作者：360 A-TEAM
公众号：360安全监测与响应中心

APT37

目标：日韩/中东/越南 =》航空航天/教育/金融/政务/医疗等机构.

描述：

• 从2012年开始活动,针对日韩/中东/越南进行渗透。
• 前期钓鱼：
  1. 黑掉一个知名机构,然后以该机构邮箱作为发送方投递钓鱼邮件.
  2. 邮件中使用office或hwp中的0day和刚公开不久的nday.
• 数据提取:
  1. 通过dropbox的api上传敏感数据，过流控设备的检查.

APT34

目标：中东地区金融 能源 政务 化工行业

描述：

• 从14年开始活动,常用鱼叉式钓鱼方案进行前期打点.
• 样本使用最新的office nday.
• 通过powershell写计划任务做权限维持.
• 通过DGA域名与c2通讯.

APT33

目标：美国/沙特阿拉伯/韩国等国家的航空航天及能源行业

描述：

• 从13年开始活动
• 采取邮件钓鱼的方案获取初次访问权限.
• 样本采用hta + powershell等技术.
• 上线域名根据目标行业定制.
• 样本里未去除pdb路径,泄漏木马开发者id，根据id关联到伊朗网军.

APT32

目标：越南境内外资企业. 包括但不局限于银行/媒体/制造业

描述：

• 常用鱼叉式钓鱼方案获取初次访问权限。
• 邮件内用社会工程学的方式诱导用户启用word宏.
• 以计划任务的方式实现权限维持.
• 以msf+cs进行后渗透.

APT30

目标：东南亚

描述：

• 从2004年开始活动
• 05年开始尝试感染可移动设备突破隔离网.

APT29

目标：西欧政府外交部

描述：

• 初次权限获取方案：
  1. 邮件钓鱼，内嵌lnk或宏
• C2通讯：
  1. 利用攻陷的web站当前置机，ssl加密
• 持久化方案：
  1. Wmi事件订阅
  2. 计划任务
• 数据提取方案：
  1. 将数据加密放在图片里
  2. 将图片上传到社交媒体或者云厂商

APT28

目标：高加索/ 东欧 / 美国

描述：

• 采用flash或者windows的0day获取初次访问权限
• C2通讯:https

APT19

目标：投资和法务相关的机构

描述：

• 采用钓鱼邮件方式获取初次访问权限：
  1. CVE 2017-0199.
  2. 宏
• C2 ：cobalt strike
• 通讯：http

APT18

目标： 航空/国防/建筑/教育/健康/生物/高科技/运营商/交通等行业

描述：

• 远控：Gh0st
• 采用HackingTeam泄漏的flash 0day获取初次访问权限。

APT17

目标：美国政府/国际律师事务所/信息技术公司

描述：

• C2通信：用微软的TechNet blog通讯.

APT16

目标：日本和台湾的高科技/政务服务/媒体和金融行业

描述：

• 采取钓鱼邮件的方案获取初次访问权限。
• 阶段性的payload放置在被攻陷的高信誉域名服务器上。
• 写入用户启动目录做权限维持。

APT12

目标：新闻/政府/国防工业

描述：

• 采用被攻陷的邮箱发送钓鱼邮件获取初次访问权限.
• c2通信：http协议.

APT10

目标：美国欧洲日本的的建筑工程/航空/运营商/政府行业

描述：

• 通过钓鱼邮件获取初次访问权限:
  1. 宏/exe
  2. 附件加密过邮件网关.
• C2通信：http协议

APT3

目标：航空航天/国防/建筑工程/高科技/运营商/交通等行业.

描述：

• 初次权限获取：
  1. 浏览器0day . 如firefox/ie
  2. 钓鱼邮件
• 通过添加计划任务做权限维持
• 木马走socks与c2通讯

APT1

目标： 信息技术/航空航天/公共管理/卫星通讯/科学研究及咨询/能源/交通/建筑制造/高科技电子/媒体/广告娱乐/导航/化学/金融服务/农业食品/健康/教育等行业.

描述：

• 有语言学家/开源研究人员/恶意软件作者/目标行业的业界专家的支持.
• 常用鱼叉攻击的方式获取初次访问权限.
• 初期采用http方式与c2通讯.

海莲花

目标：中国政府/科研所/海事机构/海域建设/航运等企业

描述：

• 通过钓鱼邮件和水坑攻击获得初次访问权限.
• C2是cs，采用http协议上线。
• 伪造http头里的host欺骗ids,通过cookie字段进行指令传输.

