意昂体育-科技赋能场景,让娱乐更有趣!

连忙拨打95015

首页 > 企业动态 > 公司新闻 > 起底国家级APT组织：肚脑虫（APT-Q-38）

起底国家级APT组织：肚脑虫（APT-Q-38）

时间：2021-11-24 作者：虎符智库

分享到：

起底国家级APT组织：肚脑虫（APT-Q-38）

本文4851字阅读约需14分钟

国家级APT（AdvancedPersistentThreat，，，，，，高级一连性威胁）组织是有国家配景支持的顶尖黑客团伙，，，，，，专注于针对特定目的举行恒久的一连性网络攻击。。。。。

意昂体育-科技赋能场景,让娱乐更有趣!旗下的高级威胁研究团队红雨滴（RedDripTeam）每年会宣布全球APT年报【1】、中报，，，，，，对昔时各大APT团伙的运动举行剖析总结。。。。。

虎符智库特约意昂体育-科技赋能场景,让娱乐更有趣!旗下红雨滴团队，，，，，，开设“起底国家级APT组织”栏目，，，，，，逐个起底全球各地区活跃的主要APT组织。。。。。本次我们依然锁定在南亚地区，，，，，，先容外地区终年活跃的另一个国家级黑客团伙：肚脑虫（DonotTeam）。。。。。

08

肚脑虫

肚脑虫是据称有南亚配景的APT组织，，，，，，其攻击运动最早由意昂体育-科技赋能场景,让娱乐更有趣!威胁情报中心于2017年率先发明并果真披露。。。。。

肚脑虫组织主要针对巴基斯坦、中国、斯里兰卡、泰国，，，，，，以及克什米尔地区等国家和地区提倡攻击，，，，，，对政府机构、国防军事部分以及商务领域主要人士实验网络特工运动。。。。。意昂体育-科技赋能场景,让娱乐更有趣!内部跟踪编号为APT-Q-38

起底国家级APT组织：肚脑虫（APT-Q-38）

配景

肚脑虫，，，，，，又名DonotTeam、SectorE02，，，，，，是一个据称有南亚配景的APT组织，，，，，，该组织的攻击运动最早由意昂体育-科技赋能场景,让娱乐更有趣!威胁情报中心于2017年率先发明并果真披露。。。。。肚脑虫组织的攻击运动最早可追溯到2016年，，，，，，迄今为止该组织一直处于活跃状态。。。。。

肚脑虫组织主要针对巴基斯坦、中国、克什米尔地区、斯里兰卡、泰国等南亚国家和地区提倡攻击，，，，，，对政府机构、国防军事部分以及商务领域主要人士实验网络特工运动。。。。。

肚脑虫组织在一些攻击运动中使用的工具特征和网络基础设施，，，，，，与南亚的其他攻击组织，，，，，，好比蔓灵花（BITTER）、摩诃草（Patchwork），，，，，，保存重叠，，，，，，不扫除这些组织由更高层级的机构向导协调的可能性。。。。。

起底国家级APT组织：肚脑虫（APT-Q-38）

2021年11月19日，，，，，，举世时报披露南亚地区的国家级APT组织

攻击手段与工具

肚脑虫组织的攻击运动涉及Windows和Android双平台。。。。。

在Windows平台上，，，，，，肚脑虫组织常用带有宏代码或者远程模板的恶意文档提倡攻击，，，，，，攻击流程一样平常为恶意文档释放中心组件，，，，，，再通过多阶段downloader下载插件执行详细的木马功效。。。。。在整个攻击流程中，，，，，，一些中心阶段的组件在进入下一阶段前会通过bat剧本执行自删除操作，，，，，，或者后一阶段的组件在执行之后会删除前一阶段的组件，，，，，，从而大大降低整个攻击流程中代码袒露的危害。。。。。别的，，，，，，肚脑虫组织在早期攻击运动中就最先以GoogleDoc文档效劳为载体转达C&C效劳器信息。。。。。

肚脑虫组织针对Android平台的恶意软件有时会团结垂纶网站举行撒播。。。。。恶意软件经常经由多方面伪装：

（1）软件图标伪装，，，，，，图标伪装为具有针对性的应用软件（好比克什米尔新闻、印度锡克教等相关应用），，，，，，或者伪装成通用型应用软件（好比VPN、谷歌效劳）；；；；；；；；

（2）运行后行为伪装，，，，，，运行后要么通过展示正常应用的功效隐藏自身，，，，，，要么通过提醒诱骗性信息（如软件已卸载）并且隐藏图标删除快捷方法以隐藏木马程序。。。。。

（一）攻击手段

1.鱼叉攻击

通过鱼叉邮件投递恶意文档是肚脑虫组织常用的一种手段。。。。。与其他攻击组织纷歧样的是，，，，，，肚脑虫组织制作的恶意文档有时间是空缺内容，，，，，，不包括与文档名相关的详细诱饵内容。。。。。该组织经常使用的恶意文档有如下几种类型：

