盘旋在中亚上空的阴影 -黄金雕（ APT-C-34 ） 组织攻击活动揭露 背景 Hacking Team 是为数不多的几家在全世界范围出售商业网络武器的公司之一。 2015 年7月5日， Hacking Team 遭遇了大型数据攻击泄漏事件，该公司已经工程化的漏洞和后门产品代码几乎被全部 公开。该事件 泄露包括了 Flash 、Windows 字体、IE、Chrome 、Word 、PPT、Excel 、Android 的未公 开0day 漏洞，覆盖了大部分的桌面电脑和超过一半的智能手机。泄露的网络武器被黑客大肆利用， 随后 Hacking Team 公司也宣布破产被并购。 2015年后， 有关 HackingTeam 的活动突然肖声觅迹。 2018 年在乌俄两国突发 “刻赤海峡 ”事件的危机时刻 ，360高级威胁应对团队在全球范围内率先发 现了一起针对俄罗斯的 APT攻击行动，攻击者精心准备了一份俄文内容的员工问卷的诱饵文档，根 据文档内容推测 ，攻击所指向的是俄罗斯总统办公室所属的医疗机构 ，结合被攻击目标医疗机构的职 能特色 ，我们将 APT攻击命名为 了“毒针”行动。我们无法确定 “毒针”行动的动机和攻击身份 ，但攻击 所指向的医疗机构特殊背景 ，使攻击表现出了明确的定向性 ，同时攻击发生在 “刻赤海峡”危机的敏感 时段，也为攻击带上了一些未知的政治意图。 我们发现 “毒针”行动使用了 Flash 0day 漏洞 cve-2018-15982 ，后门程序疑似自于意大利网络武 器军火商 HackingTeam ，所以不难推测其 背后的 APT组织可能经常采购商业网络武器。种种迹象表 明HackingTeam 的生意并没有消失 ，这引发了我们对 HackingTeam 网络武器再次追踪的兴趣 ，我们 尝试针对 HackingTeam 网络武器进行关联追踪，意料之外地发现了一支未被披露过的 俄语系 APT组 织，该组织的活动主要影响中亚地区 ，大部分集中在哈萨克坦国境内 。因为是全球首次发现披露 ，我 们参照中亚地区擅长驯养猎鹰进行狩猎的习俗特性，将该组织命名为黄金雕（ APT-C-34 ）。 概要 在针对 HackingTea m后门程序研究过程中，我们 从360的大数据中找到了更多的在野攻击中使 用的 HackingTeam 后门程序，通过对程序的同源性进行分析，关联扩展发现了大量不同种类的后门 程序。通过持续一年的观察和一步一步的深入调查分析 ，我们挖掘了更多的细节信息 ，逐渐整合形成了黄金雕（ APT-C-34 ）组织的全貌。 黄金雕（ APT-C-34 ）组织的受害者广泛分布中亚地区，主要活跃在哈萨克斯坦国境内，涉及各 行各业 ，包括教育 、航空航天 、政府机关 、媒体工作人员等 ，其中部分受害者有中国背景 ，涉及我方 与哈萨克合作项目，而极少数的人位于西北部地区。该组织背后疑似有政府实体机构支持其行动。 在技术手段上 ，除了传统的后门程序 ，黄金雕 （APT-C-34 ）组织还采购 了HackingTeam 和NSO 的商业间谍软件 。我们发现该组织 的HackingTeam 后门版本号 为10.3.0 ，与“毒针”行动的后门版本号 相同。在攻击方式上 ，除了使用了传统的社会工程学等手段外 ，该组织也大量使用了物理接触的方式 投递恶意程序（ 例如 U盘等）；除此之外，其也有使用特殊侦查设备对目标直接进行窃听和信号获取 的迹象。 攻击影响范围 对受害者进行分析统计 ，绝大部分受害者都集中在哈萨克斯坦国境内 ，涉及各行各业 ，从相关数 据中看 ，包括教育行业 、政府机关人员 、科研人员 、媒体工作人员 、部分商务工业 、军方人员 、宗教 人员、政府异见人士和外交人员。 波及我国的主要人员绝大部分也集中在哈萨克斯坦国境内 ，包括留学生群体 、驻哈萨克斯坦教育 机构、驻哈萨克斯坦相关工程项目组，极少数的受害者分布在我国西北部地区，涉及政府工作人员。 