前线 | 用电脑看手机照片会中毒？ 360揭秘首个跨界APT攻击

凤凰网科技讯 （作者/刘正伟）7月18日消息，近期360烽火实验室在监测黄金鼠组织(APT-C-27)的攻击活动过程中，发现其新版本的移动端手机攻击样本首次具备了针对PC的RAT诱导跨越攻击。

这也就意味着，当移动端手机作为移动存储介质存在时，存在有一定的安全隐患，极有可能被不法分子利用，通过手机端的伪装攻击文件向PC端发起APT攻击。为此，360烽火实验室联合360互联网安全中心共同发布了《移动端跨越攻击预警：新型APT攻击方式解析》报告。

APT攻击作为一种行之有效的手段不断出现在各类对抗战中，如目前业界认为属于“灭霸级别”的两个APT组织：方程式和索伦之眼，便将APT攻击视为秘密武器。随着APT对抗烈度的增加，跨平台的攻击逐渐成为主流，而不再单一聚焦于单一的Windows平台，移动设备、智能硬件等领域也是攻击者目标。但是此前的跨平台攻击中，各平台均为独立存在。

据360安全专家介绍，通过分析对比发现，新版本的移动端手机攻击样本除了保留原版的移动端RAT功能之外，还新增了移动存储介质诱导攻击方式，首次实现了从移动端到PC端的攻击跨越，移动端手机会释放PC端恶意软件，组合型APT攻击方式已出现。

携带的PE RAT攻击文件

当移动端攻击样本携带有针对PC的PE格式RAT攻击文件“hmzvbs”并运行后，该攻击文件便会被释放到指定好的移动端外置存储设备中的图片目录下，并且伪装成特殊名称，这个伪装便是跨越攻击前的特殊准备。据悉，该伪装还具备如下两个特点：攻击文件名称伪装成常见的图片相关目录名；攻击文件的扩展名为“.PIF”。

而为使用户中招，不法分子还需借助用户不定期使用PC浏览手机里照片这一习惯。假如用户在使用PC浏览移动端手机照片，一旦被诱导触发了伪装后的“图片目录”，该PE RAT攻击文件就会即刻运行，从而使受到移动端攻击的PC目标受损。

正常目录和伪装后的攻击文件对比虚拟图

据360安全专家披露，黄金鼠组织(APT-C-27)攻击的目标便是叙利亚及其周边的军事机构和政府机关，其目标人群在办公及日常生活中通常都同手机和电脑紧密联系在一起。而一旦攻击目标的手机和电脑被成功攻破，由此产生的危害和损失不可预估。

此外，360安全专家还强调，此次新型跨越攻击，也是手机首次被主动当作移动终端跨界攻击PC端的跳板而实行的攻击。由此也可预见，不久的将来，这类跨越攻击方式也会被不法分子运用到加密勒索、蠕虫破坏等传播中来。再加上，手机还可与移动互联网相连接，这也便更利于不法分子直接通过网络发起攻击。