • 样本采用hta + powershell等技术.
  • 上线域名根据目标行业定制.
  • 样本里未去除pdb路径,泄漏木马开发者id,根据id关联到伊朗网军.


APT32

目标:越南境内外资企业. 包括但不局限于银行/媒体/制造业

描述:

  • 常用鱼叉式钓鱼方案获取初次访问权限。
  • 邮件内用社会工程学的方式诱导用户启用word宏.
  • 以计划任务的方式实现权限维持.
  • 以msf+cs进行后渗透.


APT30

目标:东南亚

描述:

  • 从2004年开始活动
  • 05年开始尝试感染可移动设备突破隔离网.


APT29

目标:西欧政府外交部

描述:

  • 初次权限获取方案:
    1. 邮件钓鱼,内嵌lnk或宏
  • C2通讯:
    1. 利用攻陷的web站当前置机,ssl加密
  • 持久化方案:
    1. Wmi事件订阅
    2. 计划任务
  • 数据提取方案:
    1. 将数据加密放在图片里
    2. 将图片上传到社交媒体或者云厂商


APT28

目标:高加索/ 东欧 / 美国

描述:

  • 采用flash或者windows的0day获取初次访问权限
  • C2通讯:https


APT19

目标:投资和法务相关的机构

描述:

  • 采用钓鱼邮件方式获取初次访问权限:
    1. CVE 2017-0199.
  • C2 :cobalt strike
  • 通讯:http


APT18

目标: 航空/国防/建筑/教育/健康/生物/高科技/运营商/交通等行业

描述:

  • 远控:Gh0st
  • 采用HackingTeam泄漏的flash 0day获取初次访问权限。


APT17

目标:美国政府/国际律师事务所/信息技术公司

描述:

  • C2通信:用微软的TechNet blog通讯.


APT16

目标:日本和台湾的高科技/政务服务/媒体和金融行业

描述:

  • 采取钓鱼邮件的方案获取初次访问权限。
  • 阶段性的payload放置在被攻陷的高信誉域名服务器上。
  • 写入用户启动目录做权限维持。


APT12

目标:新闻/政府/国防工业

描述:

  • 采用被攻陷的邮箱发送钓鱼邮件获取初次访问权限.
  • c2通信:http协议.


APT10

目标:美国欧洲日本的的建筑工程/航空/运营商/政府行业

描述:

  • 通过钓鱼邮件获取初次访问权限:
    1. 宏/exe
    2. 附件加密过邮件网关.
  • C2通信:http协议


APT3

目标:航空航天/国防/建筑工程/高科技/运营商/交通等行业.

描述:

  • 初次权限获取:
    1. 浏览器0day . 如firefox/ie
    2. 钓鱼邮件
  • 通过添加计划任务做权限维持
  • 木马走socks与c2通讯


APT1

目标: 信息技术/航空航天/公共管理/卫星通讯/科学研究及咨询/能源/交通/建筑制造/高科技电子/媒体/广告娱乐/导航/化学/金融服务/农业食品/健康/教育等行业.

描述:

  • 有语言学家/开源研究人员/恶意软件作者/目标行业的业界专家的支持.
  • 常用鱼叉攻击的方式获取初次访问权限.
  • 初期采用http方式与c2通讯.


海莲花

目标:中国政府/科研所/海事机构/海域建设/航运等企业

描述:

  • 通过钓鱼邮件和水坑攻击获得初次访问权限.
  • C2是cs,采用http协议上线。
  • 伪造http头里的host欺骗ids,通过cookie字段进行指令传输.

目标:中国政务/科研/海事机构

描述:

  • 通过钓鱼邮件获取初次访问权限.
  • 附加包含nday. 触发流程:
    1. 释放sct和shellcode -》加载远端vbs -〉解密shellcode文件并执行-》释放pe文件并加载 -〉 从资源里释放通讯模块.
  • 木马通过dns协议与c2通讯.