目标：中国政务/科研/海事机构

描述：

• 通过钓鱼邮件获取初次访问权限.
• 附加包含nday. 触发流程:
  1. 释放sct和shellcode -》加载远端vbs -〉解密shellcode文件并执行-》释放pe文件并加载 -〉 从资源里释放通讯模块.
• 木马通过dns协议与c2通讯.

描述：

• 通过钓鱼邮件获取初次访问权限
• 邮件内样本采用0day执行命令.
  1. 遍历system32目录,搜索vmGuestLibJava文件,判断是否为虚拟机
  2. 写入计划任务做权限维持
  3. 利用McAfee mcods.exe加载恶意dll执行shellcode
  4. 横向移动中通过msbuild执行命令

Operation Oceansalt

目标：

韩国公共基础设施/合作基金/高等教育.
北美金融/医疗/电信/农业/工业/政府

描述：

• 采取钓鱼邮件方案获取初次访问权限. 附件为xsl内嵌宏

dark hotel

目标：中国政务/科研

描述：

• 采用钓鱼欧邮件获取初次访问权限.
  1. 诱饵格式 xxx.jpg.scr
  2. 释放两张正常图片到temp目录
  3. mspain打开A图片
  4. 读取B图片里的隐写数据,生成lnk文件到temp目录
  5. 执行lnk -> powershell ->下载exe执行
  6. 清理lnk及隐写图片
• 木马通讯采用OpenSSL协议
• Api动态调用
• 杀软/沙箱/虚拟机检测

目标 ：中日韩俄的国防/电子等机构

描述：

• doc释放chrome组件和恶意dll
• 执行chrome加载恶意dll
• 解密并执行poweershell->下载恶意dll2
• 通过cliconfg.exe执行恶意dll2
• bypassuac写服务做权限维持

描述：

• 通过office 0day获取初次访问权限.
• 样本流程:
  1. office触发漏洞
  2. 释放恶意dll文件
  3. 通过mmc.exe bypass uac.
  4. mmc进程启动后会加载恶意dll文件.
  5. 从远端下载shellcode并执行

美人鱼

目标：丹麦

描述：

• 采取水坑/鱼叉攻击获取初次访问权限
  1. ppt内嵌ole
  2. 水坑攻击中的样本为自解压文件
• 写注册表做权限维持

人面狮

目标：以色列国防军/海军

描述：

• 采用社交网络水坑攻击获取初次访问权限.
• 木马以dll形式存在，注入到explorer.exe
• 通讯模块注入到浏览器进程,采用http协议与c2通讯
• 窃取文件模块注入到杀毒软件进程

摩诃草

目标：中国/巴基斯坦的军事/科研/政务/商业机构

描述：

• 主要采取水坑/鱼叉攻击获取初次访问权限.
  1. 附件包含0day
  2. 附件为exe/scr/dll （dll文件通过正常带签名的exe程序启动）
  3. 浏览器nday /钓鱼网址
• 通过入侵第三方论坛,写入c2通讯ip
• 通过写注册表启动项做权限维持

目标:中国/巴基斯坦的教育/军工/科研/政务

描述：

• 采取邮件钓鱼获得初次访问权限.
  1. dropper js -》 解密并生成新的js -〉 执行ps -》 bypassuac - 〉释放dll并加载.
• 通过http协议与c2通讯

目标: 中国/巴基斯坦的政务/教育机构

描述：

• 通过钓鱼邮件获取初次访问权限.

  1. :: doc(cve-2017-8570) - 》 sct -〉c# dropper ->释放Microsoft.Win32.TaskScheduler.dll -》添加计划任务

双尾蝎

目标：巴基斯坦教育机构/军事机构

描述：

• 通过鱼叉和水坑攻击获取初次访问权限
• 鱼叉邮件附件为exe/scr
• 通过注册表启动项做权限维持

Fub7

目标: 美国金融机构

描述：

• 通过鱼叉攻击采取初次访问权限.
  1. 钓鱼文档中, 插入模糊图片,将OLE对象透明放置在模糊图片之上,用户双击放大图片则触发.
  2. pe格式的文件采用ads数据流隐藏保存
  3. 木马编码后写入到注册表,启动时由powershell读出动态执行.
  4. 64个c2随机选择
• 采用dns协议与c2通讯.
• 通过计划任务与注册表启动项做权限维持.

