APT30非常擅長執行長期的網絡攻擊活動，并且從2005年開始，這個黑客組織就一直成功地維護著相關的攻擊工具，攻擊策略和基礎設施。

木馬的主要攻擊目標是位于東南亞和印度的組織機構，我們懷疑這個網絡間諜活動是一次地區性的攻擊活動。通過分析木馬，我們發現這次間諜活動已經持續了數十年，受攻擊的目標大多是政府和商業組織;黑客想要竊取這些組織所掌握的地區性政治，經濟和軍事情報。

我們把這個黑客小組叫做APT30。他們之所以可怕不是因為他們有能力發動長期的間諜活動，或者是地區性攻擊行動;而是因為他們至少從2005年開始，就一直成功地維護著相關的攻擊工具，制訂著攻擊策略，并隱藏著基礎設施。

我們通過分析APT30，大致地了解了這個小組的入侵行動，確定了他們是怎樣在不改變作案方法的情況下，持續性地滲透某一地區的大量組織機構。根據我們對木馬的研究，我們估測了APT30小組的運作方式：他們首先合作確定目標的優先級，并根據計劃開發木馬。他們的主要任務是從目標手中竊取大量的敏感信息，攻擊目標可能包括政府的機密網絡，以及其他通過正規途徑無法訪問的網絡。雖然并不是只有APT30在嘗試侵染隔離網絡(air-gapped networks)，但是他們卻早在2005年時，就考慮到了這種方案，遠遠地領先于其他的黑客組織。

根據APT30的行動計劃和維護能力，以及他們的地區性目標選擇和攻擊任務，我們有理由相信這個黑客組織的背后有國家的支持，在本文中，我們沒有研究是行動的幕后推手，而是全面分析了這個黑客小組的發展計劃。

0x01 關鍵發現

APT30持續開發并改進著一系列的集成工具，并且他們在這10年中重復使用了一些基礎設施，由此可見，他們的任務是長期的。在這一套工具中包括下載器，后門，中央控制器，幾個可以感染移動設備和隔離網絡的組件。APT30常常是自己注冊DNS域名，然后用作木馬的C2域名。我們發現，有些木馬中的惡意域名已經使用了很多年。

APT30的工作流程是有結構、有組織的。由此推斷，這個黑客組織的各個小組之間互有合作;并且使用的木馬開發方法也是一致的。這個黑客組織(或者說是支持他們的開發者)有系統地記錄并跟蹤著木馬的版本開發。木馬中應用了互斥量和事件，來確保在給定時間中，只有一個木馬是運行中的。木馬的版本信息儲存到了二進制中。木馬在C2通信時會檢查版本，這樣木馬就能時刻更新到最新的版本。

APT30使用了BACKSPACE后門，也就是“Lecna”。我們通過分析這個后門的控制器軟件，發現黑客會安排目標的優先級，也有可能會變換目標。BACKSPACE的C2通信過程分為兩個階段：首先受害設備會聯系一個初始的C2服務器來判斷自己是否連接到黑客的主控制器。由于控制器本身使用了一個GUI，所以黑客可用通過這個GUI來安排主機的優先級，給受害設備添加注釋，并設置警告，確定某些主機的上線時間。最后，控制器太初一個新的對話框，提示當前“用戶”登錄。

這個黑客組織的主要目的是竊取政府的敏感信息。APT30使用的木馬都具備竊取敏感信息的能力(例如特定的文件類型)，在某些情況下，木馬也會感染可移動設備，然后以此作為跳板，感染其他的隔離網絡。某些木馬具備“隱藏”模式，能長期休眠在受害主機上。

APT30的主要目標是持有大量政府類情報的組織機構。其中多數受害組織位于東南亞。他們在攻擊中使用了大量的社會工程方法，由此說明，這個黑客組織比較感興趣的方面包括：地區政治、軍事和經濟問題、領土爭端問題的記者。

0x02 APT30:長期發展

域名	域名注冊日期	早期樣本的編譯日期	近期樣本的編譯日期
km-nyc.com	2004年3月11日	2005年3月11日	2014年5月11日
km153.com	2007年8月30日	2007年9月4日	2014年5月11日

我們分析了ATP30使用的木馬和域名的注冊時間，結果發現，這個黑客組織已經運營了10多年。我們現在已知APT30最早在2004年注冊了相關的域名，而最先使用這些域名的木馬是在2005年編譯的。

