360披露针对中国的南亚黑客组织

　　日前，360威胁情报中心追日团队发布《摩诃草组织》报告，深度披露针对中国、持续活跃的南亚APT组织——摩诃草组织。这是继2015年5月披露海莲花组织以后，360再度披露针对中国进行攻击的境外APT组织。据悉，摩诃草组织主要针对中国、巴基斯坦等亚洲地区国家进行网络间谍活动，以窃取敏感信息为主，自2012以来已发起四次大规模攻击。

　　报告指出，摩诃草组织的APT攻击具有不计成本、持续攻击的特点，加上我国相关政府与科研机构的检测欠缺和响应乏力，导致摩诃草组织在曝光披露后依然活跃。

　　窃取中国敏感科研与军事信息

　　报告指出，摩诃草组织的主要攻击中国科研教育和政府机构，目的是窃取敏感数据情报。这也代表了以中国为攻击目标的APT组织所具有的特性：关注科研教育、政府机构，以窃取数据为目的。

　　在分析摩诃草组织过程中，360追日团队发现在针对中国的攻击，从2015年第三方和第四次攻击行动中，针对中国的目标行业除了科研教育外，针对军事领域的相关攻击不断增加，尤其是关于南海争端等。也就是APT组织会紧密围绕政治、经济、科技、军工等热点领域及事件发动相关攻击。类似“****”、“军民融合”等是除了摩诃草组织以外，也是如海莲花组织、APT-C-05、APT-C-12、APT-C-17等这些组织重点关注的领域。

　　主要针对的行业分布

　　从受影响的省市来看，国内受影响量排名前三的省市是：北京、广东、福建，其中北京地区是主要攻击目标，在西藏、宁夏和贵州这三个省市自治区暂未发现受影响的用户。

　　国内用户受影响情况(2015年7月-2016年6月)

　　追日团队在报告中详细列举了摩诃草组织发起攻击的手段，主要是利用网络时代的各类上网手段，如鱼叉邮件、钓鱼网站、通讯工具(主要是QQ)以及社交网络来攻击电脑，入侵系统。这其中，以鱼叉邮件、钓鱼网站范围最广、数量组多;而利用通讯工具、社交网站来传播木马，具有主动联系使用者且一旦建立联系就可以持续攻击的特点，因此危害更大。

　　攻击从未停止且不计成本 背后隐现国家背景支持

　　摩诃草组织针对中国等国家的攻击，自2009年至今已经持续7年之久。从2013年Norman安全公司将摩诃草组织(即HangOver)曝光后，该组织并未因此停止相关攻击活动，尤其从2015年至2016年期间，相关攻击活动愈演愈烈。追日团队研究人员表示，对摩诃草组织这四次攻击行动的分析，我们发现其攻击意图中主要的攻击目标和目的也都未发生改变，这也体现出幕后组织意志的坚定性和达到目标的决心。

　　“摩诃草组织不会因为一次攻击失败就放弃目标，而是蛰伏起来，重新制定战术、分配资源，等待新一轮的攻击，直到达到目的。”

　　除了持续性，摩诃草组织的攻击不计成本也是其最大的特点。在资源使用方面，摩诃草组织基本是对目标所存在的所有受影响攻击面都会涉及考虑到，采用各种方式，从各个角度进行攻击。几乎是一种为达到目的，不择手段，不计成本的攻击方式。 报告数据显示，摩诃草相关攻击行动中使用了大量漏洞，其中至少包括一次0day漏洞使用，相关恶意代码非常繁杂——恶意代码HASH数量有995个，C&C数量为731个，相关恶意代码会持续的迭代更新。载荷投递的方式，主要是以鱼叉邮件进行恶意代码的传播，另外会涉及少量水坑攻击，尤其是该组织选择了基于即时通讯工具这种高成本的攻击。

　　追日团队研究人员表示，摩诃草组织的攻击显然不是个人或普通组织能发起的，幕后应该有大财团甚至是国家支撑。虽然暂时没有直接的证据证实摩诃草组织是一个由国家支持的APT组织，但攻击过程中所使用的大量资源，都表明这不是个人或一般组织能承受的攻击成本，除非幕后有一个强大的财团支持，另外，该组织相关攻击所表达出明确的意图和坚定的意志，这也不是个体所能达到的，结合这些客观现象，我们认为摩诃草更有可能是由一个国家背景长期支持的APT组织。

　　攻击被曝光依然活跃 国内能力型安全厂商严重缺位

　　摩诃草组织从2009年至今已持续活跃了7年，摩诃草组织最早由Norman安全公司于2013年曝光，随后又有其他安全厂商持续追踪并披露该组织的最新活动，但该组织并未由于相关曝光而停止对相关目标的攻击，相反从2015年开始更加活跃。

　　为何摩诃草组织在曝光披露后依然活跃，继续开展网络间谍活动，窃取我国敏感信息?追日团队在报告中指出，针对中国的攻击中，往往低成本的攻击就能达到攻击者的预期，而导致低成本入侵频频得手的主要原因是由于被攻击目标防御薄弱。但更主要的原因是我国针对APT攻击的检测欠缺和响应乏力。

　　追日团队对摩诃草的监控发现，一些披露过的攻击在此后依旧活跃，有些木马甚至是查杀过的。这是因为在受攻击后，对相关漏洞没有跟进修补，或者发现问题时也没有及时改进，导致APT攻击愈演愈烈。

　　更重要的原因是国内能力型厂商依然缺位。报告指出，国内号称能够检测APT的产品很多，但真正能发现、分析、溯源和防护高级威胁的安全产品依然很少，在国内只有很少几家安全厂商能实现自主发现APT攻击，一般机构都是在国外安全厂商披露后进行跟进分析。

　　据悉，这种状况和国内缺乏能力型安全厂商生存的空间有很大的关系。360企业安全集团总裁吴云坤表示，如果在现在的防护体系中，能够引入更多能力型厂商，更多能从监控发现到检测防御每个环节打通完善，形成良性的闭合循环，各类安全厂商与被攻击目标之间形成协同联动，即使我们无法提前知晓摩诃草组织何时卷土重来，但我们依然可以将后续的相关攻击拒之门外，让摩诃草的第五次攻击行动化为泡影。