新冠病毒笼罩下的全球疫情相关网络攻击分析报告

Mar 26, 2020anquanke.com

自今年年初新冠病毒在国内全面爆发,奇安信威胁情报中心便立刻意识到在这样的非常时期,网络攻击者绝不会自我"隔离"。保障关键业务系统的安全稳定运行及信息安全、重要网站的正常运转和内容不被篡改、防范和阻断利用疫情相关热点的APT、黑产等网络攻击,是另一个当务之急。

在春节期间,奇安信红雨滴团队和奇安信CERT便建立了围绕疫情相关网络攻击活动的监控流程,以希冀在第一时间阻断相关攻击,并发布相关攻击预警。

截至目前,奇安信红雨滴团队捕获了数十个APT团伙利用疫情相关信息针对境内外进行网络攻击活动的案例,捕获了数百起黑产组织传播勒索病毒、远控木马等多类型恶意代码的攻击活动。并通过基于奇安信威胁情报中心威胁情报数据的全线产品阻断了数千次攻击。相关详细信息均及时上报国家和地方相关主管部门,为加强政企客户和公众防范意识,也将其中部分信息摘要发布。

在本报告中,我们将结合公开威胁情报来源和奇安信内部数据,针对疫情期间利用相关信息进行的网络攻击活动进行分析,主要针对疫情相关网络攻击态势、APT高级威胁活动、网络犯罪攻击活动,以及相关的攻击手法进行详细分析和总结。

自今年1月底新冠疫情爆发开始,嗅觉灵敏的国家级APT组织以及网络黑产团伙便率先展开在网络空间借疫情信息进行的网络攻击活动。1月底到2月中旬,由于大规模疫情仅限于中国境内,这一期间,疫情相关的网络攻击活动也主要表现为针对中国境内。而随着2月中旬后,新冠疫情开始在全球范围内爆发,随之而来的网络攻击行动也逐步扩撒到世界范围,攻击活动越发频繁,越来越多的APT组织、黑产团伙、网络犯罪组织加入到利用疫情热点的攻击活动中。

下图为红雨滴团队近期捕获到的疫情相关恶意文件数量趋势:

根据奇安信红雨滴团队基于疫情相关网络攻击活动的监控来看,网络空间的攻击随着新冠病毒的扩撒而变化。前期,只有中国境内疫情严重时,相关网络攻击便集中针对汉语使用者,并多借以疫情相关中文热点诱饵信息进行攻击。相关诱饵包含的信息例如:"口罩价格"、"疫情防控"、"逃离武汉"、"信息收集"、"卫生部"等等。

而到了2月中旬,欧洲、日韩等国家疫情突然进入爆发期,针对全球范围的网络攻击开始激增,诱饵信息开始转变为多种语言,以" Covid19"、"Covid"、"mask"、"CORONA VIRUS"、"Coronavirus"、"COVID-19"等诱饵信息为主。

下图为红雨滴团队根据攻击活动相关的诱饵热词制作的词云图:

而在本轮疫情相关的网络攻击活动中涉及的恶意文件类型来看,大部分攻击者倾向于直接将PE文件加上疫情相关的诱饵名并通过邮件、社交媒体等方式传播。其次是带有恶意宏或者Nday漏洞的文档类样本。同时,移动端的攻击数量也不在少数。

通过疫情相关的网络攻击目标来看,中国、美国、意大利等疫情影响最为严重的国家也恰巧成为疫情相关攻击最大的受害地区,这说明网络攻击者正是利用了这些地区疫情关注度更高的特点来执行诱导性的网络攻击。下图为受疫情相关网络攻击的热度地图,颜色越深代表受影响更大。

疫情相关网络攻击受害地区分布图

通过红雨滴团队的疫情攻击监测发现,黑产团伙仍然是疫情相关网络攻击活动的最主要来源,其通过疫情相关诱饵传播银行木马、远控后门、勒索挖矿、恶意破坏软件等恶意代码,近期红雨滴团队还捕获了伪装成世卫组织传播恶意木马的多起网络攻击活动。

而国家级APT组织当然也是嗅觉最灵敏的网络攻击团伙,在疫情爆发的整个周期,针对疫情受害严重的国家和地区的APT攻击活动就没有停止过。已被公开披露的APT攻击事件就已达数十起。我们在下图中列举了截止目前借疫情进行APT攻击的团伙活跃度。

