事件
奇安信威胁情报中心红雨滴团队最近在回滚沙箱数据时,发现了一封格式异常的eml邮件:
邮件标题为“《주요기사》 김정은원수님께서 이란이슬람공화국 제1부대통령에게 조전을 보내시였다”,翻译成中文为“《主要新闻》元帅向伊朗伊斯兰共和国第一副总统致电”,邮件正文内容如下:
中文翻译如下:
攻击者以半岛某国的视角向伊朗因意外事故去世的总统表示哀悼,邮件正文中还引用了某个报纸网站的文章链接。通过对0day触发代码进行解密,我们最终确认攻击者归属于我们多次在年报中[1][2]提到的APT-Q-15组织。
技术细节
与以往东北亚组织将攻击代码嵌入到正文中不同,本次活动中APT-Q-15将XSS代码插入到EML格式文件中。
当受害者在特定情境下打开邮件时瞬间触发利用代码,将Cookie上传到C2服务器上,攻击者可以快速的获取受害邮箱中的联系人和所有邮件。由于收件人被删除,我们无法得知具体的受害信息。但是APT-Q-15和APT37作为两个同一语种不同地区的威胁行为团体,攻击目标互为镜像。
威胁团体画像
APT37
APT-Q-15
攻击目标
中韩贸易人员和在中朝鲜人
中朝贸易人员和在韩国的中国企业
攻击手法
通用鱼叉
0day鱼叉
攻击节奏
持续社工寻求长期控制
攻击周期短,使用0day快速获取数据
TTP****水平
多段下载者,部分手法模仿APT-Q-15
首次使用多种类型的新技术绕过杀软
红雨滴沙箱迄今为止一共捕获了10多个的境外APT在野0day攻击活动,其中让我们印象深刻的是2022年和2024年东北亚地区针对移动端安卓平台的两个0day漏洞,如果去年针对iOS系统的Operation Triangulation为T0水平的攻击,那么东北亚地区针对安卓平台的攻击可以达到T1水平。
目前移动端杀毒软件的用户安装率呈下降趋势,针对该平台的高级威胁变得越来越难以检测。然而,与过去相比,针对移动端的攻击需求和攻击频率呈现上升趋势,这将不可避免地扩大攻防之间的差距。
红雨滴沙箱介绍
红雨滴云沙箱是威胁情报中心红雨滴团队基于多年的APT高级攻防对抗经验、安全大数据、威胁情报等能力,使用软、硬件虚拟化技术开发实现的真正的“上帝模式”高对抗沙箱,协助奇安信威胁情报中心及相关安服和客户发现了多个在野0day漏洞攻击、nday漏洞攻击,和无数计的APT攻击线索及样本,是威胁情报数据产出的重要基石,并被业内权威威胁分析厂商VirusTotal所集成。
总结
目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等,都已经支持对此类攻击的精确检测。
IOC
有关APT-Q-15和APT37过去三年活动的商业报告请联系奇安信威胁情报中心(ti.qianxin.com)
参考链接
[1].https://ti.qianxin.com/uploads/2024/02/02/dcc93e586f9028c68e7ab34c3326ff31.pdf
[2].https://ti.qianxin.com/uploads/2023/03/20/396eaf4482e610119ce0cdcd7526c945.pdf
点击阅读原文至ALPHA 7.0
即刻助力威胁研判