肚腦蟲組織主要針對巴基斯坦、中國、斯里蘭卡、泰國，以及克什米爾地區等國家和地區發起攻擊，對政府機構、國防軍事部門以及商務領域重要人士實施網絡間諜活動。

　　國家級APT（Advanced Persistent Threat，高級持續性威脅）組織是有國家背景支持的頂尖黑客團伙，專注于針對特定目標進行長期的持續性網絡攻擊。

　　奇安信旗下的高級威脅研究團隊紅雨滴（RedDrip Team）每年會發布全球APT年報【1】、中報，對當年各大APT團伙的活動進行分析總結。

　　虎符智庫特約奇安信集團旗下紅雨滴團隊，開設“起底國家級APT組織”欄目，逐個起底全球各地區活躍的主要APT組織。本次我們依然鎖定在南亞地區，介紹本地區常年活躍的另一個國家級黑客團伙：肚腦蟲（Donot Team）。

　　08

　　肚腦蟲

　　肚腦蟲是據稱有南亞背景的APT組織，其攻擊活動最早由奇安信威脅情報中心于2017年率先發現并公開披露。

　　肚腦蟲組織主要針對巴基斯坦、中國、斯里蘭卡、泰國，以及克什米爾地區等國家和地區發起攻擊，對政府機構、國防軍事部門以及商務領域重要人士實施網絡間諜活動。奇安信內部跟蹤編號為APT-Q-38

　　背景

　　肚腦蟲，又名Donot Team、SectorE02，是一個據稱有南亞背景的APT組織，該組織的攻擊活動最早由奇安信威脅情報中心于2017年率先發現并公開披露。肚腦蟲組織的攻擊活動最早可追溯到2016年，迄今為止該組織一直處于活躍狀態。

　　肚腦蟲組織主要針對巴基斯坦、中國、克什米爾地區、斯里蘭卡、泰國等南亞國家和地區發起攻擊，對政府機構、國防軍事部門以及商務領域重要人士實施網絡間諜活動。

　　肚腦蟲組織在一些攻擊活動中使用的工具特征和網絡基礎設施，與南亞的其他攻擊組織，比如蔓靈花（BITTER）、摩訶草（Patchwork），存在重疊，不排除這些組織由更高層級的機構領導協調的可能性。

　　2021年11月19日，環球時報披露南亞地區的國家級APT組織

　　攻擊手段與工具

　　肚腦蟲組織的攻擊活動涉及Windows和Android雙平臺。

　　在Windows平臺上，肚腦蟲組織常用帶有宏代碼或者遠程模板的惡意文檔發起攻擊，攻擊流程一般為惡意文檔釋放中間組件，再通過多階段downloader下載插件執行具體的木馬功能。在整個攻擊流程中，一些中間階段的組件在進入下一階段前會通過bat腳本執行自刪除操作，或者后一階段的組件在執行之后會刪除前一階段的組件，從而大大降低整個攻擊流程中代碼暴露的風險。此外，肚腦蟲組織在早期攻擊活動中就開始以Google Doc文檔服務為載體傳遞C&C服務器信息。

　　肚腦蟲組織針對Android平臺的惡意軟件有時會結合釣魚網站進行傳播。惡意軟件常常經過多方面偽裝：

　　（1）軟件圖標偽裝，圖標偽裝為具有針對性的應用軟件（比如克什米爾新聞、印度錫克教等相關應用），或者偽裝成通用型應用軟件（比如VPN、谷歌服務）；

　　（2）運行后行為偽裝，運行后要么通過展示正常應用的功能隱藏自身，要么通過提示欺騙性信息（如軟件已卸載）并且隱藏圖標刪除快捷方式以隱藏木馬程序。

　　（一）攻擊手段

　　1. 魚叉攻擊

　　通過魚叉郵件投遞惡意文檔是肚腦蟲組織常用的一種手段。與其他攻擊組織不一樣的是，肚腦蟲組織制作的惡意文檔有時候是空白內容，不包含與文檔名相關的具體誘餌內容。該組織經常使用的惡意文檔有如下幾種類型：

　?。?）宏代碼文檔

　　通過文檔中的宏代碼釋放后續組件并執行。宏代碼往往會彈出錯誤消息提示框，讓受害者誤以為宏代碼未能成功執行，降低受害者警惕心。

　?。?）遠程模板文檔

　　通過遠程模板注入的方式遠程加載攜帶CVE-2017-11882漏洞的文檔，然后通過漏洞文檔釋放后續組件并執行。2021年肚腦蟲組織開始利用RTF文檔注入遠程模板，借助RTF文檔中的unicode編碼方式隱藏遠程模板的URL，以繞過對URL的靜態檢測。