一般來說，黑客組織注冊的惡意域名都只會使用幾年，然后棄用。但是，APT30注冊的某些域名已經使用了5年，截止到2014年末，他們還在使用著早期注冊的一些域名。

比如BACKSPACE木馬(md5 哈希b2138a57f723326eda5a26d2dec56851)是在2005年3月11日，00:44:47編譯的。這個樣本使用的C2域名是www.km-nyc[.]com。近期在2014年11月5日,05:57:26編譯的BACKSPACE木馬 (md5 hash 38a61bbc26af6492fc1957ac9b05e435).也把這個域名用做了一個二級域名。

在這么長的行動歷史中，APT30只使用了有限的工具和后門。其中一個原因可能是，既然以前的方案都成功了也就沒有必要指定新的方案和計劃。雖然，在這么多年中，APT30也使用了一些其他的支持工具(如用于部署后門的投放器、下載器)，但是他們的主要工具卻沒有改變過：也就是BACKSPACE后門和NETEAGLE后門，以及用于感染可移動設備的工具(SHIPSHAPE,SPACESHIP, 和FLASHFLOOD)，在隔離網絡上竊取數據。

雖然，很多其他的黑客組織會選擇最新的、更靈活的具有更多功能的工具。但是，APT30選擇長期投資和開發一套工具。這就說明APT30(或者說給他們提供工具的開發者)有能力修改他們的源代碼，使之適應當前的需求和目標環境。第一版BACKSPACE后門最早可以追溯到2005年，現在黑客還在使用BACKSPACE系列的后門?？赡苁且驗锽ACKSPACE本身的框架非常靈活，也可以進行模塊開發;所以能夠被多次修改開發出多種變體。

APT30在執行長期任務時，使用的都是已有的工具。

FireEye已經識別了兩個主要的BACKSPACE代碼分支(“ZJ”和“ZR”)，這兩個代碼的編譯命令都略有不同。此外，雖然BACKSPACE的安裝方式(如EXE程序，DLL文件，以及可以解壓出DLL文件的EXE)和維護方法(如，利用Startup文件夾中的捷徑(.link)文件，作為DLL服務文件)有很多，并且也會新增一些其他功能，但是核心功能都是一致的。

NETEAGLE后門的編譯時間最早是在2008年，最近的編譯時間是2013;這個后門的優化和修改模式都是類似的，其中有兩個主要的變體的開發模式也是類似的(我們稱之為“Scout” 和“Norton”)。如同BACKSPCE，不同的NETEAGLE變體具體的部署和功能也有可能不同，也可能會有附加的功能和優化，但是核心功能都是一致的。

APT3一直都是在修改已有的工具而沒有，這點表明APT30的任務是長期一致的，所以他們只需要修改自己的工具就能勝任長期的任務。

[[134025]]

0x03 專業的開發工具：APT30的開發方法具有一致性和組織性

除了APT30長期使用的工具，在多數情況下，其他工具的作用可能不同，但是開發特征都具有一致性。這些工具都具有精密的版本管理系統，也會使用相同的版本檢測方法和更新方法;這樣就能保證在同一時間中只有一個工具在受害設備上運行。由此可見，APT30的行動非常緊湊，效率也很高。

BACKSPACE, NETEAGLE, SHIPSHAPE和SPACESHIP都保有內部的版本號，并能檢查版本號;如果版本不是要求的版本，木馬就會自動更新。我們懷疑某些木馬的版本字符串中還描述了木馬的其他屬性。例如，一個BACKSPACE (“ZRLnk”)變體的版本字符串中，前兩位表示的就是木馬的版本號。下一個字符可能說明的是圖標類型和漏洞文檔的類型(如“p”代表的 是Acrobat Reader / PDF文件，“w”代表的是Microsoft Word)。最后，下一個字符可能說明木馬使用了捷徑(.lnk)文件來維持木馬。

表1-ZRLnk的歷史版本

[[134026]]

APT30有可能是自己開發工具，也可能有開發者在支持他們

根據版本號，我們發現BACKSPACEH后門的”ZJ”變體具有最長的修改歷史。我們對55個ZJ樣本進行了分析，版本涵蓋了1.2到20.50，時間跨度有8年(編譯時間從2005年到2012年)。