奇安信红雨滴团队基于疫情网络攻击事件感知系统,捕获了数百例疫情相关的APT攻击与网络犯罪等攻击活动。以下部分分别介绍APT和网络犯罪相关的威胁活动和攻击技术。

APT攻击,即高级可持续威胁攻击,也称为定向威胁攻击,指某组织对特定对象展开的持续有效的攻击活动。这种攻击活动具有极强的隐蔽性和针对性,通常会运用受感染的各种介质、供应链和社会工程学等多种手段实施先进的、持久的且有效的威胁和攻击。

摩诃草

摩诃草组织(APT-C-09),又称 HangOver、VICEROY TIGER、The Dropping Elephant、 Patchwork,是一个来自于南亚地区的境外 APT 组织,该组织已持续活跃了 7 年。摩诃草组 织最早由 Norman 安全公司于 2013 年曝光,随后又有其他安全厂商持续追踪并披露该组织 的最新活动,但该组织并未由于相关攻击行动曝光而停止对相关目标的攻击,相反从 2015 年开始更加活跃。 摩诃草组织主要针对中国、巴基斯坦等亚洲地区国家进行网络间谍活动,其中以窃取敏 感信息为主。相关攻击活动最早可以追溯到 2009 年 11 月,至今还非常活跃。在针对中国地 区的攻击中,该组织主要针对政府机构、科研教育领域进行攻击,其中以科研教育领域为主。

在疫情爆发初期,该组织便利用" 武汉旅行信息收集申请表.xlsm"," 卫生部指令.docx"等诱饵对我国进行攻击活动。同时,该组织也是第一个被披露利用疫情进行攻击的APT组织。

此类样本将通过宏等方式从远程服务器下载后续木马执行

获取的木马均为PatchWork独有的CnC后门,该后门具有远程shell,上传文件,下载文件等功能

蔓灵花(Bitter)是疑似具有南亚背景的APT组织,长期针对中国、巴基斯坦等国家进行攻击活动,该组织主要针对政府、军工业、电力、核等单位进行攻击,窃取敏感资料,具有强烈的政治背景。

摩诃草率先借疫情发动攻击后,同样具有南亚背景的蔓灵花也开始伪装国内某政府单位进行攻击活动。诱饵文档信息如下

并释放执行蔓灵花常用的木马执行

海莲花(OceanLotus)是一个据称越南背景的 APT 组织。该组织最早于 2015 年 5 月被天眼 实验室所揭露并命名,其攻击活动最早可追溯到 2012 年 4 月,攻击目标包括中国海事机构、 海域建设部门、科研院所和航运企业,后扩展到几乎所有重要的组织机构,并持续活跃至今。

而实际上,根据各安全厂商机构对该组织活动的拼图式揭露,海莲花团伙除针对中国发起攻 击之外,其攻击所涉及的国家分布非常广泛,包括越南周边国家,如柬埔寨、泰国、老挝等, 甚至包括越南的异见人士、媒体、地产公司、外资企业和银行。

奇安信红雨滴(RedDrip)安全研究团队(前天眼实验室)一直对海莲花团伙的活动保持高强度 的跟踪,疫情期间,一直针对国内进行攻击的海莲花自然不会放过机会。不但利用疫情相关信息进行攻击,还利用了湖南爆发的禽流感等信息进行攻击。并采用WPS白加黑的方式执行木马。

经WPS文字处理软件白加黑方式加载起来的恶意dll最终会加载执行海莲花特有的Denis木马

毒云藤,又称APT-C-01, 绿斑,是一个长期针对中国国防、政府、科技、教育以及海事机构等重点单位和部门的APT组织,该组织最早的活动可以追溯到2007年。

疫情期间,该组织开展了多次疫情相关的钓鱼行动,分别构造了虚假的qq邮箱,163邮箱等登陆界面,以"《南部杜氏中医》献方","新表.xls"等为诱饵,诱导受害者输入账户密码登陆下载文件。从而窃取受害者账号密码。

Hades组织最早被披露是在2017年12月22日针对韩国平昌冬奥会的攻击事件,其向冬奥会邮箱发送带有恶意附件的鱼叉邮件,投递韩文的恶意文档,控制域名为伪装的韩国农林部域名地址。

