1、也发现了相同的解密算法。 2. PDB 路径路径 本次攻击中所使用的样本,其 PDB 路径中含有“Retro” ,这是 Retro 木马的特征。 家族类型家族类型 Retro MD5 *113be2 PDB 路径路径 C:workspaceRetroDLL-injected-explorerzlib1.pdb 3. 中招用户中招用户 我们在追溯中招用户的过程中,发现在某一受害机器上存在大量与 APT-C-06 组织相关 的同源样本。 按时间顺序来看这些样本的话, 可以清楚地看到相关恶意程序的进化演变过程。 该受害用户从 2015 年起就一直受到 APT-C-06 组织不间断的攻击,最初的样本可
2、以关联到 DarkHotel,后被 Lurker 木马攻击,最近又被利用“双杀”0day 漏洞(CVE-2018-8174)的恶 意程序攻击。 第八章第八章 总结总结 APT-C-06 组织是一个长期活跃的境外 APT 组织,其主要目标为中国和其他国家。攻击 活动主要目的是窃取敏感数据信息进行网络间谍攻击,其中 DarkHotel 的活动可以视为 APT-C-06 组织一系列攻击活动之一。 在针对中国地区的攻击中,该组织主要针对政府、科研领域进行攻击,且非常专注于某 特定领域,相关攻击行动最早可以追溯到 2007 年,至今还非常活跃。从我们掌握的证据来 看该组织有可能是由境外政府支持的黑客团体
3、或情报机构。 该组织针对中国的攻击时间已经长达 10 年之久,攻击使用的漏洞和后门技术在不断演 进中。根据我们 2017 年捕获到的数据来看,该组织对我国的攻击主要集中在某些外贸产业 活跃的重点省份, 主要对外贸易相关的机构和关联机构为攻击目标, 进一步窃取相关的机密 数据,对目标进行长期的监控。 在十数年的网络攻击活动中,该组织多次利用 0day 漏洞发动攻击,且使用的恶意代码 非常复杂,相关功能模块达到数十种,涉及恶意代码数量超过 200 个。2018 年 4 月,360 核心安全事业部高级威胁应对团队在全球范围内率先监控到了该组织使用 0day 漏洞的 APT 攻击,进而发现了全球首例利
4、用浏览器 0day 漏洞的新型 Office 文档攻击。 360 核心安全事业部高级威胁应对团队在捕获到这一使用 0day 漏洞的 APT 攻击后,第 一时间向微软进行了信息共享并披露了该漏洞细节。在 5 月 8 日微软官方安全补丁发布后, 我们发布本文对此次攻击事件进行了详实的披露与分析。 附录附录 部分部分 IOC DOC *3c8901 HTML *1e71e7 PE *113be2 *0d223b *875a5e *662268 *9b7eb4 C&C * *.*.*.242 URL http:/* http:/* 参考参考 360 追日团队(Helios Team) 360 追日团队
5、(Helios Team)是 360 科技集团下属高级威胁研究团队,从事 APT 攻击 发现与追踪、互联网安全事件应急响应、黑客产业链挖掘和研究等工作。团队成立于 2014 年 12 月,通过整合 360 公司海量安全大数据,实现了威胁情报快速关联溯源,独家首次发 现并追踪了三十余个 APT 组织及黑客团伙,大大拓宽了国内关于黑客产业的研究视野,填 补了国内 APT 研究的空白,并为大量企业和政府机构提供安全威胁评估及解决方案输出。 已公开 APT 相关研究成果 发布时间发布时间 报告名称报告名称 组织编号组织编号 报告链接报告链接 2015.05.29 海莲花:数字海洋的游猎者 持续 3 年
6、的网络空间威胁 APT-C-00 .php/2015/05/29/apt-c-00/ 2015.12.10 007 黑客组织及地下黑产活动分 析报告 /file/Hook007.pdf 2016.01.18 2015年中国高级持续性威胁APT 研究报告 .php/2016/01/18/apt2015/ 2016.05.10 洋葱狗:交通能源的觊觎者 潜伏 3 年的定向攻击威胁 APT-C-03 .php/2016/05/10/apt-c-03/ 2016.05.13 DarkHotel 定向攻击样本分析 APT-C-06 tail/2869.html 2016.05.30 美人鱼行动:长达 6
7、 年的境外定 向攻击活动揭露 APT-C-07 .php/2016/05/30/apt-c-07/ 2016.06.03 SWIFT 之殇:针对越南先锋银行 的黑客攻击技术初探 tail/2890.html 2016.07.01 人面狮行动 中东地区的定向攻击活动 APT-C-15 .php/2016/07/01/apt-c-15/ 2016.07.21 台湾第一银行 ATM 机“自动吐 钱”事件分析 /3374.html 2016.08.04 摩诃草组织 来自南亚的定向攻击威胁 APT-C-09 .php/2016/08/04/apt-c-09/ 2016.08.09 关于近期曝光的针对银行
8、 SWIFT 系统攻击事件综合分析 .php/2016/08/25/swift/ 2016.11.15 蔓灵花攻击行动(简报) .php/2016/11/04/bitter/ 2017.02.13 2016 年中国高级持续性威胁研 究报告 .php/2017/02/13/2016_apt_repo rt/ 2017.03.09 双尾蝎 伸向巴以两国的毒针 APT-C-23 .php/2017/03/09/twotailedscorp ion/ 联系方式 邮箱:360zhuiri 微信公众号:360 追日团队 扫描右侧二维码关微信公众号 万元2152.362.1.1.1土建工程投资占比万元40.
9、62%2.1.2设备投资万元1688.682.1.2.1设备投资占比31.87%2.1.3其它投资万元329.932.1.3.1其它投资占比6.23%2.1.4固定资产投资占比78.71%2.2流动资金万元1127.902.2.1流动资金占比21.29%3收入万元9603.004总成本万元7427.645利润总额万元2175.366净利润万元1631.527所得税万元1.608增值税万元300.059税金及附加万元99.6610纳税总额万元943.5511利税总额万元2575.0712投资利润率41.05%13投资利税率48.60%14投资回报率30.79%15回收期年4.7516设备数量台(套)9517年用电量千瓦时1212190.6718年用水量立方米3461.0719总能耗吨标准煤149.2820节能率27.09%21节能量吨标准煤39.6822员工数量人134
