[奇安信威胁情报中心-红雨滴]COVID-19 | 新冠病毒笼罩下的全球疫情相关网络攻击

mortalboold

原文链接：https://ti.qianxin.com/blog/articles/coronavirus-analysis-of-global-outbreak-related-cyber-attacks/
原文太长，转载部分，建议到原文观看

概要

自今年年初新冠病毒在国内全面爆发，奇安信威胁情报中心便立刻意识到在这样的非常时期，网络攻击者绝不会自我“隔离”。
保障关键业务系统的安全稳定运行及信息安全、重要网站的正常运转和内容不被篡改、防范和阻断利用疫情相关热点的APT、
黑产等网络攻击，是另一个当务之急。在春节期间，奇安信红雨滴团队和奇安信CERT便建立了围绕疫情相关网络攻击活动的监控流程，
以希冀在第一时间阻断相关攻击，并发布相关攻击预警。截至目前，奇安信红雨滴团队捕获了数十个APT团伙利用疫情相关信息针对境内外进行网络攻击活动的案例
，捕获了数百起黑产组织传播勒索病毒、远控木马等多类型恶意代码的攻击活动。并通过基于奇安信威胁情报中心威胁情报数据的全线产品阻断了数千次攻击。
相关详细信息均及时上报国家和地方相关主管部门，为加强政企客户和公众防范意识，也将其中部分信息摘要发布。在本报告中，
我们将结合公开威胁情报来源和奇安信内部数据，针对疫情期间利用相关信息进行的网络攻击活动进行分析，
主要针对疫情相关网络攻击态势、APT高级威胁活动、网络犯罪攻击活动，以及相关的攻击手法进行详细分析和总结。

主要观点

• 从奇安信对疫情期间监控到的各类网络攻击活动来看。在疫情爆发初期，我们捕获到的攻击来源主要集中在嗅觉灵敏的国家级APT组织以及网络黑产团伙，
• 例如：海莲花、摩诃草、毒云藤、金眼狗等等。他们利用受害者对于疫情热点信息的高关注度，使用疫情相关内容作引诱，并多采用钓鱼、社交网络等方式针对特定人群和机构进行定向攻击。
• 而在疫情爆发的中期，各类网络犯罪团伙轮番登场。我们持续监控到国内外诸多网络犯罪团伙通过疫情热点信息传播勒索病毒、银行木马、远控后门等恶意程序的敛财活动。
• 随着新冠肺炎的全球性蔓延，当前我们监控到越来越多的APT组织、黑产团伙、网络犯罪组织加入到利用疫情热点的攻击活动中。例如近期新冠肺炎爆发的国家意大利，
• 我们就捕获了多个针对意大利并利用新冠肺炎为诱饵的网络攻击活动。从当前奇安信针对疫情期间的网络攻击大数据分析来看，随着疫情的全球性蔓延，相关的网络攻击已存在蔓延态势的苗头。
• 
  

全球疫情相关网络攻击趋势数量和趋势
自今年1月底新冠疫情爆发开始，嗅觉灵敏的国家级APT组织以及网络黑产团伙便率先展开在网络空间借疫情信息进行的网络攻击活动。
1月底到2月中旬，由于大规模疫情仅限于中国境内，这一期间，疫情相关的网络攻击活动也主要表现为针对中国境内。而随着2月中旬后，
新冠疫情开始在全球范围内爆发，随之而来的网络攻击行动也逐步扩撒到世界范围，攻击活动越发频繁，越来越多的APT组织、黑产团伙、
网络犯罪组织加入到利用疫情热点的攻击活动中。下图为红雨滴团队近期捕获到的疫情相关恶意文件数量趋势：



诱饵关键字
根据奇安信红雨滴团队基于疫情相关网络攻击活动的监控来看，网络空间的攻击随着新冠病毒的扩撒而变化。
前期，只有中国境内疫情严重时，相关网络攻击便集中针对汉语使用者，并多借以疫情相关中文热点诱饵信息进行攻击。
相关诱饵包含的信息例如：“口罩价格”、“疫情防控”、“逃离武汉”、”信息收集”、”卫生部”等等。而到了2月中旬，欧洲、日韩等国家疫情突然进入爆发期，
针对全球范围的网络攻击开始激增，诱饵信息开始转变为多种语言，以” Covid19”、”Covid”、”mask”、”CORONA VIRUS”、”Coronavirus”、”COVID-19”等诱饵信息为主。
下图为红雨滴团队根据攻击活动相关的诱饵热词制作的词云图：


恶意文件类型
而在本轮疫情相关的网络攻击活动中涉及的恶意文件类型来看，
大部分攻击者倾向于直接将PE文件加上疫情相关的诱饵名并通过邮件、社交媒体等方式传播。
其次是带有恶意宏或者Nday漏洞的文档类样本。
同时，移动端的攻击数量也不在少数。


受害目标的国家和地区
通过疫情相关的网络攻击目标来看，中国、美国、意大利等疫情影响最为严重的国家也恰巧成为疫情相关攻击最大的受害地区，
这说明网络攻击者正是利用了这些地区疫情关注度更高的特点来执行诱导性的网络攻击。下图为受疫情相关网络攻击的热度地图，
颜色越深代表受影响更大。


