一、小白剧场

小白：东哥，我最近研究APT方面的知识，发现各种案例都有，竟然还有不法分子攻击航空公司的案例，真是骇人听闻！

大东：你这一说，我倒是想起来前一阵被公布的一则安全分析报告，这个报告与一家亚洲航空公司相关。

小白：难道又是哪家亚洲航空公司被攻击了吗？

大东：还没有被攻击，只是被分析出了潜在威胁，而且潜在攻击者疑似是一个伊朗APT组织。

小白：竟然是一个APT组织，这下事情可闹大了！

大东：说起APT组织，我要考考你，APT组织是怎么区别于其他威胁的呢？

小白：我最近可有好好学习哦，这难不倒我。APT也叫做高级持续性威胁，表示的是隐匿且持久的电脑入侵过程，一般来说是某些人员针对特定的目标来精心策划进行攻击。APT通常是因为商业或政治动机，针对特定的组织乃至国家，在长时间内保持高隐蔽性是其非常重要的特点。

大东：嗯嗯，不错，我很是欣慰。

小白：过奖了，东哥。那这次针对亚洲航空公司的疑似APT组织是何方神圣呢？

大东：它是一个非常活跃的全球性黑客组织，名为ITG17，又称“Muddy Water”。

小白：污水组织！这名起的真形象，那他对航空公司采取了哪些攻击措施呢？

二、话说事件

大东：在讲述本次航空威胁分析报告的内容之前，我先来介绍一下这款疑似来自伊朗的APT组织。

小白：好的，东哥，快讲吧！

大东：“污水”（MuddyWater） APT组织从2017年开始便处于活跃状态，其主要是针对中东国家。

小白：什么，竟然主要针对中东国家？那他们的攻击特点是怎样的呢？

大东：善于利用powershell等脚本后门是这个APT组织显著的攻击行为特点。他们通过该在内存中执行Powershell，减少受害者机器产生新的PE文件。

小白：这种攻击手段有什么优势呢？

大东：这样的攻击方式一方面可以降低该APT组织的样本检测率，另一方面也能够加大安全机构的取证难度。

小白：原来如此，那它在历史的攻击行为中，其攻击动机都是什么呢？主要针对中东地区，那应该是看中了石油资源吧？

大东：你分析得很有道理，MuddyWater多以间谍活动的动机。从受害者所在的行业特征看，政府，电信公司和石油公司是该组织的主要目标。

小白：之前说他们善于利用powershell等脚本后门，那本次针对亚洲航空公司的潜在攻击事件是不是也利用的后门呢？

三、大话始末

大东：没错，根据 IBM Security X-Force的报告，“污水”正在部署一个名为“Aclip”的后门，实施攻击活动。

小白：那这次攻击活动是近期才开始的吗，它们的攻击目的是什么呢？

大东：这次攻击活动始于2019年，目标是一家亚洲航空公司，以窃取航班预订数据。

小白：原来是要从订单数据上做手脚，仔细想想航空订单数据泄露可不是小事啊！

大东：没错，一旦掌握了足够的订单信息，就可提取某些关键人物的近期航班动向，进而可对其活动区域进行定点监控，执行某些后续攻击。

小白：这可真是太可怕了，怪不得东哥对航班信息这么谨慎！

大东：仔细想想，近期航空数据泄露的事件确实不少。

航空公司数据泄露（图片来自网络）

小白：可以举个例子分享一下吗，东哥？

大东：比如在2020年1月，某一航空公司向国家安全机关报告，称其公司的信息系统出现了异常，因此怀疑遇到了网络攻击。

小白：那国家安全机关采取了哪些后续行动呢？

大东：接到报告后，该国家安全机关马上对其进行了技术检查，确定其信息系统遭到了网络攻击。

小白：遭受了什么攻击呢？

大东：该航空公司的多台重要服务器以及其他网络设备被植入了特种木马程序，而且部分乘客数据如出行记录等被窃取。

小白：那本次数据窃取是单一作案，还是一种类似APT组织的攻击呢？

大东：经过安全机关的进一步排查发现，另有多家航空公司信息系统遭到同一类型的网络攻击和数据窃取。

小白：看来很有可能是个APT组织了！

大东：具体是哪个APT组织并没有明确，但是通过深入调查，可以确认的是本次攻击活动是由某境外间谍情报机关精心策划、秘密实施的。在本次攻击中，该APT组织利用多个技术漏洞，同时通过多个国家和地区的网络设备作为跳板，达到隐匿踪迹的目的。

