Monsoon APT自2010年以来针对中国在内的多个国家实施攻击

Monsoon亦被证明正是已有六年历史的Hangover组织

E安全8月日讯 根据现有证据，一个由印度政府支持的黑客组织在近六年时间中对全球数千名个人及组织发动攻击。

根据由Forcepoint安全实验室的信息安全研究人员初步收集到的证据，目前暂时定名为Monsoon的黑客组织已经存在六年之久，且期间曾被三家安全厂商发现并给予三个不同代号。

Monsoon实际上正是Cymmetria公司上个月发现的Patchwork APT、由卡巴斯基实验室上个月发现的Dropping Elephant，以及由Blue Coat于203年发现的Operation Hangover。

Cymmetria与卡巴斯基双方都没能在其初步报告当中将该APT组织与Hangover联系起来，不过Forcepoint方面指出经过对攻击中所使用的域名及服务器基础设施进行分析，其认为Monsoon与Operation Hangover之间存在部分交集。

而在深入分析收集到的数据后，Forcepoint公司发现相关活动不仅在基础设施层面存在交集，同时亦使用了同样的TTP（即技术、战术与规程）且目标指向同样的个人目标。

Monsoon、Patchwork、Dropping Elephant乃至Operation Hangover，无论大家如何称呼，该黑客组织似乎已经以周期方式运作。其最新攻击活动发生于2015年12月，Forcepoint、卡巴斯基与Cymmetria三方也正是在此时对其进行研究及报告的。

上述攻击活动当中所使用的具体恶意软件有所不同，但攻击者一直在利用鱼叉式钓鱼邮件通过Office文件散播恶意代码，并主要利用其中的后门木马感染受害者。

他们发出的鱼叉式钓鱼攻击邮件在主题上大多保持一致，即紧密围绕当前热点新闻议题，但其显然更偏向使用与中国军方以及一般性军事与国防内容引诱受害者查看。

这些恶意Office文件主要利用三项安全漏洞进行恶意软件交付：CVE-2012-0158、CVE-2014-6352以及 CVE-2015-1641。

这些攻击活动当中所使用的各类恶意软件利用RSS订阅、论坛以及GitHub账户等非传统服务向一台原始C&C服务器基础设施发送报告。在其报告中，Cymmetria公司称该组织的攻击手段并不精妙，且指出其使用的恶意代码直接复制/粘贴自在线来源。

总体而言，正如卡巴斯基实验室所报告，该组织将攻击目标指向超过0个国家的6300多名个人。

Forcepoint公司与Cymmetria与卡巴斯基一样，并未在报告中将该组织与印度政府直接关联起来，不过内容中存在包含一旦指向这项结论的线索。

其中具体包括域名由印度境内的一名居民所注册，且目标多次被设定为印度的周边邻国。三年之前，Blue Coat即将Operation Hangover确定为一股印度网络威胁势力。欲了解更多细节信息，请参考Forcepoint发布的Monsoon调查报告。