近年来,APT攻击接连发生,从对乌克兰国家电网的网络攻击,到孟加拉国央行被黑导致8100美元被盗。APT攻击以其无孔不入的触角遍布全球,政府、金融、电力、教育等几乎所有重要行业都受到了APT攻击的威胁。神秘的APT攻击从攻击开始到攻击目标,有的甚至可能潜伏数年。未知的APT组织导致人们在面对APT攻击时无所适从。
在ISC2016中国互联网安全大会召开前夕,360威胁情报中心追日团队再下大作,正式公布了2016年上半年十大APT攻击组织,揭秘了曾经造成重大网络安全事件的神秘黑客组织。
第一名:黑暗酒店(APT-C-06)
APT-C-06是一个境外APT组织,主要目标是除中国以外的其他国家。主要目的是窃取敏感数据信息,DarkHotel的活动可以视为APT-C-06组织的一系列攻击之一。在针对中国的攻击中,该组织主要针对政府和科研领域,并专注于某一特定领域。相关的攻击可以追溯到2007年,至今仍然非常活跃。根据我们掌握的证据,这个组织可能是外国政府支持的黑客组织或情报机构。
该组织多次利用0day漏洞发起攻击,进一步使用的恶意代码非常复杂,相关功能模块多达几十个,涉及恶意代码超过200个。该组织主要攻击Windows系统,近期还会攻击基于Android系统的移动设备。此外,该组织的载荷投送方式主要基于鱼叉邮件、水坑攻击等传统常用方式之外的另一种特殊攻击方式。
第二名:APT28(APT-C-20)
APT28(APT-C-20),又名卒暴、索法西、塞德尼特、花式熊、锶。APT28组织被怀疑与俄罗斯政府幕后有关,其相关袭击最早可追溯到2007年。其主要目标包括国防工业、军队、政府组织和媒体。在此期间,大量0day漏洞被利用,相关恶意代码不仅针对windows、Linux等PC *** 作系统,还针对苹果IOS等移动设备 *** 作系统。
也被怀疑与早前北大西洋公约组织的网络攻击有关。APT28组织在2015年第一季度有大量活动,用于攻击欧洲、亚洲和中东的北约成员国和政府。目前,许多安全厂商怀疑它与俄罗斯政府有关,他们涉嫌在早些时候秘密调查MH17事件。自2016年以来,该组织的最新目标瞄准了土耳其高级官员。
第三名:拉扎勒斯(APT-C-26)
2016年2月25日,拉扎勒斯黑客集团及相关攻击被卡巴斯基实验室、AlienVault实验室、Novetta等安全公司分析曝光。2013年DarkSeoul攻击韩国金融机构和媒体公司以及2014年攻击索尼影视娱乐公司(SPE)的幕后组织是Lazarus组织。
相关时间节点
特定事件描述
2007.03.07第一代恶意软件是在“火焰”行动中开发的,最终与“1Mission”行动、“特洛伊”行动和2013年的DarkSeoul攻击联系在一起。
2009.07.04恶意工具MYDOOM和Dozer被用于对美国和韩国的网站发起大规模DDOS攻击。恶意软件在MBR中写了“独立日记忆”的短信。
2009-2013年“特洛伊”网络间谍活动活跃数年,2013年DarkSeoul攻击达到顶峰。
2011.03“十日雨”袭击韩国媒体、金融和基础设施。在韩国利用肉鸡发起DDOS攻击。
2011.04韩国农业合作银行被DDOS攻击。
2012年发起了“1Mission”行动,据报道其袭击者自2007年以来一直很活跃。
2012.06韩国保守媒体报纸声称遭到具有移除功能的恶意软件攻击,但未成功。网站被不明黑客组织“IsOne”篡改。