除了版本控制，APT30還采用了相同的方法來管理多數木馬(BACKSPACE, SHIPSHAPE, SPACESHIP, 和FLASHFLOOD)的執行，并保證一段時間中只運行一個木馬，這樣做可能是為了降低木馬被檢測到的幾率。互斥量和事件的命名方式也有規律，多數名稱中都包含‘Microsoft’ 或 ‘ZJ’ 。木馬在執行時會創建互斥量，用來確保在這段時間中只能運行這個木馬。事件和互斥量的命名方式是一樣的，事件是為了給木馬和相關的線程發送信號，進行退出。

木馬的版本劃分說明木馬的開發環境具有鮮明的機構和良好的管理。同樣，在一段時間中只運行一個木馬，說明這個黑客組織是相當專業的。我們推測這些黑客更傾向在受害設備上安裝最新版的工具。我們還判斷他們可能會大規模地開展行動，希望從木馬的自動管理中收益。

雖然我們目前還沒有發現其他的黑客使用了任何本文中提到的這些工具，但是我們不能保證這些工具專屬于APT30.這些工具在不斷地更新中任然沒有改變核心功能，說明APT30掌握有可用的開發資源，能用于修改和定制自己需要的木馬。也就是說，APT30要么是自己負責工具的開發，要么就是其他的開發者在專門支持他們。

表2-進程執行和版本控制中使用的互斥量和事件

[[134027]]#p#

0x04 為了平衡隱秘性和規模性，木馬的C2通信分為了兩個階段

BACKSPACE后門和NETEAGLE后門使用了兩個階段的C2服務器。后門首先與 階段1的C2位置通信，通常是一個或多個C2域名。與階段1 C2的交互是完全自動的;也就是說，階段1 C2不支持黑客與受害主機之間進行任何交互通信。BACKSPACE和NETEAGLE都會使用HTTP請求與階段1 C2交互，請求URI下載包含基礎指令和信息(包括階段2的C2位置)的文件，或者是下載并執行額外的二進制。受害主機可能會提示階段2 C2(如傳輸關于受害主機的數據)，只有接收到指令需要這樣操作的主機才會創建完整的連接到BACKSPACE控制器。一旦木馬連接到了控制器，黑客就能直接操作受害主機。

黑客利用這種分階段方法，混淆了自己與受害人之間的關聯。這樣他們就能方便的管理大量的受害人;新感染的主機可以自動與階段1 C2服務器交互，直至黑客選中了特定的主機進行階段2的交互。

下表中列出了BACKSPACE樣本(md5 哈希6ee35da59f92f71e757d4d5b964ecf00)可能請求的URI，以及每個文件的目的。完整的URI格式是hxxp:////, 其中是木馬指定的C2域名;不同樣本的路徑名稱也一般不同(/some/ or/ForZRLnk3z/in the examples below);是請求指定的文件。

表3-BACKSPACE在第一階段 C2通信時使用的URI

[[134028]]

圖1-受害主機與階段1和階段2 C2服務器的交互

[[134029]] [[134030]]

0x05 APT30的全能后門控制系統

給目標指定優先級，黑客輪流攻擊

通過檢查管理BACKSPACE 后門程序的GUI控制器，能推斷出APT30執行了哪些其他的攻擊活動。FireEye分析了三個BACKSPACE的控制器軟件-網絡神鷹遠程控制系統(該系統在樣本中的版本信息中稱作“NetEagle Remote Control System”;在“相關”對話框中稱為網絡神鷹遠程控制系統)。盡管我們分析的副本分別在2010，2011和2013年編譯的，但是工具的描述文件還是能說明最原始的控制器軟件是在2004年編譯的。

BACKSPACE控制器是發展良好且功能全面的GUI工具。該控制器有主菜單項，包括“系統”，“網絡”，“文件”，“遠程”和“攻擊”操作，還包括“相關”對話框。與控制器相連的受害主機的信息會在底端窗格中展示出來，其中包括主機名稱，內部和外部IP地址，系統運行時間和OS版本及其語言。

[[134031]]

0x06 APT30使用的工具進行版本檢查并嘗試自我更新

[[134032]] [[134033]]

建立遠程控制

階段一C2服務器中的兩個文件(dizhi.gif 和 connect.gif)能夠管理階段二C2服務器(比如，BACKSPACE控制器)的通信。BACKSPACE受害者電腦將檢索dizhi.gif，并通過HTTP POST將受害者電腦的信息傳遞至階段二中的IP地址和dizhi.gif明確指定的端口。該受害者信息可用于填充GUI控制器(見Figure 4)。然而，BACKSPACE客戶端不能在默認情況下與BACKSPACE控制器建立交互式連接，因為這樣，階段二C2服務器被暴露的風險就會增加。

