長(zhǎng)期入侵南亞多國(guó)的印度黑客組織“幼象”攻擊轉(zhuǎn)向中國(guó)

　　中國(guó)網(wǎng)絡(luò)安全廠商安天科技集團(tuán)近日發(fā)布長(zhǎng)篇分析報(bào)告《“幼象”組織在南亞地區(qū)的網(wǎng)絡(luò)攻擊活動(dòng)分析》，披露一個(gè)長(zhǎng)期入侵南亞多國(guó)的印度黑客組織，該組織近期將攻擊目標(biāo)轉(zhuǎn)向攻擊中國(guó)。

　　根據(jù)安天科技集團(tuán)副總工程師李柏松介紹“該組織早期活動(dòng)是在2017年，當(dāng)時(shí)安天捕獲了了一批針對(duì)南亞地區(qū)國(guó)家政府、軍事、國(guó)防等部門(mén)的規(guī)模性定向網(wǎng)絡(luò)攻擊。該組織有自己的一套相對(duì)獨(dú)立的攻擊資源和攻擊工具，但當(dāng)時(shí)攻擊能力相對(duì)比較初級(jí)，可能是一個(gè)新組建的攻擊團(tuán)隊(duì)，技術(shù)能力上尚不成熟。因此將這個(gè)

圖 1-1幼象組織不同攻擊技術(shù)首次被發(fā)現(xiàn)的時(shí)間軸和對(duì)應(yīng)攻擊的目標(biāo)國(guó)家

　　近5年以來(lái)，該組織向南亞國(guó)家和中國(guó)發(fā)動(dòng)了多各攻擊波次：

　　2017年中開(kāi)始，向巴基斯坦、斯里蘭卡等國(guó)家的軍隊(duì)、政府機(jī)構(gòu)投遞針對(duì)性的自解壓攻擊文件。

　　2017年底開(kāi)始，向巴基斯坦、尼泊爾等國(guó)家的教育、政府機(jī)構(gòu)投遞Office文檔攻擊文件。

　　2018年底開(kāi)始，向巴基斯坦等國(guó)家的軍隊(duì)投遞針對(duì)性的隔離網(wǎng)滲透木馬。

　　2019年中開(kāi)始，向南亞眾多國(guó)家發(fā)起針對(duì)性的大規(guī)模釣魚(yú)網(wǎng)站攻擊。

　　2019年底開(kāi)始，向巴基斯坦、斯里蘭卡等國(guó)家的軍隊(duì)投遞LNK類(lèi)攻擊文件。

　　2020年底開(kāi)始，向尼泊爾等國(guó)家政治相關(guān)目標(biāo)投遞惡意的安卓木馬。

　　2021年中旬，向中國(guó)的相關(guān)機(jī)構(gòu)進(jìn)行情報(bào)竊取的定向攻擊活動(dòng)。

　　本報(bào)告對(duì)2020年至今發(fā)現(xiàn)的幼象組織攻擊活動(dòng)、手法和工具做一定程度的總結(jié)，整體活動(dòng)的特征可簡(jiǎn)要總結(jié)如下表：

　　表1-1 整體攻擊活動(dòng)特征總結(jié)攻擊時(shí)間

　　在過(guò)去四年中，‘幼象’攻擊活動(dòng)的規(guī)模數(shù)量逐年倍增，攻擊手法和攻擊資源逐漸豐富，攻擊目標(biāo)也從初期僅為南亞地區(qū)開(kāi)始覆蓋更多的地區(qū)。2021年，該組織開(kāi)始向中國(guó)的相關(guān)機(jī)構(gòu)進(jìn)行情報(bào)竊取的定向攻擊活動(dòng)。該組織采取的攻擊方式包括搭建釣魚(yú)網(wǎng)站、使用惡意安卓應(yīng)用程序攻擊手機(jī)，用Python等語(yǔ)言編寫(xiě)的木馬竊取電腦上的各種文檔文件、瀏覽器緩存密碼和其他一些主機(jī)系統(tǒng)環(huán)境信息。

　　此次披露的文件中，最為重要的一點(diǎn)是：“幼象”攻擊者在2020-11-23至2020-11-24期間一共向國(guó)際公開(kāi)的安全資源上傳了8個(gè)測(cè)試性的惡意文件，來(lái)測(cè)試木馬逃逸殺毒軟件的能力，但也因此暴露了其所在位置。安天CERT通過(guò)對(duì)攻擊者的載荷、使用的C2等攻擊基礎(chǔ)設(shè)施等進(jìn)行關(guān)聯(lián)拓線，確認(rèn)些測(cè)試文件與已知的‘幼象’樣本在代碼內(nèi)容上也存在高度同源。并且通過(guò)資源檢索，至少一名樣本的上傳者來(lái)自印度德里。

圖 1-2幼象攻擊組織載荷與C2等攻擊基礎(chǔ)設(shè)施關(guān)聯(lián)圖(部分)

　　相對(duì)于“幼象”早期比較初級(jí)的攻擊活動(dòng)，如今該組織已成長(zhǎng)為南亞地區(qū)最為活躍和成熟的攻擊組織，已經(jīng)成為了南亞乃至整個(gè)亞太重要的網(wǎng)絡(luò)安全威脅，從攻擊活躍的頻度來(lái)看，目前已有替代同源的白象、苦象組織的趨勢(shì)，未來(lái)很有可能成為南亞的主要攻擊組織，需要對(duì)其進(jìn)行重點(diǎn)跟蹤和關(guān)注。從目前看到的攻擊裝備圖譜上看，其攻擊載荷工具體系性不強(qiáng)，技術(shù)棧相對(duì)龐雜混亂，高度依賴社會(huì)工程學(xué)技巧，尚未看到具備0DAY漏洞的挖掘和利用能力，甚至很少看到對(duì)已知漏洞的使用。但這并不表明，幼象帶來(lái)的攻擊就是低成功率的。這種攻擊能力一定真實(shí)反應(yīng)了被攻擊方真實(shí)的低水平防護(hù)和較弱的人員安全意識(shí)。

　　李柏松指出“高級(jí)持續(xù)性威脅(APT)攻擊是由帶有政治經(jīng)濟(jì)背景的組織發(fā)動(dòng)，面向高價(jià)值目標(biāo)定向發(fā)動(dòng)的網(wǎng)路攻擊活動(dòng)，其中持續(xù)性體現(xiàn)了攻擊方的戰(zhàn)略意圖和作業(yè)意志，是分析判斷APT攻擊的關(guān)鍵要素。而從攻擊的高級(jí)性來(lái)看，攻擊方并不需要絕對(duì)“高級(jí)”的攻擊技術(shù)，只要能構(gòu)建出相對(duì)于防御水平包括意識(shí)短板的“位勢(shì)差”或與攻擊方脆弱性敞口碰撞點(diǎn)，就能形成有效的攻擊。

　　李柏松說(shuō)：“這種攻擊能頻繁奏效，實(shí)際上真實(shí)體現(xiàn)了南亞國(guó)家、包括更多發(fā)展中國(guó)家真實(shí)的面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)挑戰(zhàn)。該組織攻擊目標(biāo)也從初期僅為南亞地區(qū)開(kāi)始指向中國(guó)境內(nèi)。這與2013年后南亞“白象”組織攻擊目標(biāo)重點(diǎn)逐漸從南亞地區(qū)遷移至中國(guó)有類(lèi)似之處。我們必須保持高度警惕”