Gaza cybergang

描述：

• 通过邮件钓鱼方式获取初次访问权限.
• 附件用office nday执行命令.
• 执行链： office -> ole download hta -> mshta load hta -> powershell download pe - > create thread load pe
• 采用dns/http/smb/tcp等方式与c2通讯
• C2为cobalt strike

黄金鼠

目标: 叙利亚反导弹系统

描述：

• 通过水坑攻击获取初次访问权限.

蔓灵花

描述：

• 伪造域名获得指定人员账户密码.
• 以该账户向其他人发送木马.
  1. :: 自解压程序- > 释放doc并启动 -> 打开exe -》 判断杀软- > 写注册表做权限维持 -> 执行恶意代码.
• 采用http协议与c2通讯.

描述：

目标：巴基斯坦

• 通过邮件钓鱼获取初次访问权限
• 邮件内样本采用文字处理软件的0day执行任意命令
  1. 下载exe / 写注册表做权限维持
  2. 释放dll文件/ dll内释放正常的文本
  3. 通过select * from win32_computersystem检测虚拟机
  4. 写用户启动目录，做第二套权限维持方案

APT-C-01

目标：中国政务/科技/教育/国防等机构

描述：

• 通过鱼叉攻击获取初次访问权限.
  1. 附件内doc利用漏洞来执行命令.
  2. 下载hta
  3. 执行powershell-》下载pe文件
  4. pe下载远程shellcode解密并执行

hacking team 01

目标:卡塔尔地区

样本流程:

1. 含有flash activex对象的excel文件落地
2. 加载远程flash文件
3. 从远程服务器下载aes加密的flash 0day文件
4. 获取密钥解密flash 0day文件
5. 触发漏洞，获得执行任意命令的权限
6. 获取shellcode并执行

蓝宝菇

目标：中国政务/军工/科研/金融等机构

描述：

• 采取鱼叉攻击获取初次访问权限.
• 云附件bypass邮件网关
• 感染开始菜单内所有快捷方式,实现权限维持

描述：

• 通过鱼叉攻击获取初次访问权限
• 云附件bypass邮件网关
• 样本采用lnk执行ps反弹shell
  1. 从lnk尾部读取数据.
  2. 释放doc并运行
  3. 执行shellcode
  4. 感染其他lnk做权限维持
• 用aws云服务拖文件

描述：

• 采取鱼叉攻击获取初次访问权限
• 写注册表做互斥
• 用SAE做前置机

APT-C-35

目标:巴基斯坦等南亚地区国家

描述：

• 通过鱼叉攻击获取初次访问权限.
• 样本采用nday漏洞获得执行命令的权限.
  1. 释放setup.exe到临时目录
  2. 执行setup.exe添加计划任务做权限维持.
  3. 从goodle docs获得c2 ip
• 样本采用http协议于c2通讯.

目标：对在华巴基斯坦商务人士的定向攻击

描述：

1. xsl宏释放恶意pe文件
2. 启动pe文件->下载bat并执行
3. 写启动项实现权限维持
4. 采用http协议与c2通讯

毒云藤

目标: 中国国防/政务/军工/科研/教育/海事等机构

描述：

• 主要通过鱼叉攻击获取初次访问权限.
• 邮件携带office0day或者二进制可执行文件
• 二进制样本:
  1. RIO隐藏文档扩展名
  2. 删除注册表内office打开的文档信息
  3. 通过网盘做文件回传（利用高信誉域名bypass 流控设备）
  4. api动态调用bypass杀软静态扫描
  5. 错误调用api bypass沙盒

group123

目标：韩国

描述：

• 通过鱼叉攻击获取初次访问权限
  1. 样本采用hwp 0day获取命令执行权限.
  2. 写bat到用户启动目录实现权限维持.
  3. 启动system32\sort.exe，注入shellcode执行
  4. 反调试
  5. 检查沙箱
  6. 通过dropbox /pcloud之类的网盘回传数据

未命名

目标：巴基斯坦

描述：

• 通过钓鱼邮件获取初次访问权限.
• 附件用office 0day执行命令+windows 0day提权
• 采用http协议与c2通讯.
• 写注册表启动项做权限维持

未知

目标：乌克兰

• 采用邮件钓鱼获取初次访问权限
• 附件内触发0day执行命令
  1. 释放恶意pe文件并执行
  2. 检测杀软
  3. 检测windows defender ；Select * from Win32_Service WhereName ='WinDefend'AND StateLIKE’Running
  4. 写计划任务做权限维持
  5. 走http协议与c2通讯

---