當有威脅發起者想要通過受害主機建立遠程控制時，他會上傳一個包括受害主機名和主機ID號碼的通知文件(如connect.gif)至階段二C2服務器。受害者主機會解析服務器檢索的connect.gif文件，若文件中有他們的主機名和主機ID號碼，他們就會與BACKSPACE控制器(使用dizhi.gif中的數據)相連。

dizhi.gif 和 connect.gif都是由BACKSPACE控制器基于用戶定義的配置設置而生成的，且能自動上傳至階段一C2服務器。這意味著其能管理受害者電腦，降低配置錯誤的風險，甚至能允許相對不熟練的操作者來管理C2的基礎設施和受害主機。

下面的屏幕截圖表明了這兩個文件的配置選項，包括用于連接階段一服務器的FTP證書，文件路徑，文件名及備用的階段二C2服務器。這些相同的配置設置能夠“修復”BACKSPACE二進制中為相關字節，自定義BACKSPACE木馬。 相似的，第二個對話框允許威脅發起者指定聯系階段二C2服務器/BACKSPACE控制器的端口(位于dizhi.gif中)。第一個端口用于通過HTTP POST傳遞受害者數據。第二個端口用于與BACKSPACE控制器建立交互式連接。第三個用于操作位于控制器和受害者機器之間的反向連接后門。

[[134034]] [[134035]]

BACKSPACE控制器-后門通訊

BACKSPACE控制器用改進的HTTP協議與受害主機上的BACKSPACE用戶進行通信。受害主機向HTTP POST格式下的控制器發送數據。當該控制器接受到數據時，它就會忽略其他的HTTP頭，只解析Content-Length 值和主體數據。這時也不會有確認信息反饋給后門。

在下面的格式中，BACKSPACE控制器能偽裝成Microsoft IIS 6.0服務器中的一個響應，給BACKSPACE用戶發送遠程命令信息。與控制器相似，BACKSPACE用戶只能解析Content-Length領域和儲藏在主體中的遠程命令，并忽略其他HTTP頭。

目標優先級和警報

BACKSPACE控制器允許威脅發起者更進一步地管理受害主機，主要通過用注釋標識個人主機，給受害者機器指定優先級(“普通”，“重要”，“非常重要”)，以及當受害主機上線時，設置一個警報通知威脅發起者。#p#

0x07 APT30確定目標的優先級：“不同”“重要”“非常重要”。

[[134036]] [[134037]] [[134038]]

執行自定義任務

BACKSPACE控制器包括一個“自動執行自定義任務”(下方標注)的菜單項，它可以發送“O”命令，該命令受BACKSPACE后門的多種變體支持。當后門接收該命令時，會在受害主機($LDDATA$\和 %WINDIR%\$NtUninstallKB900727$) 上，根據事先定義好的路徑上傳數據至控制器。在自動模式下(與手動上傳文件或目錄相反)，這個特殊的命令用來檢索受害電腦上的被盜數據。APT30(特別是SPACESHIP 和FLASHFLOOD)用其他工具發現的路徑常用于針對目標性的隔離電腦和網絡。

在“自動執行自定義任務”菜單項下面是“GOTO自定義路徑”的自定義選項。當選擇它時，該菜單項也指導操作員用默認狀態下事先定義好的路徑(FLASHFLOOD的某些版本會用到)：

版本控制和自動更新

像許多APT30用過的工具，BACKSPACE控制器也執行版本檢查并試圖自我更新。開始執行時，該控制器把一個版本文件((NetEagleVer.txt)和更新過的二進制(NetEagle.exe)傳遞至下一個HTTP請求。

[[134039]] [[134040]]

硬盤序列號認證

BACKSPACE控制器中有一種檢查，能確保控制器只能在已授權的機器上運行?？刂破靼驯镜刂鳈C硬盤序列號與控制器二進制中經過硬編碼的45個序列號做比較，直到互相匹配才停止比較。這意味著控制器開發者想要限制控制器的分配和使用。開發者能為他們自己編寫控制器;那么出售時，有內置限制的控制器就輪流出售，這樣開發者就要持續編寫、再向其他人出售自定義版本。如果大部分APT30使用的惡意軟件(APT30惡意軟件之間及其與控制器之間)具備緊湊的一體化性質，而且控制器能使用APT30域名進行自我更新檢查，APT30(或一個與之緊密相聯的開發者小組)就更有可能創建一個供他們自己使用的控制器。

