美國軟件安全初創(chuàng)企業(yè) ProtectWise 公司威脅研究與分析團隊（401TRG）近期發(fā)布一份45頁的分析報告指出，中國的 Winnti Umbrella 黑客組織以 IT 員工為目標，正不斷調(diào)整自身策略且高度依賴魚叉式網(wǎng)絡釣魚——而非傳統(tǒng)惡意軟件——實施入侵，報告認為這些網(wǎng)絡活動旨在收集合法軟件廠商代碼簽名證書以支持后續(xù)供應鏈攻擊。

黑客組織Winnti Umbrell

Winnti Umbrella （簡稱Winnti，亦被稱為 Axiom 或 APT17）。

2013年，卡巴斯基實驗室發(fā)現(xiàn)了 Winnti，該組織當時的攻擊目標主要是網(wǎng)絡游戲行業(yè)，且實際上從2009年開始就對網(wǎng)絡游戲行業(yè)公司發(fā)動攻擊，竊取由合法軟件供應商簽發(fā)的數(shù)字證書，此外還會竊取知識產(chǎn)權(quán)內(nèi)容，包括在線游戲項目的源代碼。得到源代碼后，該組織通常將其放到中國黑市進行兜售，或是直接用到這些源代碼制作山寨游戲來以此獲利。

2015年，Winnti 組織的攻擊目標已經(jīng)不再僅限于網(wǎng)絡游戲公司，還包括電信和大型制藥公司。

ProtectWise 公司研究人員對 Winnti 黑客組織多年來長期使用的 TTP（即戰(zhàn)術、技術與程序）進行了分析。Winnti 這一名稱源自該黑客組織使用的主要工具之一：Winnti 后門。

Winnti Umbrella 黑客集團正成為惡意勢力的熔爐

此前曾有多個獨立黑客組織也曾使用與原 Winnti 黑客組織相同的戰(zhàn)術與基礎設施。經(jīng)過對運營錯誤以及舊有攻擊基礎設施的重復利用行動進行多年觀察之后，研究人員們總結(jié)稱此前被認定為獨立高級持續(xù)性威脅（APT）組織的 BARIUM、Wicked Panda、GREF 以及 PassCV 等，似乎共享部分 Winnti 技術成果及其基礎設施。

401TRG 研究人員指出，“TTP、基礎設施以及工作鏈觀察結(jié)果顯示，各個黑客組織之間似乎存在一些交集。

Winnti 黑客組織以 IT 人員為主要目標

報告顯示，目前 Winnti Umbrella 集團的各 APT 組織似乎表現(xiàn)出常見的入侵/行動模式：

攻擊者似乎更傾向于通過魚叉式釣魚攻擊滲透單一目標，這些黑客組織主張收集憑證并登錄賬戶，而非利用惡意軟件建立初始立足點。

401TRG 研究人員在對2017年的安全事件進行回顧時表示，他們觀察到一系列針對人力資源與招聘經(jīng)理、IT 員工以及內(nèi)部信息安全人員的魚叉式網(wǎng)絡釣魚攻擊，而且還很奏效。

攻擊者們專注于收集網(wǎng)絡憑證，而后借此在企業(yè)內(nèi)部實現(xiàn)橫向移動。

在此之后，攻擊者們使用一種名為“就地取材（living off the land）”的技術，即利用本地安裝的應用實現(xiàn)惡意目的。此類入侵活動中常用的工具包括標準 Windows 工具程序，外加 Metasploit 與 Cobalt Strike 等滲透測試工具。

另外，攻擊者只在必要時才部署惡意軟件，以免自身行跡暴露，進而失去在目標網(wǎng)絡中的立足點。

2018年3月該組織出現(xiàn)致命疏忽

報告指出，這些黑客組織的戰(zhàn)術在2018年出現(xiàn)輕微轉(zhuǎn)變，黑客利用釣魚郵件來企圖獲得有企業(yè)敏感信息的 Office 365和Gmail 賬號，實際目標仍然集中在 IT 人員群體當中，其目的或希望訪問內(nèi)部網(wǎng)絡中的工作站設備。在此過程中，它們犯下了嚴重的安全錯誤，暴露了核心行動信息：

大多數(shù)情況下攻擊者會用它們的遙控服務器來隱藏自己真實IP地址。但在少數(shù)場合中，攻擊者錯誤地直接訪問了肉雞，沒有利用這些代理。

大多網(wǎng)絡活動在獲取代碼簽名證書

研究人員們表示，這些黑客組織在攻擊當中，主要關注對代碼簽名證書、源代碼以及內(nèi)部技術文檔的竊取，他們還可能試圖操縱虛擬經(jīng)濟以獲取經(jīng)濟利益。雖然尚未得到證實，但其以金融組織作為次要目標的作法很可能意味著其希望通過攻擊活動獲取收益。

研究人員們認為，代碼簽名證書竊取似乎正是 Winnti Umbrella 黑客集團下各 APT 組織所設定的一大“共同目標”。為了奪取代碼簽名證書，黑客們將攻擊重點放在位于美國、日本、韓國以及中國本土的各軟件與游戲企業(yè)身上，因為此類組織往往更可能持有此類證書。

Winnti或正在策劃供應鏈攻擊

研究人員認為，Winnti Umbrella 黑客組織正在收集資源并策劃供應鏈攻擊，例如以惡意軟件感染官方軟件，這是因為只要持有有效的代碼簽名證書，此類活動就能成功騙過安全監(jiān)管人員的眼睛。

報告認為，中國的黑客組織或已經(jīng)開始有所行動，2017年 Winnti 黑客組織曾入侵韓國軟件開發(fā)商 NetSarang，并在其網(wǎng)絡管理工具中秘密植入了后門 ShadowPad，攻擊者可借此完全掌握 NetSarang 從客戶的服務器。而后門ShadowPad與 Winnti 后門以及類似的叫 PlugX 的后門有一定的相似性。卡巴斯基表示之所以能發(fā)現(xiàn) ShadowPad，是因為一個在財經(jīng)行業(yè)的合作伙伴發(fā)現(xiàn)一臺用來轉(zhuǎn)賬業(yè)務的電腦在發(fā)出詭異的域名查看請求。在當時， NetSarang的工具被數(shù)百家銀行，能源和醫(yī)藥企業(yè)使用。

另一份報告強調(diào)稱，云服務供應商在黑客的攻擊視野中也越來越多地成為一類重要目標。攻擊者在獲得目標云服務的訪問權(quán)之后會搜索內(nèi)部網(wǎng)絡的文件和工具，從而遠程訪問企業(yè)內(nèi)部網(wǎng)絡。通常，攻擊者在成功獲取訪問權(quán)后會用自動工具來掃描內(nèi)部網(wǎng)絡，查找開放端口80、139、445、6379、8080、20022 和 30304。