2013年3月20日,黑暗首尔的清理行动攻击了韩国广播公司、金融机构和一家ISP。两个不知名的黑客团队NewRomanicCyberArmyTeam和WhoIsTeam宣称对此负责。
2014.03怀疑有黑客试图窃取韩国军方的数据,使用的其中一台服务器也在DarkSeoul攻击中使用。
2014.11.24索尼影视娱乐公司网络被植入破坏性恶意软件,信息被盗。早前不知名的黑客组织GOP宣称对此负责。
与拉扎勒斯组织历史活动相关的重大事件节点
2016年2月孟加拉国央行被黑导致8100万美元被盗事件曝光后,如越南先锋银行、厄瓜多尔银行等。,其他针对银行SWIFT系统的网络攻击被一一公之于众。相关事件曝光后,我们立即对相关攻击进行了追踪,并基于越南先锋银行的相关攻击样本,形成了技术报告:《SWIFT的伤口——针对越南先锋银行的黑客技术初探》。
在对孟加拉国中央银行和越南先锋银行的攻击进行分析的过程中,我们发现最近发生的四起针对银行的攻击并不是孤立的,很可能是由一个或多个组织联合发起的不同攻击。另外,通过恶意代码的同源性分析,可以确认针对孟加拉央行和越南先锋银行的恶意代码与拉扎勒斯组织有关,但不能确定幕后的攻击组织就是拉扎勒斯组织。
第四名:海洋莲花(APT-C-00)
OceanLotus(APT-C-00)是我们在2015年5月发布的攻击中国的海外知名APT组织。主要攻击中国政府、科研院所、海事机构等重要领域。基于海量情报数据和研究分析,我们还原了APT-C-00的完整攻击。相关攻击最早可以追溯到2011年,在此期间发起的攻击不仅针对中国,还针对其他国家。该组织广泛使用水坑攻击和鱼叉式网络钓鱼攻击。攻击不仅限于Windows系统,还针对其他非Windows *** 作系统,相关攻击仍然非常活跃。
第五名:卡巴纳克(APT-C-11)
卡巴纳克(Anunak)攻击组织是一个跨国网络犯罪团伙。自2013年以来,该犯罪团伙已对全球约30个国家和地区的100家银行、电子支付系统和其他金融机构发起攻击,相关攻击仍十分活跃。在《2015年中国高级持续威胁(APT)研究报告》中,我们提到了卡巴纳克。通过研究分析该组织的相关攻击手段和意图,我们认为该组织是一个针对金融行业的犯罪APT组织。
卡巴纳克组织一般通过社会工程和漏洞利用攻击金融机构员工的电脑,进而入侵银行网络。进一步,攻击者通过内网对电脑进行视频监控,查看并记录负责资金转账系统的银行员工的屏幕。通过这种方式,攻击者可以了解银行员工工作的所有细节,从而模仿银行员工的行为,窃取资金和现金。
此外,该组织可以控制和 *** 作银行的ATM机,并命令这些机器在指定的时间吐出现金。到了交钱的时候,组织会派人守在ATM机旁,取走机器“自愿”吐出的现金。
第六名:红木(APT-C-09)
桃木草组织(APT-C-09),又名宿醉、虎督、坠象、拼凑,是一个来自南亚的境外APT组织,已经活跃了7年。摩诃草组织最早于2013年被诺曼安全公司曝光,随后其他安全厂商不断跟踪并披露该组织的最新活动。但该组织并没有因为相关攻击的曝光而停止对相关目标的攻击。相反,从2015年开始变得更加活跃。
桃花心木组织主要针对中国、巴基斯坦等亚洲地区的国家进行网络间谍活动,主要窃取敏感信息。相关攻击最早可以追溯到2009年11月,至今仍非常活跃。在针对中国的攻击中,该组织主要针对政府机构和科研教育,尤其是科研教育领域。