该组织使用被命名为Olympic Destroyer的恶意代码,其对目标主机系统具有破坏性

奇安信红雨滴团队在日常的疫情攻击监测中,发现一例伪装为乌克兰卫生部公共卫生中心发布疫情信息的攻击样本。在捕获该样本的第一时间便对其进行了公开披露。

该样本为宏利用文档,诱饵信息如下,诱导受害者启用宏

释放执行的木马采用c#编写,硬编码了一个c2地址

该木马具有获取进程列表,截屏,键盘记录等功能

经友商溯源分析发现该样本疑似出自Hades之手。

ProjectM

ProjectM又称APT36, Transparent Tribe,Operation C-Major。是疑似具有南亚政府背景的攻击组织,其主要针对周边国家地区进行攻击活动。

奇安信威胁情报中心公开披露了该组织利用新冠病毒信息进行攻击的样本。

该组织构造了一个与印度电子信息处高度相似的域名http://email.gov.in.maildrive.email/进行样本下发。获取到的样本为宏利用文档。启用宏弹框诱使受害者启用宏

启用宏后便会展示新冠病毒相关信息

释放的木马为ProjectM独有的远控木马Crimson RAT。具有远程shell,上传,下载文件,获取进程信息,结束指定进程等多种远控木马功能

Kimsuky,别名Mystery Baby,Baby Coin,Smoke Screen,Black Banshe。疑似具有东北亚背景,主要针对韩国,俄罗斯进行攻击活动,最早有卡巴斯基披露。韩国安全公司认为其与Group123存在部分重叠。

3月初,韩国疫情开始爆发,而作为长期针对韩国进行网络攻击行动的APT,Kimsuky自然不会放过如此好机会,也利用疫情相关信息对韩国进行了攻击活动。

奇安信红雨滴团队捕获的样本信息如下

样本运行后显示如下内容诱导受害者启用宏

当受害者启用宏之后,便会显示疫情相关文档迷惑受害者

而恶意宏会从vnext.mireene[.]com/theme/basic/skin/member/basic/upload/search.hta下载Hta文件执行

再次获取到hta文件将收集主机名、用户名、IP信息、进程列表、磁盘信息、网络环境等信息,并创建计划任务定时获取命令执行

截至完稿前,奇安信红雨滴再次捕获一起Kimsuky利用疫情信息针对韩国的攻击样本,该样本利用python恶意脚本针对MACOS平台进行攻击活动,详细样本信息如下。

该样本在文档中嵌入了一个远程模板文件,受害者打开文档后,则会从外部链接:

http://crphone.mireene.com/plugin/editor/Templates/normal.php?name=web下载带有恶意宏的文档继续运行

行文档后在文档打开界面中可以看见模板注入的远程地址:

一旦受害者按照恶意文档指导启用宏后,恶意宏将判断是否是MAC环境,若是,将下载恶意的python脚本执行

为了掩饰其恶意行为,还会展示关于covid19相关信息以迷惑受害者。

恶意python脚本将再次从远程服务器拉回python代码执行

最终的python脚本将通过系统命令收集进程列表,系统信息,软件列表,文档等信息保存到/Group Containers/UBF8T346G9.Office/backup.zip

之后将打包的信息发送到远程服务器

从远程服务器获取新的脚本执行

Konni组织被认为是来自东北亚的APT团伙,韩国安全厂商ESTsecurity通过关联分析,认为其与Kimsuky组织存在联系。

在疫情期间,Konni组织也没让Kimsuky单兵作战,Konni使用其常用的攻击手法展开了疫情期间的攻击活动,样本信息如下

样本将字体设为较浅的颜色,可以依稀看到Covid-19等疫情相关字样,诱导受害者启用宏

一旦受害者启用宏后,恶意宏代码将从远程下载执行konni组织常用的木马控制受害者机器

TA505组织由Proofpoint在2017年9月首次命名,其相关活动可以追溯到2014年。该组织主要针对银行金融机构,采用大规模发送恶意邮件的方式进行攻击,并以传播Dridex、Locky等恶意样本而臭名昭著