活跃的APT和黑产团伙
通过红雨滴团队的疫情攻击监测发现，黑产团伙仍然是疫情相关网络攻击活动的最主要来源，其通过疫情相关诱饵传播银行木马、
远控后门、勒索挖矿、恶意破坏软件等恶意代码，近期红雨滴团队还捕获了伪装成世卫组织传播恶意木马的多起网络攻击活动。
而国家级APT组织当然也是嗅觉最灵敏的网络攻击团伙，在疫情爆发的整个周期，针对疫情受害严重的国家和地区的APT攻击活动就没有停止过。
已被公开披露的APT攻击事件就已达数十起。我们在下图中列举了截止目前借疫情进行APT攻击的团伙活跃度。


疫情相关攻击活动分析
奇安信红雨滴团队基于疫情网络攻击事件感知系统，捕获了数百例疫情相关的APT攻击与网络犯罪等攻击活动。
以下部分分别介绍APT和网络犯罪相关的威胁活动和攻击技术。
针对性的APT高级威胁活动
APT攻击，即高级可持续威胁攻击,也称为定向威胁攻击，指某组织对特定对象展开的持续有效的攻击活动。这种攻击活动具有极强的隐蔽性和针对性,通常会运用受感染的各种介质、供应链和社会工程学等多种手段实施先进的、持久的且有效的威胁和攻击

摩诃草

摩诃草组织（APT-C-09），又称 HangOver、VICEROY TIGER、The Dropping Elephant、 Patchwork，是一个来自于南亚地区的境外 APT 组织，
该组织已持续活跃了 7 年。摩诃草组 织最早由 Norman 安全公司于 2013 年曝光，随后又有其他安全厂商持续追踪并披露该组织 的最新活动，
但该组织并未由于相关攻击行动曝光而停止对相关目标的攻击，相反从 2015 年开始更加活跃。 摩诃草组织主要针对中国、
巴基斯坦等亚洲地区国家进行网络间谍活动，其中以窃取敏 感信息为主。相关攻击活动最早可以追溯到 2009 年 11 月，至今还非常活跃。
在针对中国地 区的攻击中，该组织主要针对政府机构、科研教育领域进行攻击，其中以科研教育领域为主。在
疫情爆发初期，该组织便利用” 武汉旅行信息收集申请表.xlsm”,” 卫生部指令.docx”等诱饵对我国进行攻击活动。
同时，该组织也是第一个被披露利用疫情进行攻击的APT组织。
相关诱饵如下：




此类样本将通过宏等方式从远程服务器下载后续木马执行




获取的木马均为PatchWork独有的CnC后门，该后门具有远程shell,上传文件，下载文件等功能



网络犯罪及相关攻击技术
黑产等网络犯罪攻击不同于APT攻击具有非常独特的定向性，通常采用撒网的方式，四处传播恶意代码，以达到牟利的目的。
在疫情期间，红雨滴团队捕获多个黑产团体的攻击行动，包括已被披露的金眼狗等。由于黑产团伙组织较多，且攻击活动基本一致，故本节不以团伙分类，而从攻击手法上进行阐述。鱼叉邮件攻击钓鱼邮件在网络攻击活动中是最常见的一种投递方式，黑客通过热点新闻等信息诱导受害者执行邮件附件，从而控制受害者计算机。
以下为部分利用疫情热词并通过钓鱼邮件分发的不同恶意附件类型样本分析

恶意宏文档

文件名	MD5
文件名	2.eml
MD5	d5930a9698f1d6aa8bb4ec61a1e1b314
附件名	COVID 19 Requisition.xls
传播木马	Zloader

该邮件宣称只要填上附件相关信息，并打印就可以在附件医院免费检查诱导受害者执行附件



附件 COVID 19 Requisition.xls中包含恶意的宏，一旦用户执行附件并启动宏，恶意的宏代码将会从远程下载文件并通过rundll32.exe执行



下载执行的文件是出名的Zloader




漏洞利用

文件名	Malicious Content Detected CORONA VIRUS AFFECTED VESSEL TO AVOID.msg
MD5	9b389a1431bf046aa94623dd4b218302
附件名	CORONA VIRUS AFFECTED CREW AND VESSEL.xls
传播木马	HawkEye RAT

黑客伪装为世卫组织欧洲办事处，宣传一些疫情期间防护措施，并要求受害者执行附件，将体温信息按照附件格式进行登记 该附件是公式编辑漏洞利用文档，执行后运行流程如下
最后将从远程拉回一个hawkeye远程控制木马执行

mortalboold

xwalker 发表于 2020-3-30 20:55
厉害，请问行为分析图是什么软件呢？

转载的文章，看起来像是奇安信的沙箱。https://sandbox.ti.qianxin.com/sandbox/page

ycy0536

努力学习中，感谢分享

xwalker

厉害，请问行为分析图是什么软件呢？

hyoulin68

努力学习中，感谢分享

KING!

大佬大佬 学习学习

yaerhuo

谢谢楼主，已评分

sunkcost

我就看看

ZKingKZing

今天奇安信年会

卫国

感谢大佬，顶一个