江苏龙网

  1. 首页 > 人文 > >

360重磅揭秘:被低估的混乱军团——全新APT组织WellMess“魔鼠”


【导读】7月16日 , 美国网络安全和基础设施安全局(CISA) , 英国国家网络安全中心(NCSC) , 加拿大通信安全机构(CSE)和美国国家安全局(NSA)发布了一份联合报告 , 称APT29组织使用WellMess系列工具针对美国、英国和加拿大的新冠病毒研究和疫苗研发相关机构发动攻击 。 值得注意的是 , 报告中该重点提及的“WellMess”正是一例全新APT组织 , 2019年360安全大脑就已捕获并发现了WellMess组织一系列的APT攻击活动 , 并将其命名为“魔鼠” , 单独编号为APT-C-42 。 更为惊险的是 , 360安全大脑披露 , 从2017年12月开始 , WellMess组织便通过网络渗透和供应链攻击作战之术 , 瞄准国内某网络基础服务提供商 , 发起了定向攻击 。
神秘APT组织WellMess被揭秘!
就在刚刚 , 360安全大脑披露了一例从未被外界公开的神秘APT组织——WellMess组织 , 并将其命名为“魔鼠” , 单独编号为APT-C-42 。 从2017年12月起一直持续到2019年12月 , WellMess组织先后对某机构服务器、某网络基础服务提供商 , 进行长期的攻击渗透活动 。
360重磅揭秘:被低估的混乱军团——全新APT组织WellMess“魔鼠”
本文插图
虽然 , 2018年日本互联网应急响应中心曾报道过该组织的相关攻击活动 , 但那次只是将wellmess及其僵尸网络归为未知的Golang恶意软件 。
而这一次 , 基于WellMess组织独特攻击特点和精密攻击技战术 , 360安全大脑确定并国内首家将其定义为APT组织 。为更进一步了解这例全新的、神秘的APT组织 , 智库分为以下四问 , 依次详细解析:
【一问】WellMess组织凭何被归属于APT组织行列?
追本溯源 , 这里我们先回看下什么是APT , 据百科介绍:
APT(Advanced Persistent Threat):又名高级持续性威胁 , 是指隐匿而持久的网络入侵过程 。 其通常是出于政治、军事或经济动机 , 由国家级黑客组织精心操刀策划 , 针对特定组织或国家发动的持续性攻击 。
APT攻击具有三个特征:高级、长期、威胁 。
l 高级:强调使用复杂精密的恶意软件及技术以利用系统中的漏洞;
l 长期:暗指某个外部力量会持续监控特定目标 , 并从其获取数据;
l 威胁:则指人为的或国家级黑客参与策划的攻击 。
而根据360安全大脑披露的报告中 , 我们发现WellMess组织备其以下特点:
l 攻击能力上:擅长使用GO语言构建攻击武器 , 具备Windows和Linux双平台攻击能力;
l 攻击时长上:对目标的针对性极强 , 对目标进行了较长时间的控制;
l 攻击威胁上:攻击前期进行了周密筹划 , 针对目标和关联目标发动了供应链攻击行动 。
基于上述WellMess组织的攻击特点与APT攻击定义与关键要素基本吻合 , 所以360安全大脑认定WellMess组织为一起新的APT组织 。而在命名考量上 , 由于WellMess是一种在Golang中编程的恶意软件 , 而又因Golang语言的吉祥物为地鼠 , 与此同时“Mess”谐音 “Mise” , 故而360安全大脑将这例新APT组织命名为“魔鼠” 。
这里还有一些有趣的地方 , 报告称 , WellMess是该组织的一个核心函数名 , 经过分析其功能原本的全称含义可能为“WelcomeMessage” 。 从另一个角度看这个命名 , “Mess”单词译意为混乱 , 所以 , 这个函数名表面也许是来自攻击者表达欢迎的信息 , 而反面也可以理解为攻击者要制造“彻底的混乱” 。
【二问】WellMess组织的攻击技术有多厉害?
根据昨天 , 美国网络安全和基础设施安全局(CISA) , 英国国家网络安全中心(NCSC) , 加拿大通信安全机构(CSE)和美国国家安全局(NSA)发布的联合报告 , 我们可以看到:WellMess组织针对美国、英国和加拿大的新冠病毒研究和疫苗研发相关机构发动了攻击 。而实际上 , 360安全大脑追踪溯源发现:


推荐阅读


上一篇:“黑车”司机将辅警顶在引擎盖上加速逃逸,获刑9个月

下一篇:打野|王者荣耀制裁系统:读懂他妈妈再也不会担心我封号了