在疫情期间,红雨滴团队捕获该团伙多个以"COVID-19-FAQ.xls"为名的攻击文档。

此类样本均采用宏利用方式,打开文档后,将诱导受害者启用宏

受害者启用后,将展示一个虚假的进度条迷惑受害者,这与TA505之前的活动类似

同时,恶意木马也将被加载执行,收集计算机信息发送到远程服务器

黑产等网络犯罪攻击不同于APT攻击具有非常独特的定向性,通常采用撒网的方式,四处传播恶意代码,以达到牟利的目的。在疫情期间,红雨滴团队捕获多个黑产团体的攻击行动,包括已被披露的金眼狗等。

由于黑产团伙组织较多,且攻击活动基本一致,故本节不以团伙分类,而从攻击手法上进行阐述。

钓鱼邮件在网络攻击活动中是最常见的一种投递方式,黑客通过热点新闻等信息诱导受害者执行邮件附件,从而控制受害者计算机。以下为部分利用疫情热词并通过钓鱼邮件分发的不同恶意附件类型样本分析

该邮件宣称只要填上附件相关信息,并打印就可以在附件医院免费检查诱导受害者执行附件

附件 COVID 19 Requisition.xls中包含恶意的宏,一旦用户执行附件并启动宏,恶意的宏代码将会从远程下载文件并通过rundll32.exe执行

黑客伪装为世卫组织欧洲办事处,宣传一些疫情期间防护措施,并要求受害者执行附件,将体温信息按照附件格式进行登记

该附件是公式编辑漏洞利用文档,执行后运行流程如下

最后将从远程拉回一个hawkeye远程控制木马执行

以伪装为世卫组织的的样本为例。邮件内容如下

其伪装成世卫组织并表示附件中有世界卫生组织对日常生活的一些健康建议,由于世卫组织是全球性的权威组织,多数受害者会尝试执行附件中的文件。

而附件中是一个loader,运行后将解密一个可执行文件注入到RegAsm.exe执行

注入执行的可执行文件是商业木马Hawkeye RAT,具有收集信息,远程shell,键盘记录等恶意功能

此类攻击方式中,黑客通常将疫情相关的热门词汇作为文件名,通过社交媒体等方式进行传播。

近几年随着在线博彩的需求逐渐上升,东南亚等国从事博彩相关人员越来越多,而一些黑产团伙则格外喜欢针对这些人群,上演黑吃黑。

此类攻击中诱饵一般以"色情","暴力","热点新闻"等关键字为主,部分疫情期间捕获样本信息如下:

在此次针对疫情的样本投递中,攻击者将样本图标伪装成安装手册、IE浏览器、通讯软件Skype、BMP图片、自定义图片等常见图标。结合夺人眼球的文件名进行投递。投递木马大部分是魔改的"大灰狼"远控,其中部分样本是针对此次疫情"定制";部分是老样本更改了图标和名字直接投递,详细信息如下:

以"口罩价格及例图.exe"为例,样本运行后会在内存中解密一个PE文件,修复文件头。

该PE文件则是魔改的"大灰狼远控":

勒索病毒,是伴随数字货币兴起的一种新型病毒木马,通常以垃圾邮件、服务器入侵、网页挂马、捆绑软件等多种形式进行传播。机器一旦遭受勒索病毒攻击,将会使绝大多数文件被加密算法修改,并添加一个特殊的后缀,且用户无法读取原本正常的文件,对用户造成无法估量的损失。勒索病毒通常利用非对称加密算法和对称加密算法组合的形式来加密文件,绝大多数勒索软件均无法通过技术手段解密,必须拿到对应的解密私钥才有可能无损还原被加密文件。黑客正是通过这样的行为向受害用户勒索高昂的赎金,这些赎金必须通过数字货币支付,一般无法溯源,因此危害巨大。

疫情期间,多类勒索软件也开始利用相关信息进行传播,包括Dharma/Crysis,CXK恶搞勒索,Android勒索等,其中一例勒索样本还将自己命名为COVID-19 RANSOMWARE

部分疫情相关勒索病毒信息如下

以COVID-19.exe为例

该样本由C#编写,提示信息硬编码到了代码中,要求用户到cultureland[.]co[.]kr购买10000韩元(约57人民币)的礼品卡然后将兑换码发送到木马开发者的邮箱。

经过分析,该样本制作简单,只能算是一个"伪勒索",样本运行后不会真的加密用户的文件,只会弹出一个活动窗口,并提示用户到指定目录阅读刚才在代码中看到的提示信息。在任务管理器中将该进程结束即可。

