南亚地区 APT组织 2019 年度攻击活动总结 摘要 Summary 2019 年间，南亚地区 的APT组织处在一个十分活跃的状态，其网络攻击活动呈现出了明显的网络情报获取意 图，攻击的目的主要是收集敏感领域人物相关情报信息，影响机构主要包括军工军贸、政府机关、外交机构等。 其针对的主要地域目标主要为中国和巴基斯坦，但我们也观测到了针对孟加拉国和斯里兰卡 的APT攻击活动。 图1 南亚地区周边国家地图示意 一般 APT攻击的攻击活动与地缘政治关系存在较强的关联，可以认为是地缘政治的延伸 ,甚至是战争和冲突的 一部分 ,APT的活跃趋势也跟地缘政治等全球热点密切相关。在南亚的地缘政治环境中，各国都存在着复杂的地缘 政治关系，而印度拥有最强的地缘政治实力，其主要邻国包括巴基斯坦、尼泊尔、不丹、中国、孟加拉和缅甸等 国， 印度和巴基斯坦自从 1947 年印巴分治后，两国关系一直处于十分复杂且敌对的状态。两国一直存在着领土争 端问题，其中最大的领土争议为克什米尔地区归属问题，双方围绕克什米尔地区争议爆发过战争，大大小小军事 冲突不。 2019年，印巴双方爆发的一系列军事冲突将双方的关系推至冰点。 2月26日，印度空军的 12架幻影 2000 战斗机飞越克什米尔印巴停火线，对巴基斯坦进行空袭。印度宣称空袭为报复两星期前的普尔瓦马袭击。 27日， 双方在克什米尔地区展开空战，巴基斯坦方面表示，巴基斯坦空军在军事行动中击落了两架印军战机，两机分别 坠毁在克什米尔巴控区和印控区，并俘虏了一名印度飞行员。印方其后确认， 印军 1架米格 -21战斗机被巴方击 落，1名飞行员被巴军俘虏， 另有 1架战机在克什米尔印控区坠毁。 3月4日上午，印巴双方在边境地区互相开火 炮击，局势再次升级。 中国和印度都是发展中国家，是世界上最大的人口大国和相邻国家，其关系伴随着冲突与合作，印度在经济 和军事等领域上都视中国为头号的竞争对手。 1962 年，印度入侵 我国西藏领土 ，中国解放军发起反击，印军完 败，史称 “对印反击战 ”。 此后中印边境一直存在“摩擦”， 直到 2017 年6月18日，印度边防人员在中印边界锡金 段越过边界线进入中方境内，阻挠中国边防部队在洞朗地区的正常活动，双方关系一度进入紧张阶段。 目标和任务 Targeting and Mission 2019 年来，源于南亚地区 的APT攻击活动的重点目标依旧是中国和巴基斯坦。但是 与2017 、2018 年的历史 数据相比，其针对巴基斯坦的攻击活动呈现明显的上升趋势，而针对中国的攻击活动却稍有缓和。对于这种现 象，我们分析了同时间相关地区地缘政治局势变化情况， 对比同时间同地区 APT攻击活动的活跃程度，两者在时 间和地域上表现出了明显的趋势关联。 中印局势变化： 2017年6月，中印洞朗边境发生对峙事件 2017 年7月，中印双方就边境对峙事件发表外交声明 2017 年8月，中印双方达成共识，结束了边境对峙 2017 年12月，中印举行边界问题特别代表会晤 2018 年5月，中印就阿富汗问题达成部分共识 2018 年12月，中印再次举行边界问题特别代表会晤 2019 年10月11日，习近平主席访问印度 印巴局势变化： 2018 年2月25日，印度军队炮击克什米尔实控线附近的巴基斯坦哨所，导致巴方人员伤亡。 2018 年5月30日，印度和巴基斯坦同意在克什米尔地区停止交火， 双方同意落实于 2003 年达成的停火协议。 2019 年2月，印度和巴基斯坦对彼此领土内的目标发动了空袭，在此期间巴方击落一架印度战机并俘获其飞行 员，两国此后小规模交火不断。 2019 年8月，印度撤销了克什米尔的特殊地位，导致地区局势紧张，同月印巴在边境争议地区交火，导致士兵伤 亡。 被攻击的目标如下： 中国：  涉及相关军工军贸企业  涉及相关外交使领馆 巴基斯坦：  政府机构： 国家反恐局、警察系统、巴基斯坦新闻广播对外宣传部、国家数据库和管理局（ NADRA ）、巴 基斯坦原子能委员会（ PAEC ）、巴基斯坦科学和工业研究理事会（ PCSIR ）、巴基斯坦证券交易委员会 （SECP ）  基础设施企业： 巴基斯坦国家炼油有限公司、巴基斯坦特别通信组（ SCO）、巴基斯坦移动公司 （Mobilink ）、巴基斯坦电信公司（ PTCL ） 除此之外，我们还发现了针对孟加拉国 和斯里兰卡的 APT攻击活动。针对目标为孟加拉国和斯里兰卡军方。 