APT10：中国黑客组织攻击全球IT服务供应商

xman

前言

普华永道（英国普华永道研究所）与世界第三大军工企业BAE Systems（BAE系统公司）在4月3日联合发布了一份名为《Operation Cloud Hopper》的APT报告，报告指出中国黑客组织APT10（又名CVNX、Stone Panda、MenuPass和POTASSIUM）攻击了全球各大IT服务供应商，并利用此类攻击方式做为跳板从IT服务供应商中窃取客户资料。

APT10攻击阶段图

概要

普华永道的网络安全部门与BAE Systems配合英国国家网络安全中心（、NCSC）共同发现了该黑客组织的行迹。据称APT10曾于2014年进行过此类攻击并在2016年年初大达到了最大攻击规模，包括新增Exploit与技术人员来不断提升自我的攻击能力。报告认为”Operation Cloud Hopper”是迄今为止全球范围内规模最大的持续性网络间谍行为之一。

APT10活动时间表

APT10通过攻击外包IT托管服务供应商的方式，向其全球各客户发动间谍活动，并在进入企业网络之后部署mimikatz、PwDump等密码抓取工具来获取凭证，分析中攻击者还使用了几种Payload：

• PlugX：一个众所周知的间谍工具
• RedLeaves – 一个功能齐全的新后门（APT10最近几个月使用）
  
  

APT10攻击流程

APT10已经从多家受害者企业中窃取到大量数据，并将这些数据隐藏在世界各地。

受害者分布

目前APT10利用这种攻击手段对美国、加拿大、英国、法国、瑞士、南非、斯堪的纳维亚、泰国、韩国、印度和日本等国家发动过网络攻击。

伪装日本政府机构进行网络间谍活动

普华永道与BAE Systems方面表示部分日本组织机构被作为针对性的攻击对象，其中APT10很可能将自身伪装成为日本政府机构来进行网络间谍活动。

从2016年底开始APT10使用日语对恶意样本进行命名（恶意文件具体分析请查看报告原文附录B）：

伪装为新闻的钓鱼文件与伪装的域名：

注册信息如下：

基础设施

下图描绘了攻击者在2016年底使用的基础设施：

FireEye在2014年“Siesta Campaign”文章中披露的一组新操作中使用PlugX C和Cs之间的联系以及APT10的旧基础设施之间的联系：

根据面向攻击时间以及所使用之工具与技术进行的取证分析，甚至与历史上与该组织的操作相关联。调查人员称该黑客组织可能位于中国，但除此之外尚不清楚APT10背后的操纵人员组成以及攻击目的。

目前英国国家网络安全中心（NCSC）和澳大利亚国家网络安全中心（ACSC）已经对所在国的企业发布相关安全告警。

参考

• http://baesystemsai.blogspot.jp/2017/04/apt10-operation-cloud-hopper_3.html
• https://www.fireeye.com/blog/threat-research/2014/03/a-detailed-examination-of-the-siesta-campaign.html
  
  

报告原文

cloud-hopper-report-final-v4.pdf (1.85 MB, 下载次数: 1)

2017-4-7 11:39 上传

点击文件名下载附件
阅读权限: 20