描述:

  • 通过钓鱼邮件获取初次访问权限
  • 邮件内样本采用0day执行命令.
    1. 遍历system32目录,搜索vmGuestLibJava文件,判断是否为虚拟机
    2. 写入计划任务做权限维持
    3. 利用McAfee mcods.exe加载恶意dll执行shellcode
    4. 横向移动中通过msbuild执行命令


Operation Oceansalt

目标:

韩国公共基础设施/合作基金/高等教育.
北美金融/医疗/电信/农业/工业/政府

描述:

  • 采取钓鱼邮件方案获取初次访问权限. 附件为xsl内嵌宏


dark hotel

目标:中国政务/科研

描述:

  • 采用钓鱼欧邮件获取初次访问权限.
    1. 诱饵格式 xxx.jpg.scr
    2. 释放两张正常图片到temp目录
    3. mspain打开A图片
    4. 读取B图片里的隐写数据,生成lnk文件到temp目录
    5. 执行lnk -> powershell ->下载exe执行
    6. 清理lnk及隐写图片
  • 木马通讯采用OpenSSL协议
  • Api动态调用
  • 杀软/沙箱/虚拟机检测

目标 :中日韩俄的国防/电子等机构

描述:

  • doc释放chrome组件和恶意dll
  • 执行chrome加载恶意dll
  • 解密并执行poweershell->下载恶意dll2
  • 通过cliconfg.exe执行恶意dll2
  • bypassuac写服务做权限维持

描述:

  • 通过office 0day获取初次访问权限.
  • 样本流程:
    1. office触发漏洞
    2. 释放恶意dll文件
    3. 通过mmc.exe bypass uac.
    4. mmc进程启动后会加载恶意dll文件.
    5. 从远端下载shellcode并执行


美人鱼

目标:丹麦

描述:

  • 采取水坑/鱼叉攻击获取初次访问权限
    1. ppt内嵌ole
    2. 水坑攻击中的样本为自解压文件
  • 写注册表做权限维持


人面狮

目标:以色列国防军/海军

描述:

  • 采用社交网络水坑攻击获取初次访问权限.
  • 木马以dll形式存在,注入到explorer.exe
  • 通讯模块注入到浏览器进程,采用http协议与c2通讯
  • 窃取文件模块注入到杀毒软件进程


摩诃草

目标:中国/巴基斯坦的军事/科研/政务/商业机构

描述:

  • 主要采取水坑/鱼叉攻击获取初次访问权限.
    1. 附件包含0day
    2. 附件为exe/scr/dll (dll文件通过正常带签名的exe程序启动)
    3. 浏览器nday /钓鱼网址
  • 通过入侵第三方论坛,写入c2通讯ip
  • 通过写注册表启动项做权限维持

目标:中国/巴基斯坦的教育/军工/科研/政务

描述:

  • 采取邮件钓鱼获得初次访问权限.
    1. dropper js -》 解密并生成新的js -〉 执行ps -》 bypassuac - 〉释放dll并加载.
  • 通过http协议与c2通讯

目标: 中国/巴基斯坦的政务/教育机构

描述:

  • 通过钓鱼邮件获取初次访问权限.

    1. :: doc(cve-2017-8570) - 》 sct -〉c# dropper ->释放Microsoft.Win32.TaskScheduler.dll -》添加计划任务


双尾蝎

目标:巴基斯坦教育机构/军事机构

描述:

  • 通过鱼叉和水坑攻击获取初次访问权限
  • 鱼叉邮件附件为exe/scr
  • 通过注册表启动项做权限维持


Fub7

目标: 美国金融机构

描述:

  • 通过鱼叉攻击采取初次访问权限.
    1. 钓鱼文档中, 插入模糊图片,将OLE对象透明放置在模糊图片之上,用户双击放大图片则触发.
    2. pe格式的文件采用ads数据流隐藏保存
    3. 木马编码后写入到注册表,启动时由powershell读出动态执行.
    4. 64个c2随机选择
  • 采用dns协议与c2通讯.
  • 通过计划任务与注册表启动项做权限维持.


Gaza cybergang

描述:

  • 通过邮件钓鱼方式获取初次访问权限.
  • 附件用office nday执行命令.
  • 执行链: office -> ole download hta -> mshta load hta -> powershell download pe - > create thread load pe
  • 采用dns/http/smb/tcp等方式与c2通讯
  • C2为cobalt strike


黄金鼠

目标: 叙利亚反导弹系统

描述:

  • 通过水坑攻击获取初次访问权限.