APT30實行輪流工作制

APT30 POSSIBLY WORKING ON SHIFTS 分析BACKSPACE控制器時，我們在可移植可執行(PE)資源部分識別了一個對話框。該對話框包含一個有“請輸入您的值班員代號”的登錄提示，英文表示為“Please enter your attendant code”。盡管在我們分析的樣本中禁用這個功能，這個工具能追蹤多個操作員的工作軌跡。

[[134041]]

BACKSPACE控制器(可能早在2014年就被編寫了，但仍然能與去年編譯的BACKSPACE變體相互兼容)的歷史反映了隨著時間的推移，工具得以發展，且能通過一個相對簡單的界面，促進與受害主機的相互作用。這個工具能支持大量受害主機的交互活動，還能允許操作員進行過濾、優先化和預警，另外能管理他或她的受害者，這表明了這些操作已經能證明這些特性了?？刂破饔邢嗤陌姹究刂坪妥晕腋绿匦裕撎匦允怯葾PT30用其他惡意軟件發現的。此外，嵌入BACKSPACE控制器的序列號檢查暗含著一個非常有限的分配工具，它只用于用戶選擇的號碼。最后，“助手”對話框表明控制器本身就是在高度組織化的環境中使用的。所有這些因素都與一個威脅小組有關，這個威脅小組長期存在，且有組織、結構化的開發資源;隨著時間的推移，它也能管理和追蹤大量隱藏的受害者;且有實現組織目標的工作能力。

0x08 APT30的主要任務：出于政治利益竊取數據

基于我們對APT30目標活動和工具的了解，由于他們對經濟利益不感興趣，所以其目標應該是竊取數據。APT30并沒有把容易貨幣化(例如，信用卡數據、個人身份信息或銀行轉賬憑證)的受害者和數據定為攻擊目標。相反，他們的工具能夠識別和竊取文件，這些文件中包括利益文件，它們可能存儲在隔離網絡中。

BACKSPACE后門和NETEAGLE后門都支持一系列指令功能，能夠允許黑客操縱受害者主機上的文件：可以讀取和寫入文件、根據指定文件名或屬性搜索文件、刪除文件以及將選中文件上傳到控制器。雖然這些命令對功能完整的后門來說并不典型，但是BACKSPACE的某些命令更為專業，能夠將文件元數據(如，文件名、文件大小、屬性以及MAC time)返回到控制器。元數據傳輸使得BACKSPACE能夠向服務器發送更少的數據，黑客根據發送結果確定要上傳的文件——這兩種技術都會導致網絡傳輸數據的減少，但這幾乎不會引起注意。

SHIPSHAPE、SPACESHIP和FLASHFLOOD是三個不同的惡意軟件，具有不同的功能，這三個軟件會共同感染可移動硬盤、進入其他系統(包括可能存在的隔離系統)并且竊取利益文件。這些工具經常(在互斥鎖、事件和他們用的注冊表項中)涉及到一些術語，如：“Flash”、“Ship”、“ShipTr”和“ShipUp”，就好像這些工具是用來在電腦和可移動硬盤之間“運輸”數據的。我們發現了一個SPACESHIP變體，它在通常顯示為“ShipTr”的地方使用了“LunDu”, 該惡意軟件可能是用來從隔離網絡中將所竊取的文件“輪渡”到可移動硬盤或者到聯網主機的，這樣一來，這些數據就可以被攻擊者刪除了。除此之外，惡意軟件經常在一些地方使用縮寫“LD”，如，在SHIPSHAPE文件(l dupver.txt)中，在某些SPACESHIP版本用于存儲所盜取數據的文件夾\$LDDATA$中，以及在含有盜取數據的擴展名為.ldf的編碼文件中。

這三個工具的功能不同，但有所互補：

SHIPSHAPE用于將文件復制到插在主機上的可移動硬盤內，這些文件來自受SHIPSHAPE感染電腦上的特定路徑。SHIPSHAPE會查找可移動硬盤上的現有文件和文件夾并將其隱藏。然后，它將可執行文件復制到可移動硬盤，復制后的文件名和文件夾名同原來一致，但是增加了 一個.exe擴展名。SHIPSHAPE修改了主機設置以隱藏文件擴展名，所以，可執行文件看起來和原始文件相同。在Windows資源管理器中查看時，可移動硬盤中的內容會正常顯示：

