起底国家级APT组织：蔓灵花（APT-Q-37）

国家级APT（Advanced Persistent Threat，高级持续性威胁）组织是有国家背景支持的顶尖黑客团伙，专注于针对特定目标进行长期的持续性网络攻击。

奇安信旗下的高级威胁研究团队红雨滴（RedDrip Team）每年会发布全球APT年报、中报，对当年各大APT团伙的活动进行分析总结。

 蔓灵花是据称有南亚背景的APT组织，具有强烈的政治背景，至少从2013年11月以来就开始活跃。

蔓灵花组织主要针对巴基斯坦、中国两国，其攻击目标为政府部门、电力、军工业相关单位，意图窃取敏感资料。奇安信内部跟踪编号为APT-Q-37

背景 

蔓灵花又名BITTER、APT-C-08、苦象、T-APT-17等称号，是一个据称有南亚背景的APT组织。该组织至少从2013年11月以来就开始活跃，但一直未被发现，直到2016年才被国外安全厂商Forcepoint首次披露。

Forcepoint根据其远程访问工具(RAT)所使用的网络通信标头将该组织命名为“BITTER”。同年，奇安信威胁情报中心发现国内也遭受到了相关攻击，并将其命名为“蔓灵花”。

自从被曝光后，该组织就修改了数据包结构，不再以“BITTER”作为数据包的标识。至此，蔓灵花正式浮出水面，随着其攻击活动不断被发现披露，蔓灵花组织的全貌越来越清晰。

该组织具有强烈的政治背景，主要针对巴基斯坦、中国两国，2018年也发现了其针对沙特阿拉伯的活动，其攻击瞄准政府部门、电力、军工业相关单位，意图窃取敏感资料，2019年还加强了对我国进出口相关的攻击。

有意思的是，在多份报告中均有指出，蔓灵花组织跟疑似南亚某国的多个攻击组织，包括摩诃草（Patchwork）、魔罗桫、肚脑虫（donot）等存在着千丝万缕的关系。

攻击手段与工具 

蔓灵花针对Windows和Android平台进行攻击活动。

鱼叉邮件攻击是其最为常用的攻击手段，用以投递攻击载荷，接着释放downloader进行下一阶段的间谍活动。同时该组织也会进行水坑攻击和社工攻击。

蔓灵花使用的数字武器包括ArtraDownloader，BitterRAT，也会结合商业或开源RAT实施攻击活动，比如Async RAT，Warzone RAT。

通过总结蔓灵花以往的攻击活动，该组织具有以下特点：

• 主要使用的攻击手法是鱼叉邮件->Dropper-Downloader->后续插件、RAT、Keylogger等；
• 在鱼叉攻击阶段，偏好投递带有office漏洞的恶意文档；
• BITTER比较喜欢通过CreateSemaphoreA来防止多开；
• BITTER针对不同的攻击对象，诱饵文件名和诱饵内容完全不同，完全定制化；
• 具备使用0day漏洞进行攻击的能力；
• 主要针对Windows进行攻击，其Android平台攻击活动披露不多

（一）攻击手段

1. 鱼叉攻击

鱼叉攻击，是蔓灵花组织最常用的攻击手段，其鱼叉邮件使用的攻击诱饵大都根据不同攻击对象进行定制，因而具有较强的迷惑性。并且通过鱼叉邮件投递的诱饵类型多样，在历次攻击活动中出现过以下类型攻击诱饵：

(1) 携带漏洞利用的Office文档；

(2)自解压文件，主要使用word程序图标进行伪装的；

(3) Chm文件诱饵；

(4) Lnk文件诱饵；

2. 水坑攻击

蔓灵花采用两种手段制作水坑：攻陷合法网站，在合法网站上托管其攻击载荷，或者搭建伪装为合法网站的恶意网站，诱使受害者下载。蔓灵花通过水坑网站除了直接向目标投递恶意软件，还结合社会工程学手段，制作钓鱼页面窃取攻击目标的邮箱账号。

