美國軟件安全初創企業 ProtectWise 公司威脅研究與分析團隊（401TRG）近期發布一份45頁的分析報告指出，中國的 Winnti Umbrella 黑客組織以 IT 員工為目標，正不斷調整自身策略且高度依賴魚叉式網絡釣魚——而非傳統惡意軟件——實施入侵，報告認為這些網絡活動旨在收集合法軟件廠商代碼簽名證書以支持后續供應鏈攻擊。

黑客組織Winnti Umbrell

Winnti Umbrella （簡稱Winnti，亦被稱為 Axiom 或 APT17）。

2013年，卡巴斯基實驗室發現了 Winnti，該組織當時的攻擊目標主要是網絡游戲行業，且實際上從2009年開始就對網絡游戲行業公司發動攻擊，竊取由合法軟件供應商簽發的數字證書，此外還會竊取知識產權內容，包括在線游戲項目的源代碼。得到源代碼后，該組織通常將其放到中國黑市進行兜售，或是直接用到這些源代碼制作山寨游戲來以此獲利。

2015年，Winnti 組織的攻擊目標已經不再僅限于網絡游戲公司，還包括電信和大型制藥公司。

ProtectWise 公司研究人員對 Winnti 黑客組織多年來長期使用的 TTP（即戰術、技術與程序）進行了分析。Winnti 這一名稱源自該黑客組織使用的主要工具之一：Winnti 后門。

Winnti Umbrella 黑客集團正成為惡意勢力的熔爐

此前曾有多個獨立黑客組織也曾使用與原 Winnti 黑客組織相同的戰術與基礎設施。經過對運營錯誤以及舊有攻擊基礎設施的重復利用行動進行多年觀察之后，研究人員們總結稱此前被認定為獨立高級持續性威脅（APT）組織的 BARIUM、Wicked Panda、GREF 以及 PassCV 等，似乎共享部分 Winnti 技術成果及其基礎設施。

401TRG 研究人員指出，“TTP、基礎設施以及工作鏈觀察結果顯示，各個黑客組織之間似乎存在一些交集。

Winnti 黑客組織以 IT 人員為主要目標

報告顯示，目前 Winnti Umbrella 集團的各 APT 組織似乎表現出常見的入侵/行動模式：

攻擊者似乎更傾向于通過魚叉式釣魚攻擊滲透單一目標，這些黑客組織主張收集憑證并登錄賬戶，而非利用惡意軟件建立初始立足點。

401TRG 研究人員在對2017年的安全事件進行回顧時表示，他們觀察到一系列針對人力資源與招聘經理、IT 員工以及內部信息安全人員的魚叉式網絡釣魚攻擊，而且還很奏效。

攻擊者們專注于收集網絡憑證，而后借此在企業內部實現橫向移動。

在此之后，攻擊者們使用一種名為“就地取材（living off the land）”的技術，即利用本地安裝的應用實現惡意目的。此類入侵活動中常用的工具包括標準 Windows 工具程序，外加 Metasploit 與 Cobalt Strike 等滲透測試工具。

另外，攻擊者只在必要時才部署惡意軟件，以免自身行跡暴露，進而失去在目標網絡中的立足點。

2018年3月該組織出現致命疏忽

報告指出，這些黑客組織的戰術在2018年出現輕微轉變，黑客利用釣魚郵件來企圖獲得有企業敏感信息的 Office 365和Gmail 賬號，實際目標仍然集中在 IT 人員群體當中，其目的或希望訪問內部網絡中的工作站設備。在此過程中，它們犯下了嚴重的安全錯誤，暴露了核心行動信息：

大多數情況下攻擊者會用它們的遙控服務器來隱藏自己真實IP地址。但在少數場合中，攻擊者錯誤地直接訪問了肉雞，沒有利用這些代理。

大多網絡活動在獲取代碼簽名證書

研究人員們表示，這些黑客組織在攻擊當中，主要關注對代碼簽名證書、源代碼以及內部技術文檔的竊取，他們還可能試圖操縱虛擬經濟以獲取經濟利益。雖然尚未得到證實，但其以金融組織作為次要目標的作法很可能意味著其希望通過攻擊活動獲取收益。

研究人員們認為，代碼簽名證書竊取似乎正是 Winnti Umbrella 黑客集團下各 APT 組織所設定的一大“共同目標”。為了奪取代碼簽名證書，黑客們將攻擊重點放在位于美國、日本、韓國以及中國本土的各軟件與游戲企業身上，因為此類組織往往更可能持有此類證書。

Winnti或正在策劃供應鏈攻擊

研究人員認為，Winnti Umbrella 黑客組織正在收集資源并策劃供應鏈攻擊，例如以惡意軟件感染官方軟件，這是因為只要持有有效的代碼簽名證書，此類活動就能成功騙過安全監管人員的眼睛。

報告認為，中國的黑客組織或已經開始有所行動，2017年 Winnti 黑客組織曾入侵韓國軟件開發商 NetSarang，并在其網絡管理工具中秘密植入了后門 ShadowPad，攻擊者可借此完全掌握 NetSarang 從客戶的服務器。而后門ShadowPad與 Winnti 后門以及類似的叫 PlugX 的后門有一定的相似性。卡巴斯基表示之所以能發現 ShadowPad，是因為一個在財經行業的合作伙伴發現一臺用來轉賬業務的電腦在發出詭異的域名查看請求。在當時， NetSarang的工具被數百家銀行，能源和醫藥企業使用。

另一份報告強調稱，云服務供應商在黑客的攻擊視野中也越來越多地成為一類重要目標。攻擊者在獲得目標云服務的訪問權之后會搜索內部網絡的文件和工具，從而遠程訪問企業內部網絡。通常，攻擊者在成功獲取訪問權后會用自動工具來掃描內部網絡，查找開放端口80、139、445、6379、8080、20022 和 30304。