（1）宏代码文档

通过文档中的宏代码释放后续组件并执行。。。。。宏代码往往会弹蜕化误新闻提醒框，，，，，，让受害者误以为宏代码未能乐成执行，，，，，，降低受害者小心心。。。。。

（2）远程模板文档

通过远程模板注入的方法远程加载携带CVE-2017-11882误差的文档，，，，，，然后通过误差文档释放后续组件并执行。。。。。2021年肚脑虫组织最先使用RTF文档注入远程模板，，，，，，借助RTF文档中的unicode编码方法隐藏远程模板的URL，，，，，，以绕过对URL的静态检测。。。。。

2.垂纶网站

肚脑虫组织常借助垂纶网站撒播移动端恶意软件。。。。。在首次披露的移动端攻击运动中，，，，，，肚脑虫组织构建了一个简朴的工具应用下载网页托管移动端恶意软件。。。。。肚脑虫组织还多次伪造针对巴基斯坦的在线结交网站，，，，，，并在网站中提供响应社交谈天应用的下载，，，，，，而这些应用现实上是该组织的Android木马。。。。。

（二）使用工具及手艺特征

肚脑虫组织针对Windows平台先后使用了两套独吞的恶意代码框架：EHDevel和yty，，，，，，这两套框架均支持通过插件拓展木马功效。。。。。

近年来该组织使用的恶意代码虽然一直在更新，，，，，，但整体结构并没有脱离yty框架，，，，，，该框架的结构可分为两阶段downloader和一系列功效插件：

(1)第一阶段downloader组件检测运行情形，，，，，，实现长期化，，，，，，建设具有系统隐藏属性的文件目录，，，，，，然后网络种种主机信息并回传给C&C效劳器，，，，，，再从C&C效劳器下载第二阶段downloader；；；；；；；；

(2)第二阶段downloader用于下载种种功效插件，，，，，，运行插件执行详细的木马功效。。。。。

其中yty框架的第一阶段downloader由恶意文档直接释放，，，，，，或是恶意文档先释放中心组件，，，，，，再由中心组件进一步释放或者从C&C效劳器下载。。。。。现在已知的插件功效包括：截图、键盘纪录、网络特定类型文件、浏览器敏感信息窃取、文件上传等。。。。。

肚脑虫组织针对Android平台的恶意软件通常伪装为正常应用诱使受害者装置然后隐藏运行，，，，，，该组织的Android木马获取受害者装备的地理位置、通话录音、通讯录、短信等敏感数据。。。。。肚脑虫组织一直升级移动端攻击手法，，，，，，自2020年起最先借助GoogleFirebaseCloudMessaging(FCM)效劳向恶意软件下发下载后续载荷的URL，，，，，，不但增添了隐藏性，，，，，，并且可以做到随时替换C&C效劳器以坚持对熏染装备的控制。。。。。

著名攻击事务

（一）肚脑虫组织首次曝光

2017年3月，，，，，，海内某清静厂商发明了一类定向攻击的样本，，，，，，疑似是未知的APT组织的攻击行动样本。。。。。同年6月，，，，，，意昂体育-科技赋能场景,让娱乐更有趣!威胁情报中心红雨滴团队确认并曝光了该APT组织针对巴基斯坦的定向攻击运动，，，，，，并详细剖析和披露了该组织使用的独吞的EHDevel恶意代码框架【2】。。。。。

2018年3月，，，，，，外洋清静团队ASERT继续披露了该组织新的恶意代码框架yty，，，，，，并凭证PDB路径中的机械用户名将该组织命名为Donot【3】。。。。。意昂体育-科技赋能场景,让娱乐更有趣!威胁情报中心将该APT组织正式命名为“肚脑虫”组织（Donot的音译）。。。。。

起底国家级APT组织：肚脑虫（APT-Q-38）

图1ASERT披露的yty恶意代码组件【3】

（二）移动端攻击运动首次披露

2018年8月，，，，，，肚脑虫组织针对移动端的攻击运动首次披露【4】。。。。。在此次攻击运动中，，，，，，肚脑虫组织将恶意APP伪装为如KNSLite(克什米尔新闻效劳)、VPN、谷歌效劳等应用，，，，，，并在免费在线网站平台Weebly上搭建了一个简朴的垂纶网站用于撒播恶意软件。。。。。

恶意APP最早泛起于2017年7月，，，，，，在2018年进入活跃期，，，，，，攻击目的为克什米尔地区。。。。。这些恶意APP均为Android木马，，，，，，能够响应远程攻击指令执行录音、上传联系人/通话纪录/短信等操作，，，，，，网络的受害者信息可能用于后续的鱼叉邮件和短信投递。。。。。