3. 社工攻击

蔓灵花也被观察到使用社会工程学进行攻击。

该组织会通过伪造身份向目标发送鱼叉邮件，投递恶意附件诱导受害者运行，或者先会选定部分容易攻破的邮箱进行针对性的攻击，获取部分种子受害者的邮箱账户及密码，然后攻击者会利用种子受害者邮箱账户，针对信任种子受害者的联系人定制诱饵邮件，再次发起二次攻击并扩大攻击范围。

更有甚者，该组织还冒充过某旅游公司的短信进行Android平台的攻击活动。

（二）使用工具及技术特征

在攻击初始阶段，蔓灵花通过鱼叉邮件或水坑攻击投递初始攻击载荷，包括漏洞文档、自解压文件、chm文件、Lnk文件，其中漏洞文档使用的漏洞包括：CVE-2012-0158、CVE-2014-6352、CVE-2017-11882、CVE-2017-12824；

接下来，自解压文件会释放执行下载器，而漏洞文档、Lnk文件和chm文件均会通过下载msi来安装下载器，所使用的下载器为ArtraDownloader、MuuyDownLoader，之后下载器收集受害者系统信息，返回C2，并根据C2命令下发后续功能模块。后续功能模块主要有远控RAT、文件窃密模块、键盘记录三类。

著名攻击事件

（一）BITTER首次现世

2016年，Forcepoint披露了一起针对巴基斯坦的攻击活动，并将其幕后黑手命名为“BITTER”。据Forcepoint称该活动至少自 2013 年 11 月以来就已存在，攻击者利用鱼叉式网络钓鱼电子邮件瞄准巴基斯坦政府部门，其附件文件包含 CVE-2012-0158 漏洞，而在另一例攻击中还投递了伪装为巴基斯坦女人照片的sfx文件诱饵。

随后，奇安信威胁情报中心发现中国地区也遭受到了相关攻击的影响，并将其命名为“蔓灵花”。攻击者采用了与巴基斯坦攻击中同样的手法攻击了国内政府、工业、电力相关部门和机构。

（二）针对我国重点单位进行钓鱼攻击

2018年，某国内安全厂商披露了BITTER组织针对我国军工业、核能、政府等重点单位的攻击活动。

本次攻击主要采用鱼叉钓鱼的方式，对相关目标单位的个人直接发送嵌入了攻击诱饵的钓鱼邮件。攻击诱饵使用了伪装为word图标的自解压文件。此外，为了提高成功率，攻击者先对目标发送安全提示相关的钓鱼邮件，诱使被钓鱼用户修改邮件账户密码，从而获取用户的邮箱密码，而后再用被控制的邮箱继续对企业内的其他人进行嵌入攻击诱饵的钓鱼邮件。

从本次攻击诱饵来看，其文件名和内容完全不同，攻击者根据不同的攻击目标对诱饵进行了完全定制化的处理。在此次攻击活动中捕获了三类功能模块：模块一，设置开机启动项；模块二，键盘记录；模块三，远程控制木马（RAT）。

（三）BITTER首次针对沙特阿拉伯

2019年初，Palo Alto Networks发布报告称在 2018 年 9 月中旬至 2019 年 1 月期间，BITTER利用水坑攻击，攻陷合法网站后，在其上托管其新的自定义下载器，将目标锁定在巴基斯坦、中国和沙特阿拉伯。该下载器利用独特的自定义混淆例程通过 HTTP 下载并执行 BitterRAT 恶意软件系列。

Palo Alto Networks将该组织在此次攻击中使用的下载器命名为ArtraDownloader。

（四）蔓灵花C2控制后台曝光

2019年10月27日，推特@MisterCh0c发布一张照片，通过分析，发现该C2控制台隶属于“蔓灵花”APT组织（Bitter），该后台控制界面显示多个我国IP地址被控制上线。

控制台界面显示了木马控制后台的主机信息界面，包括最后上线时间、主机版本信息、用户名称、电脑名称等。通过该控制页面，攻击者可以对目标继续下发任务。

（五）蔓灵花移动平台攻击活动

2019年8月，国内某安全厂商在日常样本分析中发现一新型Android木马，根据其CC特点将其命名为SlideRAT，深入分析后发现该家族木马属于蔓灵花组织。2016年6月开始，蔓灵花组织便开始使用定制木马SlideRAT针对中国和巴基斯坦展开了长期有组织、有计划的攻击活动。