　　2. 釣魚網站

　　肚腦蟲組織常借助釣魚網站傳播移動端惡意軟件。在首次披露的移動端攻擊活動中，肚腦蟲組織構建了一個簡單的工具應用下載網頁托管移動端惡意軟件。肚腦蟲組織還多次偽造針對巴基斯坦的在線交友網站，并在網站中提供相應社交聊天應用的下載，而這些應用實際上是該組織的Android木馬。

　　（二）使用工具及技術特征

　　肚腦蟲組織針對Windows平臺先后使用了兩套獨有的惡意代碼框架：EHDevel和yty，這兩套框架均支持通過插件拓展木馬功能。

　　近年來該組織使用的惡意代碼雖然不斷在更新，但整體結構并沒有脫離yty框架，該框架的結構可分為兩階段downloader和一系列功能插件：

　?。?） 第一階段downloader組件檢測運行環境，實現持久化，創建具有系統隱藏屬性的文件目錄，然后收集各類主機信息并回傳給C&C服務器，再從C&C服務器下載第二階段downloader；

　　（2） 第二階段downloader用于下載各類功能插件，運行插件執行具體的木馬功能。

　　其中yty框架的第一階段downloader由惡意文檔直接釋放，或是惡意文檔先釋放中間組件，再由中間組件進一步釋放或者從C&C服務器下載。目前已知的插件功能包括：截圖、鍵盤記錄、收集特定類型文件、瀏覽器敏感信息竊取、文件上傳等。

　　肚腦蟲組織針對Android平臺的惡意軟件通常偽裝為正常應用誘使受害者安裝然后隱蔽運行，該組織的Android木馬獲取受害者設備的地理位置、通話錄音、通訊錄、短信等敏感數據。肚腦蟲組織不斷升級移動端攻擊手法，自2020年起開始借助Google Firebase Cloud Messaging （FCM）服務向惡意軟件下發下載后續載荷的URL，不僅增加了隱蔽性，而且可以做到隨時更換C&C服務器以保持對感染設備的控制。

　　著名攻擊事件

　　（一）肚腦蟲組織首次曝光

　　2017年3月，國內某安全廠商發現了一類定向攻擊的樣本，疑似是未知的APT組織的攻擊行動樣本。同年6月，奇安信威脅情報中心紅雨滴團隊確認并曝光了該APT組織針對巴基斯坦的定向攻擊活動，并詳細分析和披露了該組織使用的獨有的EHDevel惡意代碼框架【2】。

　　2018年3月，國外安全團隊ASERT繼續披露了該組織新的惡意代碼框架yty，并根據PDB路徑中的機器用戶名將該組織命名為Donot【3】。奇安信威脅情報中心將該APT組織正式命名為“肚腦蟲”組織（Donot的音譯）。

　　圖1  ASERT披露的yty惡意代碼組件【3】

　?。ǘ┮苿佣斯艋顒邮状闻?/p>

　　2018年8月，肚腦蟲組織針對移動端的攻擊活動首次披露【4】。在此次攻擊活動中，肚腦蟲組織將惡意APP偽裝為如KNS Lite（克什米爾新聞服務）、VPN、谷歌服務等應用，并在免費在線網站平臺Weebly上搭建了一個簡單的釣魚網站用于傳播惡意軟件。

　　惡意APP最早出現于2017年7月，在2018年進入活躍期，攻擊目標為克什米爾地區。這些惡意APP均為Android木馬，能夠響應遠程攻擊指令執行錄音、上傳聯系人/通話記錄/短信等操作，收集的受害者信息可能用于后續的魚叉郵件和短信投遞。

　?。ㄈ┽槍υ谌A巴基斯坦商務人士的定向攻擊

　　2018年12月，奇安信披露了肚腦蟲組織對在我國境內的巴基斯坦重要商務人士的定向攻擊活動【5】，該輪攻擊活動最早發生在2018年5月。在此次攻擊中，攻擊者繼續使用惡意代碼框架yty，通過魚叉釣魚郵件誘騙攻擊目標打開帶有惡意宏代碼的文檔，釋放的木馬對攻擊目標機器進行了長時間的控制。肚腦蟲組織在此攻擊活動中依然讓中間組件執行自刪除操作，試圖減少攻擊痕跡。

　　從捕獲的攻擊活動來看，該組織仍以巴基斯坦相關人士作為首要攻擊目標，甚至將攻擊范圍擴大到包括在華的巴基斯坦人員和機構。

　　圖2 肚腦蟲組織針對在華巴基斯坦商務人士的定向攻擊流程【5】

　?。ㄋ模Π突固拐聂~叉攻擊

　　2019年3月至7月期間肚腦蟲組織對巴基斯坦政府機構、國防情報部門持續實施魚叉攻擊【6】。肚腦蟲組織在此次攻擊后期階段投遞的誘餌文檔會通過宏代碼彈出“文件已損壞”等錯誤信息欺騙受害者，降低受害者的警惕心。

