美國軟件安全初創(chuàng)企業(yè) ProtectWise 公司威脅研究與分析團(tuán)隊(duì)（401TRG）近期發(fā)布一份45頁的分析報(bào)告指出，中國的 Winnti Umbrella 黑客組織以 IT 員工為目標(biāo)，正不斷調(diào)整自身策略且高度依賴魚叉式網(wǎng)絡(luò)釣魚——而非傳統(tǒng)惡意軟件——實(shí)施入侵，報(bào)告認(rèn)為這些網(wǎng)絡(luò)活動(dòng)旨在收集合法軟件廠商代碼簽名證書以支持后續(xù)供應(yīng)鏈攻擊。

黑客組織Winnti Umbrell

Winnti Umbrella （簡稱Winnti，亦被稱為 Axiom 或 APT17）。

2013年，卡巴斯基實(shí)驗(yàn)室發(fā)現(xiàn)了 Winnti，該組織當(dāng)時(shí)的攻擊目標(biāo)主要是網(wǎng)絡(luò)游戲行業(yè)，且實(shí)際上從2009年開始就對網(wǎng)絡(luò)游戲行業(yè)公司發(fā)動(dòng)攻擊，竊取由合法軟件供應(yīng)商簽發(fā)的數(shù)字證書，此外還會(huì)竊取知識產(chǎn)權(quán)內(nèi)容，包括在線游戲項(xiàng)目的源代碼。得到源代碼后，該組織通常將其放到中國黑市進(jìn)行兜售，或是直接用到這些源代碼制作山寨游戲來以此獲利。

2015年，Winnti 組織的攻擊目標(biāo)已經(jīng)不再僅限于網(wǎng)絡(luò)游戲公司，還包括電信和大型制藥公司。

ProtectWise 公司研究人員對 Winnti 黑客組織多年來長期使用的 TTP（即戰(zhàn)術(shù)、技術(shù)與程序）進(jìn)行了分析。Winnti 這一名稱源自該黑客組織使用的主要工具之一：Winnti 后門。

Winnti Umbrella 黑客集團(tuán)正成為惡意勢力的熔爐

此前曾有多個(gè)獨(dú)立黑客組織也曾使用與原 Winnti 黑客組織相同的戰(zhàn)術(shù)與基礎(chǔ)設(shè)施。經(jīng)過對運(yùn)營錯(cuò)誤以及舊有攻擊基礎(chǔ)設(shè)施的重復(fù)利用行動(dòng)進(jìn)行多年觀察之后，研究人員們總結(jié)稱此前被認(rèn)定為獨(dú)立高級持續(xù)性威脅（APT）組織的 BARIUM、Wicked Panda、GREF 以及 PassCV 等，似乎共享部分 Winnti 技術(shù)成果及其基礎(chǔ)設(shè)施。

401TRG 研究人員指出，“TTP、基礎(chǔ)設(shè)施以及工作鏈觀察結(jié)果顯示，各個(gè)黑客組織之間似乎存在一些交集。

Winnti 黑客組織以 IT 人員為主要目標(biāo)

報(bào)告顯示，目前 Winnti Umbrella 集團(tuán)的各 APT 組織似乎表現(xiàn)出常見的入侵/行動(dòng)模式：

攻擊者似乎更傾向于通過魚叉式釣魚攻擊滲透單一目標(biāo)，這些黑客組織主張收集憑證并登錄賬戶，而非利用惡意軟件建立初始立足點(diǎn)。

401TRG 研究人員在對2017年的安全事件進(jìn)行回顧時(shí)表示，他們觀察到一系列針對人力資源與招聘經(jīng)理、IT 員工以及內(nèi)部信息安全人員的魚叉式網(wǎng)絡(luò)釣魚攻擊，而且還很奏效。

攻擊者們專注于收集網(wǎng)絡(luò)憑證，而后借此在企業(yè)內(nèi)部實(shí)現(xiàn)橫向移動(dòng)。

在此之后，攻擊者們使用一種名為“就地取材（living off the land）”的技術(shù)，即利用本地安裝的應(yīng)用實(shí)現(xiàn)惡意目的。此類入侵活動(dòng)中常用的工具包括標(biāo)準(zhǔn) Windows 工具程序，外加 Metasploit 與 Cobalt Strike 等滲透測試工具。

