2016年8月，Forcepoint 發布了一個APT攻擊的追蹤報告。該報告由Forcepoint安全實驗室特別調查小組長期獨立追蹤完成。該調查小組隸屬于Forcepoint安全實驗室，由優秀的惡意軟件逆向工程師和分析師組成，其職責是專門深入研究僵尸網絡和APT攻擊。他們與全球眾多值得信賴的機構協作，以提供切實可見的決策為宗旨，向大眾、客戶以及合作伙伴等利益相關者傳遞相關信息，針對網絡安全問題，警醒全球用戶。

誘餌文檔標題組成的詞云

Forcepoint安全實驗特別小組這次發布的APT攻擊跟蹤報告被命名為MONSOON。 調查表明，這些攻擊活動主要針對中國的各個行業，以及南亞地區的一些國家政府機構。MONSOON從2015年12月開始發起攻擊，截至2016年7月攻擊活動仍在持續。在調查MONSOON過程中所收集到的證據里，有一些指標表明MONSOON和OPERATION HANGOVER存在高度相似。這些指標包括相同的攻擊架構，類似的戰術、技術與規程(即TTP)，人口統計學意義上相似的受害者，以及都在印度次大陸進行的地理屬性。

總體來看， MONSOON所用的惡意軟件一般通過附有“武器化”文檔的電子郵件發送給特定目標。這些文檔的主題幾乎都與政治相關，大多選自近期的熱門政治事件。其所使用的惡意軟件包括Unknown Logger Public, TINYTYPHON, BADNEWS和AutoIt后門。其中非常獨特的是，BADNEWS利用RSS訂閱、GitHub、論壇、博客和動態DNS主機向遠程C&C服務器進行通信。調查所收集到的證據表明， OPERATION HANGOVER這個團體操縱MONSOON至少自2010年開始活躍，在跟蹤的時間內，他們使用了至少72個誘餌文件中，大多數使用了當前熱門新聞主題詞，并高度契合受害者的興趣，其中，用的最多的誘餌文件名為China_Military_PowerReport（中國軍事力量報告）。MONSOON的受害者遍布 110多個國家，被攻擊的IP地址多達6300多個，其中，61%的受害者來自中國，而攻擊則來自印度次大陸。

該報告的追蹤調查采用的是Forcepoint公司獨特的APT攻擊七步曲方法論。具體分析攻擊全過程如下：

Forcepoint安全實驗室特別調查組在跟蹤調查中發現，APT攻擊者起初通過對當下中國和南亞地區關注的時事進行分析，并針對受害人的關注點，偽造相關“時事新聞”及報告誘使他們去點擊查看。在相關樣本的分析過程中，我們還發現APT攻擊者對受害者可能使用的防病毒軟件進行猜測（例如360 Total Security）并通過Virus Total網站對惡意文件進行防病毒軟件繞過檢測。

2. 釣魚

為了吸引受害者的注意，APT攻擊者采用第三方郵件服務器向受害者發送魚叉式釣魚郵件，并偽裝郵件發送者，其釣魚郵件的主題多與中國時事政治相關，以吸引受害者查看閱讀郵件及相關連接。與此同時，攻擊者通過建立多個虛假新聞網站、操控多個發布虛假新聞的社交軟件（FACEBOOK、TWITTER、Google Plus）發布虛假新聞以引誘受害者點擊和注冊等。

3. 再定向

通過對釣魚郵件的分析，我們發現APT攻擊者會在郵件中附加一個或多個惡意連接，這些鏈接指向惡意文檔的下載地址，以此利用受害者的好奇心誘使他們去閱讀和下載惡意文檔。

4. 漏洞攻擊包

通過分析相關惡意文檔的樣本，我們發現，這些文檔均包含了多個已知的微軟Office漏洞（具體參看相關報告中涉及CVE編號）。 同時，惡意站點還會探測受害者的計算機是否安裝了Silverlight軟件，并對該關鍵漏洞進行滲透。

5. 木馬下載

一旦受害者訪問了包含漏洞的惡意文檔，攻擊者將會利用漏洞將多個木馬及后門程序植入到目標計算機中。然后這些惡意程序會通過偽裝系統進程、軟件加密、隱藏免殺、DLL注入、修改注冊表等多種技術在受害者計算機中駐留。

6. 回傳通信

通過對惡意軟件的逆向分析，我們獲取了大量包含惡意C&C服務器的地址及指令。其中包括：RSS訂閱、GitHub、論壇、博客及動態DNS等。攻擊者在這些渠道發布加密的惡意指令，以控制受害者的計算機，并同時更新升級惡意軟件。

7. 數據竊取

攻擊者通過C&C方式控制受害者的計算機，并利用本地惡意軟件對受害者的資料實施檢索、鍵盤記錄、截屏等操作，最終將獲取的機密文檔上傳至遠程惡意C&C服務器中。據初步估計，我們所掌握的C&C服務器中就有上千份被竊取的文檔，大部分為政府機構文檔，還有一些高度涉秘文檔，如海關清關文檔、金融數據、技術說明文檔等。

來自印度的針對中國和南亞國家的大規模APT攻擊的調查追蹤分析表明，OPERATION HANGOVER這個團體所采用的攻擊方案更加隱蔽，攻擊技術不斷升級，用戶畫像越來越精準，所以，用戶在使用網絡時應該時刻防范惡意軟件的加載和攻擊。Forcepoint安全實驗室會持續提供安全的見解、技術和專業知識，使客戶專注于自己的核心業務發展，而不必太過在安全性上花費時間和精力。Forcepoint也會不斷加強和主流機構的合作，繼續追蹤和調查各種攻擊的狀況，努力識別新出現的網絡威脅并對其進行深入了解，并提供實用的決策方案，向包括客戶、合作伙伴及大眾等在內的廣大利益相關者傳遞有用的安全警醒信息，為廣大網絡用戶保駕護航。