“中国黑客组织”Winnti或正在策划供应链攻击

美国软件安全初创企业 ProtectWise 公司威胁研究与分析团队（401TRG）近期发布一份45页的分析报告指出，中国的 Winnti Umbrella 黑客组织以 IT 员工为目标，正不断调整自身策略且高度依赖鱼叉式网络钓鱼——而非传统恶意软件——实施入侵，报告认为这些网络活动旨在收集合法软件厂商代码签名证书以支持后续供应链攻击。

黑客组织Winnti Umbrell

Winnti Umbrella （简称Winnti，亦被称为 Axiom 或 APT17）。

2013年，卡巴斯基实验室发现了 Winnti，该组织当时的攻击目标主要是网络游戏行业，且实际上从2009年开始就对网络游戏行业公司发动攻击，窃取由合法软件供应商签发的数字证书，此外还会窃取知识产权内容，包括在线游戏项目的源代码。得到源代码后，该组织通常将其放到中国黑市进行兜售，或是直接用到这些源代码制作山寨游戏来以此获利。

2015年，Winnti 组织的攻击目标已经不再仅限于网络游戏公司，还包括电信和大型制药公司。

ProtectWise 公司研究人员对 Winnti 黑客组织多年来长期使用的 TTP（即战术、技术与程序）进行了分析。Winnti 这一名称源自该黑客组织使用的主要工具之一：Winnti 后门。

Winnti Umbrella 黑客集团正成为恶意势力的熔炉

此前曾有多个独立黑客组织也曾使用与原 Winnti 黑客组织相同的战术与基础设施。经过对运营错误以及旧有攻击基础设施的重复利用行动进行多年观察之后，研究人员们总结称此前被认定为独立高级持续性威胁（APT）组织的 BARIUM、Wicked Panda、GREF 以及 PassCV 等，似乎共享部分 Winnti 技术成果及其基础设施。

401TRG 研究人员指出，“TTP、基础设施以及工作链观察结果显示，各个黑客组织之间似乎存在一些交集。

Winnti 黑客组织以 IT 人员为主要目标

报告显示，目前 Winnti Umbrella 集团的各 APT 组织似乎表现出常见的入侵/行动模式：

攻击者似乎更倾向于通过鱼叉式钓鱼攻击渗透单一目标，这些黑客组织主张收集凭证并登录账户，而非利用恶意软件建立初始立足点。

401TRG 研究人员在对2017年的安全事件进行回顾时表示，他们观察到一系列针对人力资源与招聘经理、IT 员工以及内部信息安全人员的鱼叉式网络钓鱼攻击，而且还很奏效。

攻击者们专注于收集网络凭证，而后借此在企业内部实现横向移动。

在此之后，攻击者们使用一种名为“就地取材（living off the land）”的技术，即利用本地安装的应用实现恶意目的。此类入侵活动中常用的工具包括标准 Windows 工具程序，外加 Metasploit 与 Cobalt Strike 等渗透测试工具。

另外，攻击者只在必要时才部署恶意软件，以免自身行迹暴露，进而失去在目标网络中的立足点。

2018年3月该组织出现致命疏忽

报告指出，这些黑客组织的战术在2018年出现轻微转变，黑客利用钓鱼邮件来企图获得有企业敏感信息的 Office 365和Gmail 账号，实际目标仍然集中在 IT 人员群体当中，其目的或希望访问内部网络中的工作站设备。在此过程中，它们犯下了严重的安全错误，暴露了核心行动信息：

大多数情况下攻击者会用它们的遥控服务器来隐藏自己真实IP地址。但在少数场合中，攻击者错误地直接访问了肉鸡，没有利用这些代理。

大多网络活动在获取代码签名证书

研究人员们表示，这些黑客组织在攻击当中，主要关注对代码签名证书、源代码以及内部技术文档的窃取，他们还可能试图操纵虚拟经济以获取经济利益。虽然尚未得到证实，但其以金融组织作为次要目标的作法很可能意味着其希望通过攻击活动获取收益。

研究人员们认为，代码签名证书窃取似乎正是 Winnti Umbrella 黑客集团下各 APT 组织所设定的一大“共同目标”。为了夺取代码签名证书，黑客们将攻击重点放在位于美国、日本、韩国以及中国本土的各软件与游戏企业身上，因为此类组织往往更可能持有此类证书。

Winnti或正在策划供应链攻击

研究人员认为，Winnti Umbrella 黑客组织正在收集资源并策划供应链攻击，例如以恶意软件感染官方软件，这是因为只要持有有效的代码签名证书，此类活动就能成功骗过安全监管人员的眼睛。

报告认为，中国的黑客组织或已经开始有所行动，2017年 Winnti 黑客组织曾入侵韩国软件开发商 NetSarang，并在其网络管理工具中秘密植入了后门 ShadowPad，攻击者可借此完全掌握 NetSarang 从客户的服务器。而后门ShadowPad与 Winnti 后门以及类似的叫 PlugX 的后门有一定的相似性。卡巴斯基表示之所以能发现 ShadowPad，是因为一个在财经行业的合作伙伴发现一台用来转账业务的电脑在发出诡异的域名查看请求。在当时， NetSarang的工具被数百家银行，能源和医药企业使用。

另一份报告强调称，云服务供应商在黑客的攻击视野中也越来越多地成为一类重要目标。攻击者在获得目标云服务的访问权之后会搜索内部网络的文件和工具，从而远程访问企业内部网络。通常，攻击者在成功获取访问权后会用自动工具来扫描内部网络，查找开放端口80、139、445、6379、8080、20022 和 30304。