再揭祕一場陰謀！半島APT「趁勢之危」對我國商貿相關政府機構發動攻擊！陰險狡詐！

​屋漏偏逢連夜雨，船遲又遇打頭風。
禍不單行！

【導讀】1月14日，微軟正式宣告Windows 7系統中止更新。這次停服，引爆全網危機，不只順機突發全球首例複合0day漏洞——「雙星」漏洞，令國內超六成用戶曝光在其陰霾之下；更有別有用心者「趁勢追擊」，利用「雙星」發動猛攻。近期，做爲全球首家捕獲該漏洞的狙擊者——360安全大腦繼續對其分析溯源，斷定：「雙星」漏洞已被活躍近十餘年的半島APT組織Darkhotel(APT-C-06)所利用，並瞄準我國商貿相關的政府機構發動攻擊。針對此事，本文，不只對事件進行了抽絲剝繭、逐層深刻的分析，更首次獨家揭祕了該APT組織，陰險、刁滑、狡詐的攻擊手法。
　　
在開啓正文前，先向讀者交代下背景：

2020年1月14日，微軟正式宣告Windows 7系統中止更新。

在Win 7正式停服關鍵節點的首日，360安全大腦就在全球範圍內捕獲首例時利用IE瀏覽器和火狐瀏覽器兩個0day漏洞的複合攻擊，因爲是全球首家捕獲到這次攻擊，360安全大腦將其命名爲「雙星」0day漏洞攻擊，其編號分別是：CVE-2019-17026（火狐）和CVE-2020-0674（IE）。

「雙星」漏洞不只影響了最新版本的火狐瀏覽器和IE瀏覽器及使用了相關瀏覽器內核的應用程序；值得警戒的是，該漏洞可導致用戶在毫無防備的狀況下，就被植入勒索病毒，甚至被黑客監聽監控，執行竊取敏感信息等任意操做，其威脅性可謂是前所未有。

然而，別有用心者仍在「趁勢之危」。近期，360安全大腦經分析溯源斷定：「雙星」漏洞不只已被活躍十餘年的半島APT組織Darkhotel(APT-C-06)所利用，更是針對我國商貿相關的政府機構發動主要攻擊。

又一塊兒針對我國的APT攻擊,這次攻擊者是「何方妖孽」？

Darkhotel（APT-C-06），中文名爲黑店。是一個有着東亞背景，長期針對企業高管、國防工業、電子工業等重要機構實施網絡間諜攻擊活動的APT組織。其相關攻擊行動最先能夠追溯到2007年。2014年11月，被卡巴斯基實驗室的安全專家首次發現。此後，360高級威脅團隊就對該團伙的活動一直保持着持續跟蹤。

2018年4月，360安全大腦就曾在全球範圍內，率先監測到了該組織使用0day漏洞進行APT攻擊。從其溯源分析報告來看，該APT組織瞄準中、俄、日、韓等國政府及組織機構或企業單位，尤爲針對中國重點省份外貿企業單位和相關機構展開攻擊。

「一個經驗老道的慣犯」來形容Darkhotel APT組織一點不爲過！長期被國家級APT組織盯上，本就如一顆隨時可爆發的炸彈，隨時面臨一國網絡被癱瘓的風險。然而，這一次，Darkhotel APT組織還還攜「重磅利器」——「雙星」漏洞而來，於它簡直是「如虎添翼」；但於我國，簡直是惡魔夢魘的降世！

還記得WannaCry勒索病毒嗎？2017年5月12日，它利用Windows系統「永恆之藍」高危漏洞席捲全球，引爆網絡世界的「生化危機」。以迅雷不及掩耳，橫掃150國家幾十萬臺計算機，不止政府機關、高校、醫院的電腦屏幕都被「染」成了紅色，能源、通訊、交通、製造等諸多關鍵信息基礎設施也在這場風暴中，遭遇到史無前例的重創。

以致於，自那日起，它所帶來的恐懼就如不散的「陰魂」盤桓在人們的心中，久久不能散去；然而，與不斷加深恐懼相對應的是，其危害影響仍在持續。

2019年5月，也就是在WannaCry 爆發兩年以後，堪比「永恆之藍」的Bluekeep高危遠程漏洞高調來襲，一時間，全球400萬臺主機再次暴露在漏洞的暴風眼下，一旦該漏洞被黑客成功利用，世界將再次陷入不盡的黑暗。