（三）针对在华巴基斯坦商务人士的定向攻击

2018年12月，，，，，，意昂体育-科技赋能场景,让娱乐更有趣!披露了肚脑虫组织对在我国境内的巴基斯坦主要商务人士的定向攻击运动【5】，，，，，，该轮攻击运动最早爆发在2018年5月。。。。。在此次攻击中，，，，，，攻击者继续使用恶意代码框架yty，，，，，，通过鱼叉垂纶邮件诱骗攻击目的翻开带有恶意宏代码的文档，，，，，，释放的木马对攻击目的机械举行了长时间的控制。。。。。肚脑虫组织在此攻击运动中依然让中心组件执行自删除操作，，，，，，试图镌汰攻击痕迹。。。。。

从捕获的攻击运动来看，，，，，，该组织仍以巴基斯坦相关人士作为主要攻击目的，，，，，，甚至将攻击规模扩大到包括在华的巴基斯坦职员和机构。。。。。

起底国家级APT组织：肚脑虫（APT-Q-38）

图2肚脑虫组织针对在华巴基斯坦商务人士的定向攻击流程【5】

（四）对巴基斯坦政府的鱼叉攻击

2019年3月至7月时代肚脑虫组织对巴基斯坦政府机构、国防情报部分一连实验鱼叉攻击【6】。。。。。肚脑虫组织在此次攻击后期阶段投递的诱饵文档会通过宏代码弹出“文件已损坏”等过失信息诱骗受害者，，，，，，降低受害者的小心心。。。。。

肚脑虫在这次攻击中使用的yty框架具有与针对在华巴基斯坦商务人士攻击运动中相同的特征：

（1）下载功效插件的URL名堂为“/orderme/[盘算机名]-[随机数]”，，，，，，[盘算机名]-[随机数]在木马执行时天生并生涯在文件中，，，，，，用于区分差别的熏染装备，，，，，，攻击者可以凭证URL指定特定的熏染者获取后续插件；；；；；；；；

（2）下载插件的downloader从C&C效劳器获取3种类型的响应，，，，，，划分是：“Content-Type:application”,“Content-Type:cmdline”和“Content-Type:batcmd”。。。。。

（五）印巴克什米尔冲突时代撒播Android木马

2019年4月，，，，，，意昂体育-科技赋能场景,让娱乐更有趣!高级威胁研究团队捕获到与肚脑虫组织相关的Android木马样本，，，，，，发明该组织对使用的恶意安卓APK框架举行大规模升级【7】。。。。。携带木马的恶意APP名为“KashmirVoice”(克什米尔之声)，，，，，，其时印度和巴基斯坦在克什米尔地区的摩擦加剧，，，，，，而克什米尔之声自己是用于宣传印度军方暴力行为的网站，，，，，，疑似由巴基斯坦建设，，，，，，因此该APP有很可能是针对一些会会见该网站的巴基斯坦人所全心定做。。。。。

2019年9月，，，，，，印巴在克什米尔地区冲突一直升级，，，，，，肚脑虫通过仿冒KashmirNewsService（克什米尔新闻效劳）的APP“KNS”撒播木马【8】。。。。。恶意APP运行以后，，，，，，并没有像以往一样隐藏自身图标，，，，，，而是通过仿冒KashmirNewsService（克什米尔新闻效劳）展现给用户完整的新闻APP功效，，，，，，从而让受害者定心使用，，，，，，增添自身的隐藏性。。。。。

（六）使用垂纶网站和社交软件提倡移动攻击

2020年4月，，，，，，海内清静厂商监测到肚脑虫组织通过将恶意软件伪装成在线谈天工具RapidChat，，，，，，使用垂纶网站和社交软件提倡网络攻击【9】。。。。。此次攻击运动中，，，，，，攻击者搭建了名为RapidChat在线谈天功效的垂纶网站，，，，，，网站首页先容称其为全天下巴基斯坦人最喜欢的谈天场合，，，，，，伪造了多名漫衍在天下各地巴基斯坦虚伪人物。。。。。网站还提供了响应的谈天APP软件下载。。。。。

通过该链接下载的APP软件现实上为Android木马，，，，，，此次攻击样本的恶意功效和云端执行下令与肚脑虫之前的Android平台攻击样本完全一致，，，，，，不过攻击者在此次攻击样本中添加了后台延时运行的相关包，，，，，，以支持其在高版本Android系统上实现后台运行。。。。。

（七）移动端武器库升级再度提倡攻击

2020年10月，，，，，，海内外清静厂商均发明肚脑虫组织的Android木马最先使用GoogleFirebaseCloudMessaging(FCM)效劳下发用于下载后续载荷的C&C效劳器信息【10,11】。。。。。

