全球APT事件回顾

1. 黑客扬言攻击马来西亚政府网络

黑客组织“马来西亚匿名者”（Anonymous Malaysia）在销声匿迹五年后，卷土重来。据悉，他们在脸书发布视频，表示将发动被命名为#OpsWakeUp21的攻击，主要针对马来西亚政府网络和线上资产。国家安全理事会在推特回应此事时说，政府严正看待此事，所有政府机构已奉命采取必要防范措施，国家网络安全机构（NACSA）也已经与警方合作采取必要的应对措施。

近期，11名与马来西亚匿名者（Anonymous Malaysia）有关联的人士，已遭警方逮捕。落网者年龄介于20岁至40岁之间，当中包括马来西亚匿名者脸书专业管理员。警方称该组织可能曾经入侵了17个网站，这包括柔佛与沙巴州政府及国际贸易及工业部的网站系统。[阅读原文]

2. “透明部落” APT组织移动端新近活动披露

“透明部落”是一个南亚来源具有政府背景的APT组织，其长期针对周边国家和地区的军队和政府机构实施定向攻击。

2021年2月，研究人员在移动端高级威胁分析运营过程中，发现APT组织“透明部落”新近活动采用的移动端Tahorse RAT出现新变种。Tahorse RAT是APT组织“透明部落”此前基于开源的Ahmyth远控定制生成。此次Tahorse RAT变种主要去掉了漏洞的使用，但其恶意功能保持不变，部分变种还增加了Google提供的FireBase能力实现云控制，目前未发现此恶意代码对国内有影响。

“透明部落”组织此次移动端上的攻击主要以伪装成AF News、WhatsApp、Chat Bolt这三款没有出现在印度陆军禁用名单的应用，以及伪装成系统设置相关应用。[阅读原文]

3. 警惕钓鱼邮件，海莲花组织攻击越南人权捍卫者

APT32（又称OceanLotus, SeaLotus）是越南支持的APT组织，以针对在多个越南工业领域、越南人权组合和活动者以及全球研究机构和媒体组织中投资的外国公司而闻名。

最近，有报道称越南国家支持的黑客组织APT32（海莲花），在2018年2月至2020年11月之间针对越南的人权捍卫者（HRD）通过间谍软件进行了攻击。

研究人员表示，在2018年2月至2020年11月之间，受害者们收到了包含间谍软件的电子邮件，并且最后的有效载荷通过海莲花的Kerrdown下载器安装在了受害者的Windows电脑中。同时，攻击者下载并部署了Cobalt Strike信标，以获取对受感染系统的持久远程访问。

对于使用Mac的受害者，黑客使用了TrendMicro在以前对越南目标进行攻击时发现的MacOS后门，这是一种能够使攻击者下载、上传和执行任意文件和命令的恶意软件。[阅读原文]

4. Konni APT组织以朝鲜疫情物资话题为诱饵的攻击活动分析

Konni APT 组织是朝鲜半岛地区最具代表性的 APT 组织之一，该组织经常使用鱼叉式网络钓鱼的攻击手法，经常使用与朝鲜相关的内容或当前社会热点事件来进行攻击活动，该组织的主要目标为韩国政治组织，以及日本、越南、俄罗斯、中国等地区。

攻击者以“朝鲜疫情物资”话题相关文章作为诱饵文档进行攻击活动，诱饵文档延续了该组织以往的攻击手法，将正文颜色设置为难以阅读的颜色以诱导用户启用宏。在文档携带的恶意宏中，从失陷的服务器中下载后门模块并执行。

后门模块为 Amadey 家族木马，攻击者可利用该后门模块进行下一步恶意模块的分发，该组织经常使用此家族木马进行攻击活动。[阅读原文]

5. 法国ANSSI：俄黑客对Centreon服务器展开了持续多年的攻击

Sandworm 大约自2009年开始活动。该组织可能由俄罗斯专业黑客分子组成。该组织目标主要是目标主要是乌克兰与能源、工业控制系统、SCADA、政府和媒体相关的实体。

法国 ANSSI 在近日的一份报告中指出，名为 Sandworm 的俄方黑客组织，对该国 IT 公司 Centreon 的服务器展开了持续三年的 APT 攻击。由该国情报系统发布的技术报告详情可知，在此期间，黑客破坏了多个运行 Centreon IT 监控软件的法国实体的内部网络。[阅读原文]

6. “幼象”组织针对巴基斯坦国防制造商的攻击活动分析

“幼象”组织攻击活动最早可追溯到2017年7月，其主要攻击目标为巴基斯坦、孟加拉、斯里兰卡和马尔代夫等南亚国家的政府、军事、国防、外交、核能、金融、教育、电信等部门及行业。

近期研究人员捕获到一起“幼象”组织针对巴基斯坦国防制造商的攻击活动。在本次攻击活动中“幼象”组织主要使用恶意LNK文件下载执行远程HTA投递自研的Shell后门恶意软件“WRAT”，该样本与我们之前披露的“幼象”样本十分相似。在对“WRAT”恶意软件进行分析发现，该木马不仅有后门功能，同时具有窃取移动磁盘文件和感染新接入存储设备的能力(将自身伪装成文件夹复制到磁盘根目录)，尝试进行横向移动扩大感染范围。[阅读原文]

7. 2021年1月南亚地区APT组织攻击活动总结分析

“摩诃草”APT团伙(APT-C-09)，又称HangOver、VICEROY TIGER、The Dropping Elephant、Patchwork，是一个来自于南亚地区的境外APT组织，该团伙已持续活跃了超过8年时间。该组织近年来常使用携带有CVE-2017-0261漏洞利用的文档开展攻击活动，2021年1月，研究人员再次捕获组织利用该漏洞的诱饵文档。

”魔罗桫”组织长期针对中国，巴基斯坦，尼泊尔等国和地区进行了长达数年的网络间谍攻击活动，主要针对领域为政府机构，军工企业，核能行业等。此次捕获的样本以军事信息为诱饵信息，采用模板注入的方式从远程服务器获取公式编辑漏洞利用文档加载执行。

蔓灵花(BITTER)是疑似具有南亚背景的APT组织，该组织主要针对周边国家地区的政府，军工业，电力，核等单位进行攻击，以窃取敏感资料为目的，具有强烈的政治背景。近日，BITTER组织疑似攻陷了南亚地区某国技术提供商官方网站，并在其网站中部署了恶意软件。

Donot“肚脑虫”(APT-C-35)是疑似具有南亚背景的APT组织，其主要以周边国家的政府机构为目标进行网络攻击活动，通常以窃取敏感信息为目的。该组织具备针对Windows与Android双平台的攻击能力。2021年1月，研究人员捕获多个该组织样本，涉及Windows以及Android平台。[阅读原文]