單純利用Windows系統漏洞，就足以擁有了「毀天滅地」的力量，然而，做爲IE瀏覽器和火狐瀏覽器兩個0day漏洞的「結合體」，「雙星」漏洞所蘊含的巨大威脅性、爆發力、破壞力不敢想，不敢想！

繼醫療機構、視頻監控系統被鎖定後,這一次的攻擊者瞄準的是誰？

然而，屋漏偏逢連夜雨，船遲又遇打頭風。

6天前的熱門推文，印度APT組織攻其不備對我國醫療機構發起定向攻擊，還歷歷在目；

3天前的重磅警告，境外黑客組織又蠢蠢欲動，公然揚言欲對我國視頻監控系統痛下毒手，還縈繞在耳；

而今，半島APT組織Darkhotel又早已攜手「雙星」漏洞，對我國發動猛烈攻擊。在具體攻擊目標上，這一次，它再次瞄準與商貿相關的政府機構。

這一點很是好理解。「雙星」漏洞本就爆發於Win7停服之際，其攻擊之目標早已昭然若揭。而與此同時的關鍵是，當前我國的狀況：

第一，國內超六成用戶曝光在「雙星」漏洞陰霾之下

直至2019年10月底，國內Windows7系統的市場份額佔比仍有近6成。Windows 7的終結，無疑意味着這些龐大的用戶失去了微軟官方的全部支持，包括軟件更新、補丁修復和防火牆保障，將直面各種利用漏洞等威脅進行的攻擊。蓄謀而來的「雙星」0day漏洞也不在Windows7的修復範圍內，因此，攻擊者徹底能夠憑藉該漏洞重擊全部使用Windows 7系統的計算機，並像野火同樣蔓延至整個網絡，

第二，升級系統未歸入採購清單，Win7還是政府企事業單位主力

而另一端，出於國家安全考量，我國政府至今未將Win 八、Win 10系統歸入政府採購清單，也就是說，目前Win7仍被普遍應用於政府企事業單位中。而隨着Win7的正式停服，這些單位的系統無疑在網絡世界中裸奔。

因此，這次半島APT組織Darkhotel攜手「雙星」漏洞對商貿相關的我國政府機構發動攻擊，於它簡直是「如虎添翼」；但於我國，簡直是毀滅世界的惡魔！

第三，疫情大敵當前，醫療戰役與穩定國民經濟發展同重要

尤爲，在當前我國傾一國之力，對抗疫情的當下，除了要打贏這場醫療疫情之戰，還要在這緊要關頭穩住國民經濟的發展。此時，半島APT組織Darkhotel對我國商貿領域下手，此舉不亞於印度APT組織，它不只在攻其不備！更是居心不良！

陰險、刁滑、狡詐六字揭祕，Darkhotel APT組織如何發動攻擊？

能利用「雙星」、雙瀏覽器0day漏洞，足見Darkhotel(APT-C-06)的攻擊技術早已驟然升級，然而，在對其攻擊流程和攻擊細節分析中，發現Darkhotel APT組織更是陰險、刁滑、狡詐的代名詞。

一．陰險！多種攻擊方式相組合複合式攻擊

從攻擊流程圖上來看，「雙星」0day漏洞的攻擊是：利用office漏洞文檔、網頁掛馬和WPAD本地提權等多種攻擊方式，相組合進行的複雜組合攻擊。透過此，足見其攻擊路數之陰險！

二．刁滑！「自主」識別判斷並見機行事迫害

「雙星」漏洞是有「嗅覺」的，其網頁會判斷當前瀏覽器爲IE仍是Firefox，操做系統爲32位仍是64位；「雙星」漏洞仍是「觸覺」的，在完成斷定後，它還能根據不一樣的瀏覽器、不一樣操做系統加載相應的exploit攻擊代碼。其「道行」，可謂是刁滑！