在该组织 的C&C服务器上，我们发现了大量的根据哈萨克斯坦城市命名的文件夹，包含了大部 分哈萨克斯坦的主要城市。 文件夹名称 城市名 Aktay 阿克套，位于哈萨克斯坦西部、里海东岸、曼格斯套州州政府，哈萨克第六大城市 Karaganda 卡拉甘达，卡拉干达地区的首府。它是哈萨克斯坦人口第四大城市 Kokshetay 科克舍陶，哈萨克斯坦北部阿克莫拉地区的行政中心 Oral 乌拉尔，哈萨克斯坦西哈萨克斯坦州首府。位于该国西部乌拉尔河畔。 Oskemen 厄斯克门，哈萨克斯坦东哈萨克斯坦州首府。位于乌尔巴河与额尔齐斯河汇合处。 Semey 塞米伊，东哈萨克斯坦地区和西伯利亚哈萨克斯坦部分与俄罗斯接壤的城市。 атырау (Atyrau) 阿特劳，阿特劳州首府，位于欧洲和亚洲的界河乌拉尔河流入里海的河口上。 жезказган (Jezkazgan) 杰兹卡兹甘，哈萨克斯坦中部卡拉干达州的一个城市。 Кызылорда (Kyzylorda) 克孜勒奥尔达，克孜勒奥尔达州首府，位于锡尔河畔。 Петропавл (Petropavl) 彼得罗巴甫尔，北哈萨克斯坦州首府，位于伊希姆河畔。 Талдыкорган (Taldykorgan) 塔尔迪库尔干，阿拉木图州首府。 Тараз (Taraz) 塔拉兹，江布尔州首府。位于该国南部塔拉斯河畔，邻近吉尔吉斯斯坦。 Шымкент (Shymkent) 奇姆肯特，直辖市， 位于阿拉木图西 690公里，是哈萨克斯坦共和国第三大城市。 在对应的城市命名的文件夹下 ，有相关 的HackingTeam 后门程序 ，其使用后门程序时针对不同城 市的目标使用不同的配置。 该组织的后门程序会将收集的受害者信息加密后上传 至C&C服务器，在服务器上每一个受害者 的信息都会用一个文件夹进行标识。如下图所示： 典型受害者分析 通过对上传文件进行解密，我们发现了大量该组织从受害者计算机上窃取的文档和数据。  典型的中国受害者，某驻哈教育机构的中方人员。  典型的哈萨克特斯坦科研机构受害者，被窃取的文件涉及了哈萨克斯坦与俄罗斯联合开发项 目。  典型的哈萨克斯坦国教育和科研机构工会受害者，被窃取的文档包含会议记录 主要攻击方式分析 我们发现黄金雕（ APT-C-34 ）组织除了常规的社会工程学攻击手段，也喜欢使用物理接触的手 段进行攻击，同时还采购了无线电硬件攻击设备。 社会工程学攻击方式 该组织制作了大量的伪装的文档和图片文件作为鱼叉攻击的诱饵 ，这些文件通过伪装图标诱导用 户点击， 这些文件实际上是 EXE和SRC后缀的可执行文件，同时会释放弹出真正的文档和图片欺骗 受害者。 诱饵文档的内容五花八门，有华为路由器的说明书、伪造的简历和三星收集说明书等。 其中部分诱饵程序安装包脚本会自动将程序添加到注册表项中，实现自启动驻留。 物理接触攻击方式 黄金雕（ APT-C-34 ）组织 疑似喜欢使用 U盘作为载体，通过物理接触目标的方式进行攻击，部 分受害者曾经接入过包含恶意程序和安装 脚本的 U盘。如下图所示 ，其中以install 开头的bat文件为 恶意程序安装脚本。 同时也 使用了 HackingTeam 的物理攻击套件 ，该套件需要通过恶意硬件物理接触目标机器 ，在系 统引导启动前根据系统类型植入恶意程序， 支持 Win、Mac 和Linux 平台。 无线电监听攻击方式 该组织采购了一家俄罗斯公司“ YURION” 的硬件设备产品，该公司是一家俄罗斯的安全防务公司， 专门出售无线电监听 、窃听等设备 ，该组织有可能使用该公司的一些特殊硬件设备直接对目标的通讯 等信号进行截取监听。 核心后门程序分析 本节将对黄金雕（ APT-C-34 ）组织所使用的后门程序进行详细的分析，该组织的后门技术主要