根据已有数据，我们发现该组织在攻击活动中常用的载荷投递方式包括水坑、钓鱼、短信、社交工具，受害者包括中国军工行业人员、中国党政干部、企业客服人员以及其他中国群众，也包括巴基斯坦和印度克什米尔区域群体。

值得一提的是，此次攻击内置了黎巴嫩政府等与诱饵文件相符的Exchange邮箱账户登陆凭证，推测攻击者在先期准备阶段已成功入侵了有关组织或与其具有信任关系的邮件账户，并借高可信Exchange服务器为信任节点中转通信，隐藏恶意行为。

图1 蔓灵花组织移动平台攻击活动时间线

（六）首次发现使用0DAY漏洞进行攻击

2020年12月，国内某安全厂商在对BITTER攻击样本的分析过程中，发现一个可疑的Windows内核提权漏洞，随后确认为0day漏洞。

蔓灵花组织先攻击了国内某船舶贸易公司，并从中获取了一些信息，其中包括这个发件人邮箱，然后再通过这个邮箱发送钓鱼邮件给其他目标，如政府部门、科研机构相关人员。投递chm恶意文件，从远程服务器下载后续载荷（CERT.msi，downloader）执行。

（七）蔓灵花利用恶意chm文件攻击

2021年3月，奇安信威胁情报中心发现，蔓灵花APT组织开始通过邮箱投递包含有恶意脚本Chm文件的RAR压缩包，对国内外相关单位发起定向攻击。经过遥测，此类的攻击行动已经持续两年，并将其命名为operation magichm。

本次攻击活动中蔓灵花采用了与以往截然不同的攻击链，在其ArtraDownloader被查杀后，该组织提供了一种名为MuuyDownLoader免杀的下载器。蔓灵花组织还将随后下发的.net远控程序作为节点执行命令或者下发插件，并下发了一个之前从未被披露过的新模块，BackupDownloader，由CAB-SFX打包而成，执行过程中释放并执行appsync.vbs脚本。

攻击全流程如下：

图2 Operation magichm攻击流程

总结

总体而言，蔓灵花（BITTER）作为南亚地区比较活跃的APT组织之一，至今保持着一定的活跃度，其主要针对巴基斯坦、中国两国发起攻击。

从以往的攻击活动来看，虽然蔓灵花组织未曾对其TTPs作出较大的改变，但就其具体攻击能力来看，蔓灵花组织也在不断升级改进攻击手段，会结合开源RAT进行魔改来扩充其武器库。

另外，从蔓灵花组织开始使用.NET远控也可看出其攻击能力在不断提升。

该组织还具有强烈的政治背景，基于政治原因，蔓灵花组织也是值得我们持续跟踪关注的。

注解

1. https://ti.qianxin.com/uploads/2021/02/08/dd941ecf98c7cb9bf0111a8416131aa1.pdf
2. https://www.forcepoint.com/blog/x-labs/bitter-targeted-attack-against-pakistan
3. https://unit42.paloaltonetworks.com/multiple-artradownloader-variants-used-by-bitter-to-target-pakistan/
4. https://blogs.360.cn/post/analysis_of_APT_C_08.html?from=timeline&isappinstalled=0
5. https://ti.qianxin.com/blog/articles/%22operation-magichm%22:CHM-file-release-and-subsequent-operation-of-BITTER-organization/

关于作者

奇安信集团红雨滴团队（RedDrip Team，@RedDrip7），依托全球领先的安全大数据能力、多维度多来源的安全数据和专业分析师的丰富经验，自2015年持续发现多个包括海莲花在内的APT组织在中国境内的长期活动，并发布国内首个组织层面的APT事件揭露报告，开创了国内APT攻击类高级威胁体系化揭露的先河。截至目前，持续跟踪分析的主要APT团伙超过46个，独立发现APT组织13个，持续发布APT组织的跟踪报告超过90篇，定期输出半年和全年全球APT活动综合性分析报告。

文章来源：虎符智库