独家披露悬在政企头上的无形尖刀——蔓灵花（APT-C-08）

2019年，全球APT威胁与攻防日趋白热化，全球安全报告频繁披露各APT组织攻击行动就是有力实证。就在今年8月，360安全大脑再次率先发现一新型Android木马，并根据CC特点将其命名为SlideRAT。而在对SlideRAT深度分析后，发现该样本来自于APT组织“蔓灵花”。

此后，在对恶意样本持续且严密的监控中，360安全大脑终于在11月捕捉到SlideRAT先后瞄准中国军工行业从事人员、中国驻巴基斯坦人员，并展开定向攻击行动，严重威胁政治军工领域安全。对此，360安全大脑基于长期追踪所获情报及数据，独家发布《蔓灵花（APT-C-08）移动平台攻击活动揭露》报告，全盘披露蔓灵花（APT-C-08）组织肆虐中巴区域的攻击内情与威胁。

瞄准中巴政企及军工

定向打击窃取敏感信息

从360安全大脑追踪监测情况来看，2016年首次曝光至今，蔓灵花（APT-C-08）组织就一直针对中巴一带进行攻击活动，重点瞄准政府、军工和电力等行业相关单位，旨在窃取敏感数据，获得中巴区域情报信息，是目前针对境内目标较为活跃的海外APT组织之一。此次360安全大脑追踪到的最新攻击动向，蔓灵花（APT-C-08）组织就再次将毒手伸向中国、巴基斯坦，以及印巴交界的克什米尔区域，精准渗透党政干部、军工从业人员、赴巴基斯坦留学人员、企业客服人员等具有鲜明军政背景人群。

而在360安全大脑所追踪到的一系列攻击事件中，蔓灵花（APT-C-08）组织将SlideRAT样本伪装成军工业邮件系统辅助登录工具，预谋对一频繁出差沙特的军工业人员发起精准打击。

(某军工业邮件系统首页新手指引)

无独有偶，追溯到2016年7月，某综合性、开放式干部网络学习平台培训的用户，也成为了蔓灵花（APT-C-08）组织的攻击目标。此次攻击中，该组织伪装成某旅游公司，对攻击目标发送钓鱼短信，预谋窃取信息。让人倍感担心的是，从被攻击目标参加培训等信息推测，其极可能为该省一党政干部。

(某干部网络学院官网)

除此之外，还有赴巴基斯坦留学人员也遭遇了蔓灵花（APT-C-08）组织的精准打击。不难看出，蔓灵花（APT-C-08）组织针对军事、政治等敏感机构，意图窃取情报、进行破坏攻击的背后，是昭然若揭的政治预谋。

水坑攻击钓鱼齐上阵

蔓灵花瞄准移动平台

曾有国外安全报告显示：近年来，移动攻击已逐渐从APT组织的“新宠”演变成了“攻击标配”。而360安全大脑对蔓灵花（APT-C-08）组织所捕获的最新攻击样本，亦正印证了这一论点。

从360安全大脑公开数据来看，蔓灵花（APT-C-08）组织移动平台载荷投递的方式主要为水坑攻击和钓鱼链接，其次还会通过短信和WhatsApp进行载荷投递。2017年3月，巴基斯坦某重要工程机械、备件和土木工程项目交易公司官网，发现托管SlideRAT家族样本。2017年9月，交通运输部“智能交通技术与设备”行业研发中心、北京市企业技术中心核心支撑单位，北京一科技有限公司网络发现暗藏SlideRAT家族样本。

（水坑攻击网站）

此外，360安全大脑通过对SlideRAT进行溯源分析发现，该木马还仿冒了GooglePlay、安邮ID、旅游APP等多个合法软件进行钓鱼传播。

（钓鱼网站相关信息）

在载荷投递之外，360安全大脑对SlideRAT样本分析时发现，2016年6月蔓灵花（APT-C-08）组织既已开始使用SlideRAT发起持续性攻击。而相比于其早起使用的开源远程管理工具AndroRAT，两种RAT在代码结构和功能上存在较大差异。对比可见，早起的AndroRAT功能偏向于远程控制，而后期使用的SlideRAT则更倾向于隐私窃取。

（左为AndroRAT结构，右为SlideRAT结构）

全球APT攻防趋于白热化

网络安全威胁一触即发

值得一提的是，报告中360安全大脑详细梳理了一直以来，组织典型攻击事件，再现该组织异常活跃的攻击动向。而渐趋频繁且精准面向军工政企的APT攻击，也证实了近年全球范围内愈演愈烈地APT攻击态势。

（蔓灵花组织攻击时间线）

在APT攻击的巨浪下，不只蔓灵花（APT-C-08）组织异常活跃。2019年，一面是南美洲多国频频因网络攻击遭遇大规模断电、伊朗宣称攻击美国纽约电网；另一面则是北约举办最大网络安全演习“锁盾2019”让4000个虚拟军事系统承受了2000多次攻击、全球100多个国家成立超过200多支网军部队，全球网络安全生态摇摇欲坠。

360董事长兼CEO周鸿祎曾表示，在大安全时代，APT（高级持续威胁）是对国家安全、国防安全、社会安全、基础设施安全等最大的威胁，能够对整个国家的社会生活进行远程打击。APT攻击与过去的网络攻击不可同日而语，也与传统的热战不同。当下貌似和平已久，但战争从未远离，只是形式不同，所以我们必须用作战的视角看待网络安全，全面理解APT攻击。

全球披露发现蔓灵花（APT-C-08）

最新移动端攻击的 360烽火实验室

关于360烽火实验室，致力于Android病毒分析、移动黑产研究、移动威胁预警以及Android漏洞挖掘等移动安全领域及Android安全生态的深度研究。作为全球顶级移动安全生态研究实验室，360烽火实验室在全球范围内首发了多篇具备国际影响力的Android木马分析报告和Android木马黑色产业链研究报告。

实验室在为360手机卫士、360手机急救箱、360手机助手等提供核心安全数据和顽固木马清除解决方案的同时，也为上百家国内外厂商、应用商店等合作伙伴提供了移动应用安全检测服务，全方位守护移动安全。


来源  360安全卫士

360加油！！！

谢谢分享！