针对孟加拉国的攻击行动中，其使用的漏洞文档题材便涉及了孟加拉国的军贸。 组织名称 目标国家 目标行业 蔓灵花（ BITTER ） 中国、巴基斯坦 巴方政府机构、中方军贸相关人员 摩诃草（ HangOver ） 巴基斯坦 军事、政府、科研、通讯机构 响尾蛇 中国、巴基斯坦、孟加拉国 各国驻华使馆、外交人员 DoNot （肚脑虫） 中国、巴基斯坦、斯里兰卡 阿富汗驻华使馆、政府新闻机关 Urpage 巴基斯坦 政府机构 攻击活动分析 Attack Operation Analysis 总览 初始入侵 代码执行 持久化 命令和控制 任务活动 摩诃草 漏洞文档 CVE-2017-11882 白利用 DLL劫持 注册表启动项 第三方服务 Github / Feed43 更新 C&C 系统信息收集 RAT程序 蔓灵花 漏洞文档 自解压程序 CHM 文档 CVE-2018-0798 注册表启动项 传统 C&C 系统信息收集 RAT程序 键盘记录 剪切板记录 特定文件收集 肚脑虫 漏洞文档 U盘传播 CVE-2017-12824 CVE-2017-11882 计划任务 传统 C&C 系统信息收集 屏幕截取 特定文件收集 响尾蛇 漏洞文档 LNK文件 CVE-2017-11882 HTA 远程执行 JavaScript 内存加载 .Net 代码执行 白利用 DLL劫持 RUNDLL32 REGSVR32 注册表启动项 传统 C&C 系统信息收集 文件窃取 Urpage 漏洞文档 CVE-2017-11882 自启动目录项 传统 C&C 系统信息收集 RAT程序 初始入侵 从监测到的情况进行分析， 南亚 APT组织的攻击活动仍严重依赖于社会工程学，其最主要攻击手段依旧为鱼 叉漏洞文档，其次为 鱼叉 LNK文件，自解压程序， CHM 文档等；在肚脑虫在巴基斯坦的攻击活动中，我们观察到 了使用 U盘传播的案例， 攻击者在 U盘中放置 伪装的 EXE程序诱导用户点击。 伪装文档图标的程序示例如下： 南亚地区 APT组织使用的漏洞文档的内容题材丰富多样，其中部分漏洞文档今年已经被各安全厂商相继披露，涉 及时政新闻、军事相关文件、军工企业单位等。部分典型案例如下：  涉及克什米尔局势的诱饵文档，内容大意为职责印度增兵克什米尔，加剧了地区局势紧张程度。  以2019 年在中国武汉举办世界军人运动会报名表为题材的诱饵文档。  以国防部国际军事合作办公室的名义，发往各国驻华使馆武官处的诱饵文档。   针对军工、时事和相关国企公司的诱饵文档  同时我们还观察到部分压缩包文件形式的鱼叉邮件诱饵，受害者是点击运行压缩包中的可执行文件后中招， 相关的文件名也极具诱导性，部分代表文件名如下表： 文件名 更新预设零件库存信息系统 .exe 新时代党校 **答记者问 .doc.exe 中共中央印发 **审议批准 .exe 360_KB6784677.exe 代码执行 在代码执行阶段，除社会工程学直接诱导受害者执行程序外，其主要 使用 Office 漏洞，使用 频率最高的为 CVE-2017-11882 ，其次是 CVE-2018-0798 ；在肚脑虫 组织 2019 年的行动中，我们发现 了其使用 InPage 漏洞 （CVE-2017-12824 ）进行攻击的案例， InPage 是一种主要用于乌尔都语文字处理软件，乌尔都语是巴基斯坦国 语。该软件大部分使用者都集中在巴基斯坦和印度境内。 除漏洞文档外，上述组织也使用了其他技巧来进行代码执行： 摩诃草和响尾蛇使用了 白利用 DLL劫持的技术，这 是一种利用可信程序和系统 DLL加载机制的代码执行技 术。其使用带有受信任签名或者系统应用程序，来加载 带有恶意行为的 DLL，来执行恶意行为并规避检测。 如被国内安全厂商披露的响尾蛇使用的 鱼叉 LNK文件（参考： http://it.rising.com.cn/dongtai/19639.html ），其中嵌入了远程 执行 HTA 的命令行。 其次在驻留后，响尾蛇利用 系统 Rundll32 或Regsvr32 来执行 DLL恶意组件。 漏洞文档后阶段执行过程使用了 JavaScript 加载.Net程序的技术，这种技术利用脚本内存加载 .Net程序。 持久化 在持久化方面上，其使用的技术均比较常见。  使用最多的为注册表启动项，即 向HKCU\Software\Microsoft\Windows\Cu