[[134042]]

APT30識別并竊取文件，尤其是識別和竊取存儲在隔離網絡中的文件。

但是，從命令行查看驅動器內容時會顯示文件的兩種設置：

[[134043]]

如果某用戶試圖在受感染的驅動器中“打開”一個文件，取而代之的將是執行一個惡意軟件的副本。

SPACESHIP被認為是由SHIPSHAPE復制到可移動硬盤的惡意軟件，大概是為了將SPACESHIP傳輸到隔離電腦。SPACESHIP用于搜索受害者電腦以獲取特定文件(根據文件擴展名或最后修改時間)。與搜索條件匹配的文件會被壓縮、編碼，并復制到受感染主機的指定位置。當可移動硬盤插入受感染的電腦時，位于指定位置的編碼文件會復制到可移動硬盤。

FLASHFLOOD負責從插入電腦的可移動硬盤中復制文件到受感染電腦的硬盤驅動器，大概是為了將隔離系統中的文件移動到聯網電腦中以使這些文件從受害者網絡中刪除。FLASHFLOOD將為指定文件(根據文件擴展名或最后修改時間)掃描受感染系統以及任何插入的可移動硬盤，并運用和SPACESHIP相同的壓縮和編碼方式將這些文件復制到指定位置。FLASHFLOOD可能也會記錄有關受害者主機的其他信息，如：系統信息和用戶Windows通訊簿中的數據。

0x09 APT30的攻擊目標主要是東南亞

APT30經常將其目標瞄向東南亞和印度。我們發現，APT30的目標為國家政府、十個行業的區域公司以及報道區域事務和政府問題的媒體人員。根據APT30的確認目標及其受害者，組織似乎對東南亞區域政治、經濟和軍事問題、爭議領土有關的話題很感興趣。這讓我們認為APT30的目的是為政府提供東南亞和印度主要政府以及企業實體的情報。

我們通過大量資料來了解APT30的預定目標。我們的資料包括：來自FireEye用戶的APT30惡意軟件警告、網絡釣魚誘餌文件內容和預定收件人、200多個APT30惡意軟件樣本以及APT30的操作時間和基礎設施。我們還注意到，我們通過自己的產品檢測的APT30惡意軟件中，大約96%試圖破壞位于東亞的客戶端。

[[134044]]#p#

0x10 APT30跟蹤東南亞國家聯盟(東盟，ASEAN)的成員

該組織對與東盟有關的機構和政府十分感興趣，尤其是在東盟召開官方會議期間。東盟是一個重要的區域性組織，其各成員國之間倡導在政治、經濟、教育和社會問題方面團結與協作。目前，東盟有10個成員國：印度尼西亞、馬來西亞、菲律賓、新加坡、泰國、文萊、越南、老撾、緬甸和柬埔寨。

以東盟為主題的基礎設施和自定義工具

APT30已為C2注冊了以東盟為主題的域名，并且編譯了竊取數據的惡意軟件，該惡意軟件專用于東盟事件。APT30很可能試圖攻擊東盟成員以竊取信息，這些信息有利于深入了解區域的政治和經濟。

域aseanm[.]com——好像是模仿的東盟的合法域(www.asean.org (http://www.asean.org/))——首次注冊是在2010年三月。FireEye識別了100多個BACKSPACE惡意軟件變體，這些變體的C2都使用域aseanm[.]com，其中含有東盟共同體重大事件的編譯日期。下表為BACKSPACE樣本的編譯次數，這些樣本的C2也都使用aseanm[.]com，通常與東盟事件有關：

[[134045]]

最近，大量BACKSPACE樣本的出現提高了我們的評估質量，被編譯的惡意軟件用于以重大東盟問題為中心的攻擊運動。87個最新BACKSPACE樣本使用C2域aseanm[.]com，這些樣本的編譯日期集中在2013年1月和4月的一段時間。有35個樣本的編譯日期為2012年12月31日、2013年1月4日和2013年1月5日;2013年1月1日，東盟新秘書長Le Luong Minh執政，任期五年。相似地，有61個樣本編譯于2013年4月22日和23日;2013年4月24日-25日，第22屆東盟峰會在文萊召開。

