境外APT-C1组织攻击我国某互金平台

至顶网安全频道 01月11日 综合消息： 2018/01/11，绿盟科技发布报告《互金大盗背后的高级威胁组织APT-C1》。报告首次发现并命名了境外APT-C1组织，他们利用“互金大盗”恶意软件攻击我国某互金平台，导致平台数字资产被窃，损失高达150万美元。

APT-C1组织攻击我国互金平台

在整个攻击事件中，攻击者在战术、技术及过程三个方面（TTP）表现出高级威胁的特征，包括高度目的性、高度隐蔽性、高度危害性、高度复合性、目标实体化及攻击非对称化，在国际网络安全领域通常使用这些特征，来标识及识别高级持续性威胁（APT）攻击，同时由于其攻击主要针对我国互联网金融领域，因此将其命名为APT-C1。

进一步分析显示，APT-C1组织开发的“互金大盗”，从2015 年5 月开始，逐步聚焦到互联网金融领域，并不断收集捕获包括比特币、莱特币、以太坊、比特币现金在内的12 种数字资产、22 个第三方钱包、8 个交易平台的敏感文件。当发现入侵目标后（我国某互联网金融交易平台），即展开持续进攻，直至进入该平台窃取凭证后，转移150万美元的数字资产。

APT-C1的进攻战术隐蔽且危害性大

与其它高级威胁攻击不同，APT-C1组织清楚的认识到，在面对互联网金融这样的大资金交易平台时，如果采用大规模感染且自动化攻击的形式，容易引起警觉很难奏效。故而攻击者长期活跃在互金社区解答用户问题，尤其关注互金平台管理员的痛点，然后有针对性的设置“诱饵”，将“互金大盗”恶意软件捆绑到管理员工具上，并在有限范围内扩散。一旦有“鱼”上钩，就展开有针对性的攻击。

在目前发现的单个案例中，已经成功转移了数字资产，在更大范围的相关托管机构还有可能发生更为严重的“币池”资产转移，一旦投资者托管的钱包和密钥被窃取，将导致大规模数字资产失窃。目前，绿盟威胁情报中心捕获到“互金大盗”恶意软件的29 个样本，相关域名5 个，而这些样本在国际通行的60个防病毒引擎中，只有两个能察觉到。

有效应对互金大盗的攻击

APT-C1组织的攻击较为复杂，但针对其目前使用的“互金大盗”恶意软件，绿盟威胁情报中心NTI已经具备了防御能力，并持续追踪相关威胁情报，客户登录该平台即可实时查询相关信息。在NTI支持下，还可以利用绿盟入侵防御系统NIPS 进行网络边界防护，并利用绿盟威胁分析系统TAC进行内部网络的检测。