小白：既然已经基本调查清楚了，那他们呢采取了哪些防护手段呢？

大东：针对这一情况，国家安全机关及时协助受到攻击的航空公司全面清除被植入的特种木马程序，通过调整技术安全防范策略以及增强防范措施的方法，阻止了危害的进一步扩大。

小白：还好还好，那话说回来，“污水”本次使用的“Aclip”后门是怎样执行攻击的呢？

大东：据了解，“Aclip”主要通过名为“aclip.bat”的 Windows 批处理脚本执行。为了在受感染的设备上建立持久性，这个后门添加了注册表项，并在系统启动时自动开启。

小白：那开启之后又进行了哪些操作呢？

大东：开启之后，“Aclip”滥用 Slack API 进行秘密通信：通过 Slack API 函数从 C2 服务器接收 PowerShell 命令，用于执行进一步的命令、发送 Windows 桌面的屏幕截图以及泄露文件。

IBM报告中的Aclip攻击操作图（图片来自网络）

小白：Slack是个什么东东？

大东：Slack 是隐藏恶意通信的理想平台，因为其在企业中广泛部署，数据可以很好地与常规业务流量融合。

小白：原来如此，已经被广泛部署了，怪不得会被针对。那执行后门程序后，攻击者会主要收集哪些数据呢？

大东：攻击者第一次执行Aclip后门程序时，会收集基本系统信息，包括主机名、用户名和外部 IP 地址，此数据使用 Base64 加密并泄露给攻击者。

小白：系统信息窃取应该不是其主要目的吧？

大东：没错，在窃取到系统信息后，从命令执行查询阶段开始，Aclip 连接到 actor 控制的 Slack 工作区不同通道。最后使用 PowerShell 图形库截取屏幕，并保存至 %TEMP% 直到数据渗漏，图像上传到 C2 后，它们将被擦除。

小白：这样航空订单数据就被悄无声息的以截图形式窃走了！那IBM是怎样分析出此次潜在攻击的来源是“污水”呢？

大东：其实IBM 研究人员早在 2021 年 3 月就发现了滥用此通信渠道的威胁行为者，并将其披露给了Slack。后续IBM 在调查发现两个已知归因于黑客组织的自定义恶意软件样本后，将此次攻击与 “污水”联系起来。

四、小白内心说

小白：东哥，面对此次针对亚洲航空公司的APT攻击，我们该采取怎样的防御措施将这种潜在攻击扼杀在摇篮中呢？

大东：从2017年被曝光以来，MuddyWater APT组织不但没有停止攻击，反而更加积极地改进攻击的武器。要做出防御就要从分析该组织的攻击技术入手。

小白：如何分析呢？

大东：从该组织的TTPs上来看，该APT组织的积极探索非PE文件后门，目前该APT组织有着成熟的JavaScript、powershell后门程序以及完整的混淆反查杀流程。因此，我们提醒政府、企业等广大用户，一定不要随便打开来历不明的邮件的附件，并且做好杀毒软件等安全软件的安装。目前已经有了专门的威胁检测系统可以防御这种攻击。

小白：好强大啊，这样一来不只是航空公司，所有大型企业都可以保护企业网络安全啦。

参考资料：

1. 近期“污水”（MuddyWater）APT组织攻击活动汇总

2. 窃取航空公司数据 国家安全机关披露境外数据窃密案

3. 自9月份以来，MuddyWater（污水）间谍团伙已攻破至少30家组织

4. 什么是APT?

5. 某航空公司被间谍攻击！航空爱好者被骗

温馨提示：近期，微信公众号信息流改版。每个用户可以设置 常读订阅号，这些订阅号将以大卡片的形式展示。