2013年1月和4月，東盟峰會期間利用了自定義惡意軟件

黑客自定義惡意軟件，這能夠很好地說明其打算獲取給定目標訪問權限的意圖;這表明，黑客共同努力以攻擊受害者，而不是采取“撒網并祈禱”(“spray and pray”)的方針。2013年1月和2013年4月，APT30將自定義惡意軟件用于特定運動來攻擊東盟成員，或攻擊與東盟國家關系密切或利益息息相關的國家。

APT30創建了自定義BACKSPACE “ZJAuto” (互斥鎖 MicrosoftZjAuto)，“ZJ Link”(互斥鎖MicrosoftZjLnk)，以及“ZJ Listen” (互斥鎖ZjListenLnk)變體。這些惡意軟件樣本有兩種自定義方式：(1)BACKSPACE C2 通訊中修改后的URL可能代表東盟國家代碼，(2)自定義數據盜竊和通信功能

修改后的URL

其中一個自定義位于指定的URL，用于BACKSPACE C2通信。BACKSPACE對其大部分的C2使用HTTP，并從第一階段的C2服務器檢索了大量文件，每個文件都有惡意軟件的附加說明。典型的C2 URL格式是http:////，此處，是第一階段C2的位置，是一個目錄名稱，可能不同樣本的目錄名稱有所不同，是要下載的文件(如：dizhi.gif)。

2013年1月和4月BACKSPACE樣本使用的名稱大概暗示出，惡意軟件最初打算攻擊的國家(紅色標記出)如下表所示：

[[134046]]

支持數據竊取的自定義惡意軟件

唯一確定的BACKSPACE “ZJ Auto”變體在2013年1月4日和5日編譯完成，在攻擊運動中獨樹一幟。該 BACKSPACE變體合并了記錄的兩項附加功能。第一， “ZJ Auto”將搜索利益相關文件的一系列指定文件路徑，并將發現的文件上傳到第二階段C2服務器：

%WINDIR%\$NtUninstallKB900727$

%WINDIR%\$NtUninstallKB885884$

\Outlook Express\data

\Outlook Express\data

** path.ini**文件中的指定自定義路徑

此外， BACKSPACE的 “ZJ Auto”變體還并入了自定義命令 “{” (0x7B)。當惡意軟件接收到來自控制器的該命令時，將把指定路徑中的所有文件上傳到第二階段C2服務器，然后從本地驅動器中將其刪除。

相似地， 幾乎所有“ZJ Link”變體都在2013年1月或2013年4月完成了編譯，并且對攻擊運動的影響無可替代。 “ZJ Link”變體增加了命令 “^” (0x5E)和 “(“ (0x28)。 “^”將文件下載到指定目錄CSIDL_TEMPLATES并對文件進行重命名。 “(“檢測 受“ZJ Link”感染的電腦是否能夠與2180端口和443端口的指定主機進行通訊。 “ZJ Link”與另一獨特變體 “ZJ Listen”合作。“ZJ Listen”變體偵聽位于相同端口(2180和443)上的入站連接;這是唯一一個能夠確定日期的變體，用于接收來自外部源的C2指令，因為它反對建立一個出站連接到C2服務器。“ZJ Listen”可以安裝于獨立的LAN，無需直接與互聯網連接，而 “ZJ Link”可安裝于一個可上網的普通電腦。 “ZJ Link”可接受來自BACKSPACE第二階段C2服務器的標準指令，并且能夠在斷網情況下，將指令和響應轉發給受 “ZJ Listen”感染的電腦。

APT30使用了大量誘餌文件，這些文件的內容一般會涉及到東南亞，印度以及周邊地區的安全和民主問題。根據釣魚郵件中添加的誘餌文件附件，一般就能推斷黑客的出攻擊目標。因為黑客一般會根據目標的喜好，來修改文件中的相關問題，以此來誘惑目標點擊附件，從而感染目標。

APT30利用重大的政治交接事件作為釣魚郵件的內容，感染重要的政治人士

在2014年夏天，FireEye檢測到APT30使用釣魚郵件攻擊了一名地區客戶。這個誘餌文件的主題是東南亞的以此重大政權更替。在這個釣魚郵件中植入了一個后門(攻擊前一天編譯)，ATP30利用這個后門可以入侵受害人的計算機，從而獲取關于本國不安定因素和政權交替的情報。這類情報屬于高度機密的政府類情報。

