境外APT组织对国内重点单位的“尼格风暴”行动

前情提要：本报告为中国电信安全公司从互联网角度对本次APT攻击行动做出的风险评估及攻击链画像。报告将从多维度切入，基于电信安全自研全新数据分析模型做风险分析与评估，填充APT攻击画像中的“真空地带”。

概述：“风暴模式”的APT攻击

2022年 11月16日15:12起，经检测发现境外黑客利用多个攻击资产对我国12个省中18个地市的多个目标展开攻击，面临较大的数据泄露风险。历史攻击回溯和实时风险状态检测，攻击者在2022年11月至2023年2月，利用国内某防火墙漏洞针对我国医疗、能源、化工、地质、基建等关键行业的23个高价值目标展开攻击。 综合多方归因，本次APT攻击为具有越南政府背景的“海莲花”所为，其长期攻击中国海洋、地质、能源等行业，有较强地缘政治倾向。由于本次APT攻击行动涉及目标范围大，影响范围广且始于2022年11月，与2022年的“尼格”热带风暴登陆时间相近，因此，将本次攻击行动代号命名为“尼格风暴”。

洞悉“海莲花”的新花样

对高价值威胁情报分析、检测与拓线，筛选出部分APT组织近3个月内活跃且高价值的攻击/跳板资产，并对有关资产定位、空间测绘、类型等多维度分析。分布在国内的攻击资产基本属于跳板机，有效生存（生命）周期基本在半个月内，半个月后跳板机大部分得到有效的威胁响应排查与遏制，说明国内监管部门针对APT攻击资产风险监测较为到位，个别跳板资产生命周期超1个月甚至更长。相较于同源攻击者攻击资产，在国内跳板机的生命周期，部署在国外的攻击资产的生命周期会相对较长，平均可达2-3个月，甚至更长。

分析近期同源攻击者的高价值攻击资产，在2022年11月份开始出现新型的Linux类型木马，攻击资产与攻击目标之间的早期远程控制指令交互主要是通过80、443、8443等端口的http和https协议传输。从威胁风险指数趋势看，攻击者在2022年11月16日攻击国内目标时已经投入新型木马实践测试使用，2023年2月初，国内被攻击的目标进入威胁应急响应状态，攻击风险得到有效遏制和清除，整个攻击周期持续87天以上。

图-威胁风险指数分析

*威胁风险指数：是电信自研威胁风险分析模型，主要用于体现单位时间内的存在威胁风险程度。

从目前检测到的数据看，数据风险指数与威胁风险指数趋势基本吻合，但数据风险指数峰值的时间节点在2022年12月31日，是威胁指数第一次拉升的峰值，对个别攻击目标进行高强度数据交互，此时有较高的数据泄露风险。

图-数据风险指数分析

*数据风险指数：是电信自研数据风险分析模型，主要用于体现单位时间内的存在数据风险程度。

大网视角下，纵观国内目标的攻击链路

图-“尼格风暴”行动互联网攻击链路复盘

对“尼格风暴”攻击行动进行互联网攻击链路复原分析，复现其利用多个攻击节点对国内23个攻击目标的攻击路线和模糊原始攻击时间点，形成整个行动在互联网侧的大体攻击链路。对国内攻击目标行业做初步划分，涉及医疗、能源、化工、地质、大基建等敏感行业。从国内城市分布上看，攻击事件和攻击目标所在地主要分布在南部沿海及周边并向中东部扩散蔓延。这说明“尼格风暴”行动攻击战略目标主要分布在南部沿海及周边城市，并向中东部城市扩散蔓延。

在攻击行动中，攻击者疑似利用国内某品牌防火墙未被披露的远程代码执行漏洞突破，且新型Linux木马涉及到的攻击目标都有该防火墙资产的共性。因此，基本确定“海莲花”这次攻击行动使用了通用型产品漏洞。攻击行动对每个攻击目标的活动周期平均为20.5天，且对厦门目标威胁风险最为显著。因此，初步评估本次攻击为高价值APT攻击行动。

锁定风险共性，评估潜在风险，呼吁联防联治

根据“尼格风暴”行动中涉及到的空间资产共性，结合互联网空间测绘，粗略筛选出去重后的1075个IP资产开放有关产品服务端口（服务开放不代表存在漏洞，但后台服务端口在互联网暴露也是一种风险）。这些资产主要分布在中国境内，其次是美国、新加坡和巴西。虽然存在相关风险（不局限于特定漏洞的风险评估，资产服务端口也不该暴露在互联网上）的资产分布于全球17个国家，但90%以上的资产都集中在国内，说明相关的风险也集中在国内，进一步表明这次“尼格风暴”行动目标针对中国。

从国内互联网空间测绘分析得出，有关风险资产的归属主要分布在三大运营商及教育网和某互联网云。由于三大运营商已覆盖85.6%的风险相关资产，若合并教育网及某互联网云的数据将占比高达96.5%。从国内互联网空间测绘有关风险资产的运营商归属分布情况并结合平均活动周期超过20天的现状分析，中国电信安全公司呼吁监管单位协同大网联控，以实现对国内高价值威胁（包括APT）的感知、评估、阻断、治理的前置处理。也欢迎有志于在联防联治建设的团队与中国电信安全公司合作交流。

更多信息将在完整报告中呈现，请于本公众号后台回复“尼格风暴”获取，欢迎在留言区交流。

声明：本文来自中国电信安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。