关注！境外黑客组织ATW宣称已攻击多个企业！

1

 概述

微步情报局近期发现 ATW 组织以 “#FreeUkraine” 为名义针对国内相关企业展开定向攻击，并泄露相关企业源代码。对此事件分析有如下发现：

• 攻击组织推特名为@_Blue_hornet，归属于AgainstTheWest（ATW）黑客组织，其本身为带有强烈政治倾向的反中、反俄的境外黑客组织。

• 该组织推特账号注册时间为2022年3月，此次攻击前期目标为俄罗斯境内企业，自3月28日起，目标开始转为国内企业。

• 通过对该组织历史分析，早在2021年10月时，该组织就曾针对国内多家企事业单位进行过网络攻击。

• 基于对该团伙历史手法及其本次攻击推特披露的相关信息的分析，涉事单位或者其供应链单位多为相关代码质量管理/存储平台和自动化代码构建/测试平台存在安全漏洞而导致关键代码和数据被窃取。
  

2

 详情

通过回溯该组织历史活动，自2021年10月以来，一个名为 “AgainstTheWest”（ATW）的黑客组织在地下论坛 RaidForums上发布了大量的关于我国多家企事业单位的源代码数据，如下图所示：

接着该黑客组织针对中国企事业单位发起了为期数月的名为 “Operation Renminbi” 的网络战，即使在 RaidForums 论坛被封禁后，仍然在利用 Twitter 和 Telegram Messenger 等社交媒体频繁发布泄露信息。

本次攻击该组织推特账号注册时间为2022年3月，为新注册账号，同时根据该组织推特首页描述发现，其本次攻击借俄乌冲突形势，以 “FreeUkraine” 的名义，针对中，俄两国发起网络攻击。如下图所示：

通过浏览梳理该组织推文发现，该组织自3月28日转向针对中国企业的攻击以来，已针对国内多家企业进行攻击并公开其源代码。但其公开信息可靠性存疑，不排除其有借助攻击造势，制造舆论氛围的可能。

根据时间线梳理其推文，目前该组织针对国内主企业主要有以下活动：

3月28日11:46

宣称某银行已被其攻破，整个后端源代码、maven 版本等。

3月28日12:21

宣称某即时通讯平台遭到入侵，获取到属于公司的源代码文件。

3月28日 21:24

宣称某云服务厂商被攻破，端点已被访问并查看数据。

3月28日 21:38

宣称某技术开发公司生产、开发和测试开发平台已被破坏。

3月28日 23:19

披露某技术开发公司的数据丢失。

3月29日 02:57

宣称已经破坏了中国某省政府等一些设施。

3月29日 03:17

列出下一步进行报复的中国企业名单。

3月29日 04:41

宣称已经入侵中国某即时通讯平台。

3月29日 05:07

宣称已经在telegram中公开某技术开发公司的数据。

3月29日 05:56

宣称已入侵某外国云服务厂商中国分部。

3月29日 07:18

推特发布截图显示已入侵香港等多家中国企业。

3月29日 07:45

宣称30日会公布某政府单位和其他政府拥有的域名相关攻击。

3月30日 05:28

宣称即将发布某云服务厂商的相关窃取数据。

3月30日 06:40

宣称通过恶意软件的使用攻击了某工会组织。

3月30日 07:16

展示了其获取到的部分某电商平台和某银行代码截图。

3月30日 12:22

宣称再次攻击破坏某咖啡公司。

3月30日 12:35

宣称某美妆购物平台源码一并于某咖啡公司后台中发现。

3月30日 23:11

展示了一些关于某医疗公司和其伙伴的敏感信息截图。

3月31日 01:58

宣称有两家银行正在遭受其破坏，且展示了相关系统截图。

3

 手法分析

通过关联其常用手法，发现该组织本次攻击手法与以往类似。代码托管平台是其实施入侵的“重灾区”。

该组织早期在2021年主要针对 SonarQube 代码质量管理平台进行攻击，后续在2022年初其攻击目标又扩大到了 Gitblit、Gogs 等代码存储管理平台。常见的攻击手法为通过代码质量管理平台或托管平台配置不当的弱点，使用未授权访问漏洞访问平台内部数据，实施数据窃取。流程如下：

值得注意的是，通过其28号至今发布相关推特披露的细节和截图，该组织可能对原有手法进行了一些升级，推测如下：

1.攻击入口有转为开发/运维人员的趋势，通过攻击相关人员远程 RDP 进入其电脑，实施管理平台及敏感信息的搜集。

2.攻击目标逐渐转向一些自动化构建/测试系统，如 jenkins 等，通过系统配置的自动化任务扩散攻击，寻找代码存储有关平台，窃取代码。

4

 安全建议

综上所述，该组织此次攻击手法整体上与以往相同，不以破坏网站、系统为主，而是通过攻击企业相关自动化构建/测试平台和代码存储管理平台，获取到源码并对外泄露公布。建议企业参考以下建议对内部相关风险点进行自查，预防攻击：

1.自查内部相关代码存储管理平台是否存在弱口令、未授权访问等情况，保证其安全性。如 Gitblit、Gogs、Gitlab、Sonarqube 等。

2.自查内部相关自动化构建/测试平台是相关安全性是否合格，如 Jenkins 等。

3.敦促内部开发/运维人员关闭不必要的 RDP 服务，若必须开放 RDP 服务，则必须使用强口令以免被爆破登录。

公众号内回复“ATW”，可获取完整版PDF 版报告

- END -

微步情报局招聘通道

❖

沙箱安全开发（Windows、Linux方向）  戳我查看岗位详情

❖

高级应急响应工程师 戳我查看岗位详情

❖

高级渗透测试工程师 戳我查看岗位详情

内容转载与引用

1. 内容转载，请微信后台留言：转载+转载平台

2. 内容引用，请注明出处：以上内容引自公众号“微步在线研究响应中心”

阅读原文，可加入粉丝群

原文始发于微信公众号（微步在线研究响应中心）：关注！境外黑客组织ATW宣称已攻击多个企业！