電魚郵件的收件人列表顯示，這份郵件發送給了30多個用戶，這些用戶都在受攻擊掛架的財政部門，政府防御部門工作。APT30機會攻擊專業賬戶也會攻擊個人賬戶(Gmail，Hotmail)。這份釣魚郵件的內容都是用目標國家的語言編寫的，郵件的主題翻譯過來就是“外國記者對政權交替的反應”。很顯然，從事國家安全的官員和領導、民主人士和公共媒體會對這個話題很感興趣。這個釣魚郵件的發送人來自一個政府部門，有可能是這個部門的賬戶被竊取了，或者是黑客把發送人賬戶偽裝成了這個部門的賬戶。

多個誘餌文件的主題都涉及不同國家的軍事關系

APT30把不同國家的軍事關系用做了誘餌文件的主題。這樣做的目的可能是為了攻擊那些持有雙邊關系情報的目標。APT30使用了一份合法的學術期刊作為其中一份誘餌文件的內容，這篇學術期刊的內容是針對印度國防和軍事物資的誘餌文件

[[134047]] [[134048]]

類似的，已經有APT30的誘餌文件的內容都涉及印度國防與軍事物資問題。尤其是有許多_網絡釣魚攻擊_spear phishing subjects 都針對印度航空母艦和海洋監測進程。在 Figure 20中出現的誘餌文件與印度首次獨立進行航空母艦的實際建設和發射有關。

誘餌文件并不是APT30針對印度組織的唯一證據。在印度， Virus Total的用戶已經向服務器提交了APT30惡意軟件，表明印度研究人員也在印度的組織中發現了APT30的可疑活動。 FireEye也識別了APT30惡意軟件的警報，主要的印度用戶有：

一個印度航空航天防御公司

一個印度電信公司

還有一個循環出現的APT30誘餌文件，它與受爭議的地區有關，包括不丹和尼泊爾。

APT30針對進行負面報道的記者

我們研究發現，APT30不僅關注東南亞和印度，還針對報道腐敗、經濟、人權問題的記者。黑客組織之前針對過新聞工作者，現在也經常如此，以便更好了解事件進展，預測負面報道，左右公共信息。

我們一個從事傳媒行業的客戶于2012年10月收到了一條標題為 “2012年10月29日MFA新聞發布會全部記錄”的釣魚郵件，APT30同時將此釣魚郵件發給了全球大型新聞媒體的五十多個記者，受害人中既有官方工作賬戶，也有個人電子郵件賬戶。這些記者報道的主題總的說來可分為6類，按出現次數粗略排序如下：

1 經濟狀況 2 高科技報告 3 腐敗問題 4 對異議分子的報道、人權問題 5 海洋爭端 6 防衛相關話題

APT30試圖詆毀記者和媒體，這也是對媒體不提供正面報道的一種懲罰。比如，紐約時報和彭博資訊對腐敗問題進行負面報道之后，其記者都曾在獲取簽證時遇到麻煩。

黑客向受害者投放的釣魚郵件偽裝的都十分巧妙.他們是如何辦到的呢? 通過觀察我們發現,黑客的伎倆可能是這樣的:首先他們大概從公開發布的新聞中獲得了感興趣目標的信息,然后以受害者朋友的身份來發送釣魚郵件.

已經證實的APT30目標國家及可能目標國家

已經證實的APT30目標國家(印度,泰國,韓國,沙特阿拉伯,馬來西亞,美國,越南)

[[134049]]

可能成為APT30 目標的國家(尼泊爾,印尼,不丹,文萊,菲律賓,緬甸,新加坡,老撾)

[[134050]]

0x11 總結

網絡間諜有明確的目標，堅持不懈，又有著充足的資源。APT30只是他們的一個縮影。在我們看來，黑客組織要考慮操作的時機，又要優先處理目標，他們的工具還可以侵染隔離網絡，對敏感數據(比如政府網絡數據)興趣十足。研究一下網絡間諜篩選、跟蹤病毒的方式，不難看出，這一組織內部合作協調，管理得當。我們所遭遇的黑客組織中APT30可以說是元老級，運營時間已有十年之久。它也有明確區域瞄準優先權，這種黑客組織為數不多。我們對APT30的研究證實了許多猜想：網絡間諜依靠網絡收集近鄰的信息，同時也在更大范圍內收集全球信息。APT30并不注重竊取寶貴的商業知識產權亦或前沿科技，而是旨在獲取鄰近的東南亞地區的敏感數據。

 在曝光APT30的過程中，我們希望各組織能增強風險意識，提升自我防御能力。APt30目標性很強，因此區域內各組織機構應加強防護，保護信息資產不為對網絡間諜所用。