蔓灵花

描述:

  • 伪造域名获得指定人员账户密码.
  • 以该账户向其他人发送木马.
    1. :: 自解压程序- > 释放doc并启动 -> 打开exe -》 判断杀软- > 写注册表做权限维持 -> 执行恶意代码.
  • 采用http协议与c2通讯.

描述:

目标:巴基斯坦

  • 通过邮件钓鱼获取初次访问权限
  • 邮件内样本采用文字处理软件的0day执行任意命令
    1. 下载exe / 写注册表做权限维持
    2. 释放dll文件/ dll内释放正常的文本
    3. 通过select * from win32_computersystem检测虚拟机
    4. 写用户启动目录,做第二套权限维持方案


APT-C-01

目标:中国政务/科技/教育/国防等机构

描述:

  • 通过鱼叉攻击获取初次访问权限.
    1. 附件内doc利用漏洞来执行命令.
    2. 下载hta
    3. 执行powershell-》下载pe文件
    4. pe下载远程shellcode解密并执行


hacking team 01

目标:卡塔尔地区

样本流程:

  1. 含有flash activex对象的excel文件落地
  2. 加载远程flash文件
  3. 从远程服务器下载aes加密的flash 0day文件
  4. 获取密钥解密flash 0day文件
  5. 触发漏洞,获得执行任意命令的权限
  6. 获取shellcode并执行


蓝宝菇

目标:中国政务/军工/科研/金融等机构

描述:

  • 采取鱼叉攻击获取初次访问权限.
  • 云附件bypass邮件网关
  • 感染开始菜单内所有快捷方式,实现权限维持

描述:

  • 通过鱼叉攻击获取初次访问权限
  • 云附件bypass邮件网关
  • 样本采用lnk执行ps反弹shell
    1. 从lnk尾部读取数据.
    2. 释放doc并运行
    3. 执行shellcode
    4. 感染其他lnk做权限维持
  • 用aws云服务拖文件

描述:

  • 采取鱼叉攻击获取初次访问权限
  • 写注册表做互斥
  • 用SAE做前置机


APT-C-35

目标:巴基斯坦等南亚地区国家

描述:

  • 通过鱼叉攻击获取初次访问权限.
  • 样本采用nday漏洞获得执行命令的权限.
    1. 释放setup.exe到临时目录
    2. 执行setup.exe添加计划任务做权限维持.
    3. 从goodle docs获得c2 ip
  • 样本采用http协议于c2通讯.

目标:对在华巴基斯坦商务人士的定向攻击

描述:

  1. xsl宏释放恶意pe文件
  2. 启动pe文件->下载bat并执行
  3. 写启动项实现权限维持
  4. 采用http协议与c2通讯


毒云藤

目标: 中国国防/政务/军工/科研/教育/海事等机构

描述:

  • 主要通过鱼叉攻击获取初次访问权限.
  • 邮件携带office0day或者二进制可执行文件
  • 二进制样本:
    1. RIO隐藏文档扩展名
    2. 删除注册表内office打开的文档信息
    3. 通过网盘做文件回传(利用高信誉域名bypass 流控设备)
    4. api动态调用bypass杀软静态扫描
    5. 错误调用api bypass沙盒


group123

目标:韩国

描述:

  • 通过鱼叉攻击获取初次访问权限
    1. 样本采用hwp 0day获取命令执行权限.
    2. 写bat到用户启动目录实现权限维持.
    3. 启动system32\sort.exe,注入shellcode执行
    4. 反调试
    5. 检查沙箱
    6. 通过dropbox /pcloud之类的网盘回传数据


未命名

目标:巴基斯坦

描述:

  • 通过钓鱼邮件获取初次访问权限.
  • 附件用office 0day执行命令+windows 0day提权
  • 采用http协议与c2通讯.
  • 写注册表启动项做权限维持


未知

目标:乌克兰

  • 采用邮件钓鱼获取初次访问权限
  • 附件内触发0day执行命令
    1. 释放恶意pe文件并执行
    2. 检测杀软
    3. 检测windows defender ;Select * from Win32_Service WhereName ='WinDefend'AND StateLIKE’Running
    4. 写计划任务做权限维持
    5. 走http协议与c2通讯

Paper 本文由 Seebug Paper 发布,如需转载请注明来源。本文地址:https://paper.seebug.org/777/