另外，攻擊者只在必要時(shí)才部署惡意軟件，以免自身行跡暴露，進(jìn)而失去在目標(biāo)網(wǎng)絡(luò)中的立足點(diǎn)。

2018年3月該組織出現(xiàn)致命疏忽

報(bào)告指出，這些黑客組織的戰(zhàn)術(shù)在2018年出現(xiàn)輕微轉(zhuǎn)變，黑客利用釣魚郵件來企圖獲得有企業(yè)敏感信息的 Office 365和Gmail 賬號，實(shí)際目標(biāo)仍然集中在 IT 人員群體當(dāng)中，其目的或希望訪問內(nèi)部網(wǎng)絡(luò)中的工作站設(shè)備。在此過程中，它們犯下了嚴(yán)重的安全錯(cuò)誤，暴露了核心行動(dòng)信息：

大多數(shù)情況下攻擊者會(huì)用它們的遙控服務(wù)器來隱藏自己真實(shí)IP地址。但在少數(shù)場合中，攻擊者錯(cuò)誤地直接訪問了肉雞，沒有利用這些代理。

大多網(wǎng)絡(luò)活動(dòng)在獲取代碼簽名證書

研究人員們表示，這些黑客組織在攻擊當(dāng)中，主要關(guān)注對代碼簽名證書、源代碼以及內(nèi)部技術(shù)文檔的竊取，他們還可能試圖操縱虛擬經(jīng)濟(jì)以獲取經(jīng)濟(jì)利益。雖然尚未得到證實(shí)，但其以金融組織作為次要目標(biāo)的作法很可能意味著其希望通過攻擊活動(dòng)獲取收益。

研究人員們認(rèn)為，代碼簽名證書竊取似乎正是 Winnti Umbrella 黑客集團(tuán)下各 APT 組織所設(shè)定的一大“共同目標(biāo)”。為了奪取代碼簽名證書，黑客們將攻擊重點(diǎn)放在位于美國、日本、韓國以及中國本土的各軟件與游戲企業(yè)身上，因?yàn)榇祟惤M織往往更可能持有此類證書。

Winnti或正在策劃供應(yīng)鏈攻擊

研究人員認(rèn)為，Winnti Umbrella 黑客組織正在收集資源并策劃供應(yīng)鏈攻擊，例如以惡意軟件感染官方軟件，這是因?yàn)橹灰钟杏行У拇a簽名證書，此類活動(dòng)就能成功騙過安全監(jiān)管人員的眼睛。

報(bào)告認(rèn)為，中國的黑客組織或已經(jīng)開始有所行動(dòng)，2017年 Winnti 黑客組織曾入侵韓國軟件開發(fā)商 NetSarang，并在其網(wǎng)絡(luò)管理工具中秘密植入了后門 ShadowPad，攻擊者可借此完全掌握 NetSarang 從客戶的服務(wù)器。而后門ShadowPad與 Winnti 后門以及類似的叫 PlugX 的后門有一定的相似性?？ò退够硎局阅馨l(fā)現(xiàn) ShadowPad，是因?yàn)橐粋€(gè)在財(cái)經(jīng)行業(yè)的合作伙伴發(fā)現(xiàn)一臺用來轉(zhuǎn)賬業(yè)務(wù)的電腦在發(fā)出詭異的域名查看請求。在當(dāng)時(shí)， NetSarang的工具被數(shù)百家銀行，能源和醫(yī)藥企業(yè)使用。

另一份報(bào)告強(qiáng)調(diào)稱，云服務(wù)供應(yīng)商在黑客的攻擊視野中也越來越多地成為一類重要目標(biāo)。攻擊者在獲得目標(biāo)云服務(wù)的訪問權(quán)之后會(huì)搜索內(nèi)部網(wǎng)絡(luò)的文件和工具，從而遠(yuǎn)程訪問企業(yè)內(nèi)部網(wǎng)絡(luò)。通常，攻擊者在成功獲取訪問權(quán)后會(huì)用自動(dòng)工具來掃描內(nèi)部網(wǎng)絡(luò)，查找開放端口80、139、445、6379、8080、20022 和 30304。