相比之下,Dharma 家族在疫情期间投递的SAMPLE.EXE才是"正常"的勒索病毒,样本运行后,会将计算机所有文件加密为:[原始文件名].[id].[coronavirus@qq.com].ncov

并且给出勒索提示,要求用户发送邮件到coronavirus[AT]qq[.]com进行谈判。

当今互联网的高速发展,孕育出了一批高新产业,如人工智能、分布式计算、区块链、无人驾驶等。这些高新技术为人们生活带来便利的同时,引发的安全问题也日益凸显。随着区块链技术的普及,其涉及的虚拟数字货币也创造了巨大的财富。这些虚拟货币可以通过"挖矿"的形式获取,"矿工"越多,利益越大。因此,近年来有越来越多的黑客团伙通过非法入侵控制互联网上的计算机并植入木马程序偷偷进行挖矿活动,为自己谋取暴利。

疫情期间,也有不法分子以新型冠状病毒查询为诱饵,投递了永恒之蓝挖矿蠕虫。样本信息如下

该木马运行后会创建一个每10分钟运行一次的计划任务,主要功能为从http[:]//t.zer2.com下载恶意文件到本地并放入到powershell中加载执行。

下载回来的文件是一个含有shellcode的powershell脚本,将shellcode解码得到包含了永恒之蓝的挖矿脚本。

随着移动办公的发展,不论是企业员工还是国家单位工作人员,都会用手机访问公司内部数据,根据IBM的研究,用户对移动设备上的网络钓鱼攻击的回应是桌面的三倍,而原因仅仅是因为手机是人们最先看到消息的地方,而且企业数据、政府数据的泄露导致的损失,很多时候是无法挽回的。如今,移动安全已经不仅仅是个人手机安全的问题,移动访问也越来越成为企业安全威胁的重要的来源,甚至影响到国家安全。

在疫情期间,Android木马也相继出现蹭"新冠肺炎"的热度。不少Android木马以"新冠病毒"为关键字进行投递,包括老牌Android木马家族Anubis、Cerberus(地狱犬)、新型木马家族Cerberus、SMS蠕虫以及CovidLock勒索病毒等等。

Anubis

本次监测到的Anubis银行木马变种继承了之前的功能,代码核心以远控为主体,钓鱼、勒索等其它功能为辅,目的则为获取用户关键信息,窃取用户财产。不同之处在于,其将一部分配置信息加密存放在了本地等,而且配置信息中使用了大量的中文,其获取C2的方式也进行了改变。

Cerberus

Cerberus木马与其它银行木马一样功能众多,而且由于其一直在地下论坛中进行租赁,可以根据"客户"的不同需求进行功能的增加等,加上其作者的高调做派,俨然已经接过了Anubis的邪恶传承,成为了目前威胁最大的银行木马。

Cerberus木马运行以后会诱骗用户激活设备管理器、隐藏自身图标、防止卸载等方式进行自我保护。Cerberus木马会获取并上传用户手机中短信、通讯录、手机已安装的应用信息、gmail信息等。此外Cerberus木马还可以截取用户手机屏幕,电话呼叫转移,获取用户银行账号、密码等恶意操作,并可以通过Team Viewe进行远控。

样本运行后,会打开在线口罩购买平台https[:]//masksbox[.]com,尝试窃取用户购买时输入的卡号和密码。

同时,该恶意程序还会以SMS短信的方式将自己传播给通讯录上的所有人。短信内容为:Get safety from corona virus by using Face mask, click on this link download the app and order your own face mask - http[:]//coronasafetymask[.]tk

该勒索木马跟一般勒索病毒一样,运行后诱骗用户激活设备管理器,之后强制对用户手机进行锁屏,并修改用户手机解锁密码,同时对用户进行勒索。勒索软件威胁要在48小时之内索要100美元的比特币,否则会删除用户手机个人信息。勒索界面如下

该样本将解锁密码硬编码在样本中,若不小心中招,可通过输入"4865083501"进行解锁

奇安信红雨滴团队捕获的样本集中,除了常见的文件格式外,还捕获几例特殊文件格式样本,如SLK,CHM等,此类样本通过也是通过社交媒体或邮件进行传播,但基于公开信息未捕获其传播油价,故将此类样本单独阐述