　　肚腦蟲在這次攻擊中使用的yty框架具有與針對在華巴基斯坦商務人士攻擊活動中相同的特征：

　?。?）下載功能插件的URL格式為“/orderme/[計算機名]-[隨機數]”， [計算機名]-[隨機數]在木馬執行時生成并保存在文件中，用于區分不同的感染設備，攻擊者可以根據URL指定特定的感染者獲取后續插件；

　?。?）下載插件的downloader從C&C服務器獲取3種類型的響應，分別是：“Content-Type: application”， “Content-Type: cmdline”和 “Content-Type: batcmd”。

　?。ㄎ澹┯“涂耸裁谞枦_突期間傳播Android木馬

　　2019年4月，奇安信高級威脅研究團隊捕獲到與肚腦蟲組織相關的Android木馬樣本，發現該組織對使用的惡意安卓APK框架進行大規模升級【7】。攜帶木馬的惡意APP名為 “KashmirVoice”（克什米爾之聲），當時印度和巴基斯坦在克什米爾地區的摩擦加劇，而克什米爾之聲本身是用于宣傳印度軍隊暴力行為的網站，疑似由巴基斯坦建立，因此該APP有很可能是針對一些會訪問該網站的巴基斯坦人所精心定做。

　　2019年9月，印巴在克什米爾地區沖突不斷升級，肚腦蟲通過仿冒Kashmir News Service（克什米爾新聞服務）的APP“KNS”傳播木馬【8】。惡意APP運行以后，并沒有像以往一樣隱藏自身圖標，而是通過仿冒Kashmir News Service（克什米爾新聞服務）展現給用戶完整的新聞APP功能，從而讓受害者放心使用，增加自身的隱蔽性。

　?。├冕烎~網站和社交軟件發起移動攻擊

　　2020年4月，國內安全廠商監測到肚腦蟲組織通過將惡意軟件偽裝成在線聊天工具RapidChat，利用釣魚網站和社交軟件發起網絡攻擊【9】。此次攻擊活動中，攻擊者搭建了名為RapidChat在線聊天功能的釣魚網站，網站首頁介紹稱其為全世界巴基斯坦人最喜歡的聊天場所，偽造了多名分布在世界各地巴基斯坦虛假人物。網站還提供了相應的聊天APP軟件下載。

　　通過該鏈接下載的APP軟件實際上為Android木馬，此次攻擊樣本的惡意功能和云端執行命令與肚腦蟲之前的Android平臺攻擊樣本完全一致，不過攻擊者在此次攻擊樣本中添加了后臺延時運行的相關包，以支持其在高版本Android系統上實現后臺運行。

　?。ㄆ撸┮苿佣宋淦鲙焐壴俣劝l起攻擊

　　2020年10月，國內外安全廠商均發現肚腦蟲組織的Android木馬開始利用Google Firebase Cloud Messaging （FCM）服務下發用于下載后續載荷的C&C服務器信息【10,11】。

　　圖3  肚腦蟲組織在移動端攻擊活動中使用Google FCM服務【10】

　　在此次攻擊活動中，肚腦蟲組織使用偽裝成巴基斯坦流行的在線交友網站LoveHabibi的釣魚網站傳播惡意APP。根據對受害者地理位置的分析，肚腦蟲此次攻擊的目標主要為巴基斯坦和克什米爾地區，并且受害者可能包含軍事背景人員。攻擊中使用的惡意軟件具有以下特點：

　　（1） 攻擊者可以根據從感染設備回傳的信息選擇特定受害者下載后續載荷，減少了后續載荷暴露的風險；

　?。?） 借助FCM服務下發C&C服務器信息，隱蔽性強，并且即使現有C&C服務器暴露，攻擊者也可以及時切換到新的C&C服務器，維持對感染設備的控制。

　　總結

　　長期以來，肚腦蟲組織針對南亞多國的政府、軍事部門進行頻繁的網絡間諜活動，攻擊活動具有強烈的政治背景。該組織使用的攻擊手法整體上比較固定且具有自己的特色。

　　為了對抗安全軟件的檢測查殺和安全人員的分析追蹤，肚腦蟲組織仍在持續不斷地升級更新自己的武器庫和攻擊手段，以保證攻擊過程的隱蔽性，減少后續攻擊載荷暴露的風險。

　　由于肚腦蟲組織和南亞其他攻擊組織存在聯系，該組織在未來的攻擊活動中可能會采用更加多樣化的攻擊手法。