講中文的網絡間諜組織 APT10 向東南亞蔓延

在密切關注臭名昭著的網絡間諜組織APT10的活動後，卡巴斯基發現該組織針對東南亞地區的組織進行了新的感染嘗試。這家全球網絡安全公司在去年10月至12月期間以及2019年2月至5月期間，監控到新一輪的針對馬來西亞醫療和健康設施的攻擊。

針對這兩個國家實施攻擊所使用的惡意軟體與APT10之前所使用技巧不同，但是目標仍然相同——即從受感染計算機竊取憑證以及機密信息。

卡巴斯基安全研究員SuguruIshimaru透露：「我們一直在監控APT10 所進行的多項行動，尤其是在日本的攻擊行動，造成了信息洩露以及嚴重的信譽危害。他們以隱秘和大規模的網絡間諜活動而聞名，總是在渴求機密信息，甚至商業機密。現在，他們正將攻擊的地理範圍擴大到東南亞，還有可能將目光投向馬來西亞和越南的一些醫療機構和協會」。

APT10 又被稱為MenuPass、StonePanda、ChessMaster、CloudHopper和RedApollo，該間諜組織以發動高調的針對不同行業的攻擊而聞名，自2009年以來，其攻擊的行業包括信息技術行業、政府和防禦機構、通信行業、學術界、醫療和保健行業以及製藥業。

一些最新的報告還顯示研究人員在菲律賓發現了APT10感染，此外還發現該組織在歐洲、非洲、中東和亞洲針對通訊服務商進行攻擊。

該組織在網絡安全行業廣為人知，是一個說中文的網絡間諜組織。自第一次已知的攻擊以來，該間諜組織的攻擊目標行業一直在變化，他們的目標一直未變，即竊取重要信息，包括機密數據、國防情報以及企業機密。

APT10 使用試錯手段隱藏其攻擊行動

APT10過去曾因使用多種類型的遠程訪問工具(RAT)或遠程訪問木馬而聞名，這個工具包括PoisonIvy、PlugX、ChChes和Redleaves等。

2017年，卡巴斯基在越南的製藥機構中檢測到PlugX惡意軟體，用來竊取貴重的藥品配方和商業信息。這種惡意軟體通常通過魚叉式釣魚攻擊進行傳播，之前曾被其他說中文的威脅組織用來針對軍事、政府和政治機構實施攻擊。

在日本進行的惡意活動中，臭名昭著的APT使用了Redleaves——一種僅運行在內存中的無文件惡意軟體。在2016年至2018年4月期間，還使用了這種惡意軟體的變種。卡巴斯基研究人員發現了超過120種Redleaves惡意模塊及其變種，例如Himawari 和Lavender。

在Himawari樣本中，研究人員發現了醫療術語以及與醫療、保健和製藥組織相關的誘餌文件。檢測到的所有針對醫療行業的樣本都受密碼保護，從而阻止了研究人員進行進一步分析。

「2018年4月，我們發現APT10使用了一種新的手段——Zark20rk。這是Redleaves的另一個變種，但該組織背後的黑客為其更新了一些加密算法、數據結構和惡意軟體功能，添加了一些與俄羅斯相關的關鍵字符串。根據它們的行為模式，我們可以判定這是一個假旗行動，目的是迷惑監控他們行動的研究人員，」Ishimaru解釋說。

對於可能針對馬來西亞和越南醫療機構的攻擊，卡巴斯基揭露該組織已經將其主要的遠程訪問工具從Redleaves改為一種被稱為ANEL的知名後門程序。ANEL通常以包含VBA宏的受感染Word文檔進行傳播，以感染ANEL模塊。

為了進一步隱藏他們的行動，APT10在ANEL和其模塊中嵌入了一些反病毒和反逆向工程手段，例如反逆向工程的高強度加密、躲避反病毒監測的DLL側載技術、惡意軟體配置和C2(命令和控制伺服器)通訊多重加密技術以及僅運行在內存中的無文件惡意軟體，就像Redleaves一樣。

「使用密碼保護的附件、複雜的模糊技術、不斷演變的逃避檢測技巧以及使用多種算法的加密模塊，APT10無疑非常關注他們的攻擊手段。通過反覆試錯，他們在尋找感染特定目標的最佳技術。根據我們的調查結果以及他們攻擊行為的模式，醫療和保健行業絕對在該組織的攻擊範圍之內，」他補充說。

醫療保健行業對APT10的防禦

鑑於APT10所使用技術的複雜性，卡巴斯基建議醫療保健公司考慮採用超越反病毒的安全解決方案，最好是圍繞機器學習核心(目標攻擊分析器)構建的解決方案。這種解決方案結合了使用靜態、行為、雲信譽、沙盒、YARA 和基於模式的檢測引擎的高級檢測功能。

實時和全面的威脅情報服務對於組織建立對看不見的網絡攻擊的免疫力也是必要的。這些服務將提供過去和當前已知威脅攻擊者使用的策略和工具的360度視圖，從而可以更輕鬆地攔截和檢測複雜的攻擊。

關於卡巴斯基

卡巴斯基是一家成立於1997年的全球網絡安全公司。卡巴斯基不斷將深度威脅情報和安全技術轉化成最新的安全解決方案和服務，為全球的企業、關鍵基礎設施、政府和消費者提供安全保護。公司提供全面的安全產品組合，包括領先的端點保護解決方案以及多種針對性的安全解決方案和服務，全面抵禦複雜的和不斷演化的數字威脅。全球有超過4億用戶使用卡巴斯基技術保護自己，我們還幫助全球270,000家企業客戶保護最重要的東西。要了解更多詳情，請訪問www.kaspersky.com.

轉載請註明出處。