三．殺人於無形，配合office漏洞文檔發動攻擊

攻擊者能夠直接利用雙星漏洞進行網頁掛馬攻擊，有意思的是咱們發現了一例Office漏洞文檔觸發的雙星漏洞，是默認打開IE瀏覽器進行攻擊。

在此案例中，初始攻擊使用了office公式編輯器漏洞（CVE-2017-11882），並根據目標精心製做了誘餌文檔。

一旦用戶「上鉤」，運行漏洞文檔、觸發漏洞，便會啓動公式編輯器，並利用公式編輯器進程打開IE瀏覽器，進而訪問惡意網頁，最終觸發「雙星」漏洞。

如何避免被Darkhotel APT組織荼毒？，請「對症」領取「錦囊修復建議」

一面是國家級APT利用高危漏洞的攻擊，一面是Win7系統停服官方保護體系的缺失，政企用戶安全將何去何從？尤爲是在這個特殊很是時期裏。針對此，智庫針對不一樣的瀏覽器漏洞、不一樣的操做系統提出了不一樣的應對措施：

第一， 針對火狐瀏覽器使用者：

因爲目前，火狐瀏覽器已經發布了Firefox 72.0.1 and FirefoxESR 68.4.1，因此，火狐瀏覽器用戶及相關使用機構請儘快更新到最新版本。

第二， 針對Windows系統的使用者：

廣大政企用戶可聯繫360公司獲取360安全大腦Windows 7盾甲企業版。
聯繫方式以下：
聯繫人：趙文靜；
郵箱：zhaowenjing1@360.cn；
座機 ：(010) 5244 7992；
應急 ：yingji@360.cn；

360安全大腦Windows7盾甲企業版可一鍵管理全網終端，支持Windows全平臺已知漏洞的補丁修復，結合針對漏洞威脅全新推出的360微補丁功能，在面對「雙星」0day漏洞等突發性高危漏洞時，360微補丁可經過先行自動覆蓋漏洞，解決防禦能力滯後問題，全天候守護PC安全。

正如原公安部第一研究所長嚴明在「面對Win7停服，咱們如何應對」研討會上所說，對於廣大政企用戶來講，選擇360安全大腦Win7盾甲企業版等第三方服務，無疑是當前有效避免Win7停服安全威脅的策略之一。

第三， 其餘應急措施：

限制對JScript.dll的訪問，可暫時規避該安全風險，但可能致使網站沒法正常瀏覽。

對於32位系統，在管理命令提示符處輸入如下命令：
takeown/f %windir%\system32\jscript.dll
cacls%windir%\system32\jscript.dll /E /P everyone:N

對於64位系統，在管理命令提示符處輸入如下命令：
takeown/f %windir%\syswow64\jscript.dll
cacls%windir%\syswow64\jscript.dll /E /P everyone:N
takeown/f %windir%\system32\jscript.dll
cacls%windir%\system32\jscript.dll /E /P everyone:N

實施這些步驟可能會致使依賴jscript.dll的組件功能減小。爲了獲得徹底保護，建議儘快安裝此更新。在安裝更新以前， 請還原緩解步驟以返回到完整狀態。

如何撤消臨時措施

對於32位系統，在管理命令提示符處輸入如下命令：
cacls%windir%\system32\jscript.dll /E /R everyone

對於64位系統，在管理命令提示符處輸入如下命令：
cacls%windir%\system32\jscript.dll /E /R everyone
cacls%windir%\syswow64\jscript.dll /E /R everyone

其餘資料補充：

關於360高級威脅應對團隊(360 ATA Team)：
專一於APT攻擊、0day漏洞等高級威脅攻擊的應急響應團隊，團隊主要技術領域包括高級威脅沙盒、0day漏洞探針技術和基於大數據的高級威脅攻擊追蹤溯源。在全球範圍內率先發現捕獲了包括雙殺、噩夢公式、毒針等在內的數十個在野0day漏洞攻擊，獨家披露了多個針對中國的APT組織的高級行動，團隊多人上榜微軟TOP100白帽黑客榜，樹立了360在威脅情報、0day漏洞發現、防護和處置領域的核心競爭力。

關於《Darkhotel（APT-C-06）使用「雙星」0Day漏洞（CVE-2019-1702六、CVE-2020-0674）針對中國發起的APT攻擊分析》報告連接：
http://blogs.360.cn/post/apt-...

本文爲國際安全智庫做品 （微信公衆號：guoji-anquanzhiku）
如需轉載，請標註文章來源於：國際安全智庫