360烽火實驗室：警惕新型APT移動端跨越攻擊

2016年6月，360追日團隊首次發現並命名了一家針對敘利亞地區進行網路攻擊的跨平台APT組織APT-C-27「黃金鼠」，隨後對該組織的攻擊行動、攻擊方式及特徵代碼進行了分析及預警。今年7月12日，360烽火實驗室在監測黃金鼠組織的攻擊活動過程中，發現其新版本的移動端手機攻擊樣本首次具備了針對PC的RAT誘導跨越攻擊，開啟了移動端手機跨越攻擊的「潘多拉魔盒」。

APT攻擊與黃金鼠的由來

APT是高級持續性威脅（advanced persistent threat）的縮寫，指的是一種利用先進攻擊手段對特定目標進行長期持續性網路攻擊的攻擊形式。相較於普通的黑客攻擊，APT的攻擊所利用的系統漏洞更加複雜和精密，多針對特定組織或國家等高價值目標，實施有組織、有預謀的策划行動以獲取商業或政治利益。而無論是出於何種目的，APT攻擊都會對國家安全構成嚴重的潛在威脅。

「黃金鼠」的主要攻擊區域

2016年6月，360追日團隊首次注意到APT-C-27這個組織涉及的PC端惡意代碼並展開關聯分析，通過大數據關聯分析發現相關攻擊行動最早可以追溯到 2014年11月。該組織以竊取敏感信息為目的，長期攻擊敘利亞及其周邊軍事機構和政府，熟悉阿拉伯語，是一夥具有高度組織化、專業化的黑客組織。根據上述特徵，360威脅情報中心將APT-C-27組織命名為「黃金鼠」——一種生活在敘利亞沙漠地區的野生倉鼠。

藏在手機相冊中PC攻擊

以U盤、移動硬碟為代表的移動存儲介質，因其體積小、容量大等特點常被用於信息的交換與保存，無論是個人、企業還是政府部門都離不開他們。但因移動存儲介質的安全性較低，每當出現一種新型的移動存儲介質之後總會有一系列隨之而來的攻擊事件發生。曾經轟動全國的「熊貓燒香」病毒和微軟重金懸賞的「Conficker」病毒，均依靠Windows系統的自動運行功能而肆虐網路。自2011年微軟屏蔽了除光碟外的其它存儲介質的自動運行功能之後，這種利用自動運行特性進行傳播的病毒將目光轉到了當下保有量巨大的智能手機身上。

隨著目前智能手機內存空間不斷提升，加之不少平台的智能機都可以通過USB連接線或無線的方式接入電腦實現移動存儲功能，不少人都將手機作為隨身的移動存儲介質來完成像文件的傳輸和分享等行為。今年4月份，360烽火實驗室在監測「黃金鼠」組織的攻擊活動過程中，發現其新版本的移動端手機攻擊樣本首次具備了針對PC的RAT誘導跨越攻擊的能力。

360烽火實驗室通過對攻擊樣本的分析對比發現，新版本的移動端手機攻擊樣本除了保留原版的移動端RAT功能之外，此次攻擊新增移動存儲介質誘導攻擊方式，首次實現了從移動端到PC端的攻擊跨越。在攻擊方式上，該攻擊可以在手機端釋放出隱藏在手機相冊文件夾下的擴展名為「.RIF」（MS-DOS程序的快捷方式）的文件，可直接在PC平台運行。用戶若將受到移動端攻擊的目標手機接入電腦瀏覽照片，一旦被誘導觸發到偽裝後的「圖片目錄」，即運行起該PE RAT攻擊文件，從而使PC遭受RAT攻擊。

在越來越離不開智能手機的當下，我們不僅要做好手機資料的安全防護，同時也要警惕手機內的攻擊程序通過USB連接或無線傳輸的威脅PC端乃至整個區域網的信息安全。廣大企業及政府部門在做好自身的安全防護的同時，也要加強內部人員的個人安全意識教育，不要在辦公網路環境中輕易打開、下載或運行哪怕是熟人發來的第三方來源內容。同時企業或政府部門也應建立完善的網路隔離防護機制，對重要設備進行硬體隔離防護，使用可信的企業版軟硬體安全防護產品，定期數據隔離備份等。

360安全團隊在行動

從2014年11月起至今，黃金鼠組織（APT-C-27）對敘利亞地區展開了有組織、有計劃、有針對性的長時間不間斷攻擊。攻擊平台從開始的Windows平台逐漸擴展至Android平台，跨平台組合攻擊的新型APT攻擊方式已經形成。

除了「黃金鼠」之外，以360追日團隊為代表的360安全團隊近年來還先後發現及追蹤了「蔓靈花」、「摩訶草」、「人面獅」等多個海外黑客組織，有力的維護了我國政府、科研及其他機構的信息安全。隨著國家「一帶一路」等大戰略的逐步推進，未來也將有更多的黑客團伙通過APT攻擊等手段妄圖竊取相關情報或實施破壞行為，360安全團隊將繼續以信息安全為使命，通過技術手段維護國家及廣大網民的利益。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！