起底国家级APT组织：肚脑虫（APT-Q-38）

图3肚脑虫组织在移动端攻击运动中使用GoogleFCM效劳【10】

在此次攻击运动中，，，，，，肚脑虫组织使用伪装成巴基斯坦盛行的在线结交网站LoveHabibi的垂纶网站撒播恶意APP。。。。。凭证对受害者地理位置的剖析，，，，，，肚脑虫此次攻击的目的主要为巴基斯坦和克什米尔地区，，，，，，并且受害者可能包括军事配景职员。。。。。攻击中使用的恶意软件具有以下特点：

(1)攻击者可以凭证从熏染装备回传的信息选择特定受害者下载后续载荷，，，，，，镌汰了后续载荷袒露的危害；；；；；；；；

(2)借助FCM效劳下发C&C效劳器信息，，，，，，隐藏性强，，，，，，并且纵然现有C&C效劳器袒露，，，，，，攻击者也可以实时切换到新的C&C效劳器，，，，，，维持对熏染装备的控制。。。。。

总结

恒久以来，，，，，，肚脑虫组织针对南亚多国的政府、军事部分举行频仍的网络特工运动，，，，，，攻击运动具有强烈的政治配景。。。。。该组织使用的攻击手法整体上较量牢靠且具有自己的特色。。。。。

为了对抗清静软件的检测查杀和清静职员的剖析追踪，，，，，，肚脑虫组织仍在一连一直地升级更新自己的武器库和攻击手段，，，，，，以包管攻击历程的隐藏性，，，，，，镌汰后续攻击载荷袒露的危害。。。。。

由于肚脑虫组织和南亚其他攻击组织保存联系，，，，，，该组织在未来的攻击运动中可能会接纳越发多样化的攻击手法。。。。。

注解

https://ti.qianxin.com/uploads/2021/02/08/dd941ecf98c7cb9bf0111a8416131aa1.pdf

https://ti.qianxin.com/blog/articles/pakistan-targeted-apt-campaign/

https://www.netscout.com/blog/asert/donot-team-leverages-new-modular-malware-framework-south-asia

https://blogs.360.cn/post/analysis-of-apt-c-35.html

https://ti.qianxin.com/blog/articles/donot-group-is-targeting-pakistani-businessman-working-in-china/

https://redalert.nshc.net/2019/08/02/sectore02-updates-yty-framework-in-new-targeted-campaign-against-pakistan-government/

https://ti.qianxin.com/blog/articles/stealjob-new-android-malware-used-by-donot-apt-group/

https://ti.qianxin.com/blog/articles/analysis-of-the-attack-activity-of-donot-apt-organization-(bornar-Insects)-camouflage-kmisch-news-app/

https://blogs.360.cn/post/APT-C-35_target_%20at_Pakistan.html

https://blog.talosintelligence.com/2020/10/donot-firestarter.html

https://blogs.360.cn/post/APT-C-35_target_at_armed_forces_in_Pakistan.html

关于作者

意昂体育-科技赋能场景,让娱乐更有趣!红雨滴团队（RedDripTeam，，，，，，@RedDrip7），，，，，，依托全球领先的清静大数据能力、多维度多泉源的清静数据和专业剖析师的富厚履历，，，，，，自2015年一连发明多个包括海莲花在内的APT组织在中国境内的恒久运动，，，，，，并宣布海内首个组织层面的APT事务揭破报告，，，，，，开创了海内APT攻击类高级威胁系统化揭破的先河。。。。。阻止现在，，，，，，一连跟踪剖析的主要APT团伙凌驾47个，，，，，，自力发明APT组织14个，，，，，，一连宣布APT组织的跟踪报告凌驾90篇，，，，，，按期输出半年和整年全球APT运动综合性剖析报告。。。。。

相关产品

相关新闻

您对意昂体育-科技赋能场景,让娱乐更有趣!的任何疑问可用以下方法告诉我们

将您对意昂体育-科技赋能场景,让娱乐更有趣!的任何疑问

用以下方法告诉我们

联系客服提交信息网络清静效劳热线:95015

我猜您是

客户

求职者

快捷窗口

产品注册与激活

意昂体育-科技赋能场景,让娱乐更有趣!天守清静软件

顽固病毒专杀工具

旗下网站

网神

网康

手艺研究院

威胁情报中心

补天误差响应平台

NOX 清静监测

关于意昂体育-科技赋能场景,让娱乐更有趣!

意昂体育-科技赋能场景,让娱乐更有趣!简介

联系意昂体育-科技赋能场景,让娱乐更有趣!

收支口合规声明

95015效劳热线

微信公众号

Copyright ? 2014-2026 QIANXIN.COM All Rights Reserved 意昂体育-科技赋能场景,让娱乐更有趣! 京ICP备16020626号-8

京公网安备11000002002064号

隐私政策 | 网站地图

【网站地图】【sitemap】