网络间谍组织 APT10 向东南亚蔓延

在密切关注臭名昭著的网络间谍组织APT10的活动后，卡巴斯基发现该组织针对东南亚地区的组织进行了新的感染尝试。这家全球网络安全公司在去年10月至12月期间以及2019年2月至5月期间，监控到新一轮的针对马来西亚医疗和健康设施的攻击。

针对这两个国家实施攻击所使用的恶意软件与APT10之前所使用技巧不同，但是目标仍然相同——即从受感染计算机窃取凭证以及机密信息。

卡巴斯基安全研究员Suguru Ishimaru

卡巴斯基安全研究员Suguru Ishimaru透露：“我们一直在监控APT10 所进行的多项行动，尤其是在日本的攻击行动，造成了信息泄露以及严重的信誉危害。他们以隐秘和大规模的网络间谍活动而闻名，总是在渴求机密信息，甚至商业机密。现在，他们正将攻击的地理范围扩大到东南亚，还有可能将目光投向马来西亚和越南的一些医疗机构和协会”。

APT10 又被称为MenuPass、StonePanda、ChessMaster、Cloud Hopper和Red Apollo，该间谍组织以发动高调的针对不同行业的攻击而闻名，自2009年以来，其攻击的行业包括信息技术行业、政府和防御机构、通信行业、学术界、医疗和保健行业以及制药业。

一些最新的报告还显示研究人员在菲律宾发现了APT10感染，此外还发现该组织在欧洲、非洲、中东和亚洲针对通讯服务商进行攻击。

该组织在网络安全行业广为人知，是一个说中文的网络间谍组织。自第一次已知的攻击以来，该间谍组织的攻击目标行业一直在变化，他们的目标一直未变，即窃取重要信息，包括机密数据、国防情报以及企业机密。

APT10 使用试错手段隐藏其攻击行动

APT10过去曾因使用多种类型的远程访问工具（RAT）或远程访问木马而闻名，这个工具包括Poison Ivy、PlugX、ChChes和Redleaves等。

2017年，卡巴斯基在越南的制药机构中检测到PlugX恶意软件，用来窃取贵重的药品配方和商业信息。这种恶意软件通常通过鱼叉式钓鱼攻击进行传播，之前曾被其他说中文的威胁组织用来针对军事、政府和政治机构实施攻击。

在日本进行的恶意活动中，臭名昭著的APT使用了Redleaves ——一种仅运行在内存中的无文件恶意软件。在2016年至2018年4月期间，还使用了这种恶意软件的变种。卡巴斯基研究人员发现了超过120种Redleaves恶意模块及其变种，例如Himawari 和 Lavender。

在Himawari样本中，研究人员发现了医疗术语以及与医疗、保健和制药组织相关的诱饵文件。检测到的所有针对医疗行业的样本都受密码保护，从而阻止了研究人员进行进一步分析。

“2018年4月，我们发现APT10使用了一种新的手段——Zark20rk。这是Redleaves的另一个变种，但该组织背后的黑客为其更新了一些加密算法、数据结构和恶意软件功能，添加了一些与俄罗斯相关的关键字符串。根据它们的行为模式，我们可以判定这是一个假旗行动，目的是迷惑监控他们行动的研究人员，”Ishimaru解释说。

对于可能针对马来西亚和越南医疗机构的攻击，卡巴斯基揭露该组织已经将其主要的远程访问工具从Redleaves改为一种被称为ANEL的知名后门程序。ANEL通常以包含VBA宏的受感染Word文档进行传播，以感染ANEL模块。

为了进一步隐藏他们的行动，APT10在ANEL和其模块中嵌入了一些反病毒和反逆向工程手段，例如反逆向工程的高强度加密、躲避反病毒监测的DLL侧载技术、恶意软件配置和C2（命令和控制服务器）通讯多重加密技术以及仅运行在内存中的无文件恶意软件，就像Redleaves一样。

“使用密码保护的附件、复杂的模糊技术、不断演变的逃避检测技巧以及使用多种算法的加密模块，APT10无疑非常关注他们的攻击手段。通过反复试错，他们在寻找感染特定目标的最佳技术。根据我们的调查结果以及他们攻击行为的模式，医疗和保健行业绝对在该组织的攻击范围之内，”他补充说。

医疗保健行业对APT10的防御

鉴于APT10所使用技术的复杂性，卡巴斯基建议医疗保健公司考虑采用超越反病毒的安全解决方案，最好是围绕机器学习核心（目标攻击分析器）构建的解决方案。这种解决方案结合了使用静态、行为、云信誉、沙盒、YARA 和基于模式的检测引擎的高级检测功能。

实时和全面的威胁情报服务对于组织建立对看不见的网络攻击的免疫力也是必要的。这些服务将提供过去和当前已知威胁攻击者使用的策略和工具的360度视图，从而可以更轻松地拦截和检测复杂的攻击。