SLK

近期,意大利疫情出现大爆发,随之而来的网络攻击活动也越演越烈,奇安信红雨滴团队捕获一例利用特殊格式(slk)在意大利传播的恶意样本。

Symbolic Link (Slk)是一种Microsoft文件格式,通常用于Excel表格更新数据,黑客利用这一特性将恶意的powershell代码添加其中,当用Excel打开文件时,恶意代码将被执行起来。由于这类格式不常见,所以具有一定程度的免杀效果。

利用文本编辑打开该文件,可见其将会执行powershell代码从远程获取文件执行

最后,恶意的netsupport manager 远程控制软件将被执行起来控制受害者计算机

CHM(Compiled Help Manual)即"已编译的帮助文件"。是微软新一代的帮助文件格式,利用HTML作源文,把帮助内容以类似数据库的形式编译储存。CHM支持Javas cript、VBs cript、ActiveX、Java Applet、Flash、常见图形文件(GIF、JPEG、PNG)、音频视频文件(MID、WAV、AVI)等等。所以在大多数人眼中,CHM等同于电子书,是没有危害的软件。

奇安信红雨滴团队捕获的CHM样本信息如下

将Chm反编译之后,会得到一个恶意的HTML文件以及shelma远控木马。

LNK是Microsoft Windows用于指向可执行文件或应用程序的快捷方式文件的文件扩展名。LNK文件通常用于创建开始菜单和桌面快捷方式。LNK代表LiNK。LNK文件可以通过更改图标伪装成合法文档。我们在疫情期间捕获的LNK样本如下

LNK样本会将待执行的命令写入到<目标>字段中,这个命令将会在执行LNK文件的同时运行,受到长度限制的影响,<目标>字段中只会显示部分命令。将完整命令提取出来之后可知LNK文件执行时将会在本地释放并执行包含shellcode的VBS木马。

Shellcode解码之后将会通过POST请求从hxxp[:]//185.62.188.204下载后续的远控exe到本地执行以控制受害者计算机。

奇安信红雨滴团队捕获多起以疫情为诱饵的脚本类攻击样本,部分样本信息如下

以covid22_form.vbs为例,样本运行后,会通过Execute执行一段base64编码的shellcode

经过多次解密,最终执行一段powershell代码,用于从指定web服务器下载3个dat文件并保存到本地解密执行,以控制受害者计算机。

JAR文件是在安装了JRE等JAVA运行环境的操作系统上能直接运行的可执行程序。由于JAVA具有跨平台的特性,所以这类文件可以在安装了JAVA运行时库的大部分操作系统上运行,包括Windows、Linux、macOSX、Android。

由于具有跨平台的特性,所以近几年这类文件被黑客更多的利用于制作木马进行网络攻击,而红雨滴团队近期也捕获了大量以新冠病毒字眼为诱饵的JAR木马样本,我们以以下样本为例进行分析。

样本运行后,通过AES解密资源文件的代码,在%temp%目录下释放一个vbs文件,用于协助查找和结束所有的安全软件,包括杀毒软件、取证软件、抓包软件等 还会禁用任务管理器,系统还原等

鉴于疫情防控期间企业用户多会采用远程办公的方式开展工作,奇安信建议广大政企用户从以下方面做好针对性的网络安全防范措施:

疫情还未结束,网络空间的战斗也还将继续,奇安信红雨滴团队提醒广大用户,切勿打开社交媒体分享的来历不明的链接,不点击执行未知来源的邮件附件,不运行夸张的标题的未知文件,不安装非正规途径来源的APP。做到及时备份重要文件,更新安装补丁。

若需运行,安装来历不明的应用,可先通过奇安信威胁情报文件深度分析平台(https://sandbox.ti.qianxin.com/sandbox/page)进行简单判别。目前已支持包括Windows、安卓平台在内的多种格式文件深度分析

目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC等,都已经支持对本次疫情相关的攻击的精确检测。

IOCs

由于IOC数量较多,仅在文章结尾公开部分IOC数据。

[1]南亚APT组织"透明部落"借新冠肺炎针对周边国家和地区的攻击活动分析

https://ti.qianxin.com/blog/articles/analysis-of-apt-attack-activities-in-neighboring-countries-and-regions/

[2]穷源溯流:KONNI APT组织伪装韩国Android聊天应用的攻击活动剖析