自2009年以来,该组织针对不同国家和领域发起了至少三次攻击和一次疑似攻击,期间利用了大量漏洞,其中至少有一次0-0day漏洞攻击。相关的恶意代码非常复杂,恶意代码的数量超过数千个。交付有效载荷的方式主要是通过鱼叉邮件传播恶意代码,也会涉及少量的水坑攻击。在最新的攻击中,即时通讯工具和社交网络也是传递恶意代码的主要方式。此外,网络钓鱼网站将被用于社会工程攻击。该组织主要攻击Windows系统,但也攻击MacOSX系统,并将从2015年开始攻击Android系统的移动设备。
第七名:沙虫(APT-C-13)
蠕虫组织的主要目标领域是:政府、教育、能源机构和电信运营商。我们将进一步刺探欧美政府、北约和乌克兰政府。该组织利用0day漏洞(CVE-2014-4114)对乌克兰政府发起钓鱼攻击。在威尔士举行的讨论乌克兰危机的北约峰会也抨击了美国。该组织还使用了BlackEnergy恶意软件。而且蠕虫组织不仅进行常规的网络间谍活动,还攻击SCADA系统。研究人员认为,相关活动是为了后续网络攻击的调查和追踪。此外,还有少量证据表明,BlackEnergy恶意软件参与了针对乌克兰电力系统和其他工业领域的网络攻击。如果攻击确实使用了BlackEnergy恶意软件,可能与幕后的蠕虫组织有关。
第八名:洋葱狗(APT-C-03)
2016年2月25日,拉扎勒斯黑客集团及相关攻击被卡巴斯基实验室、AlienVault实验室、Novetta等安全公司分析曝光。2013年DarkSeoul攻击韩国金融机构和媒体公司以及2014年攻击索尼影视娱乐公司(SPE)的幕后组织是Lazarus组织。该组织主要攻击亚洲国家,主要是韩国,并进一步针对政府和娱乐&媒体,军事,航空空航天,金融和基础设施机构等行业。
2015年,我们监测到一个针对韩语国家的APT攻击组织,涉及政府、交通、能源等行业。通过深入分析,我们没有发现这个组织和拉扎勒斯组织有任何联系。进一步,我们将这个组织在2013年至2015年发动的袭击命名为“奥尼恩多格行动”(OperationOnionDog)。名字主要以2015年出现的木马为主,主要依托洋葱城作为C&而恶意代码文件名中有dog.jpg这个词。相关恶意代码最早出现在2011年5月左右。迄今至少发动了三次集中攻击。分别在2013年,2014年7-8月和2015年7-9月,之后我们捕获了96个恶意代码,C&C域名和IP数量为14个。
“洋葱狗”恶意程序利用了韩语国家流行的办公软件Hangul的漏洞,通过USB蠕虫摆渡攻击孤立的网络目标。此外,“洋葱狗”还使用了洋葱城通信,通过它可以直接访问暗网中的域名,而不需要洋葱浏览器,这样它的真实身份就隐藏在完全匿名的Tor网络中。此外,通过我们的深入分析,我们推测这个组织可能使用了其他已知APT组织的独特技术和资源,以便陷害其他组织或干扰安全研究人员的分析和追查。
第9名:美人鱼(APT-C-07)
美人鱼行动是海外APT组织对政府机构的攻击,持续了6年。已经证实丹麦外交部遭到了袭击。相关攻击最早可以追溯到2010年4月,最近一次攻击是在2016年1月。到目前为止,我们已经捕获了284个恶意代码样本。C35域名。
2015年6月,我们第一次注意到了美人鱼 *** 作中涉及的恶意代码,并开始了关联分析。通过大数据关联分析,我们确定相关攻击最早可以追溯到2010年4月,关联了数百个恶意样本文件。另外我们怀疑有效载荷投放是通过水坑攻击进行的。进一步,结合恶意代码中诱饵文件的内容和其他情报数据,我们初步判定这是一次旨在窃取敏感信息的定向攻击,目标熟悉英语或波斯语。
2016年1月,隶属于丹麦国防情报局(DDIS)的网络安全中心(CFCS)发布了一份名为《针对外交部的APT攻击报告》的APT研究报告。报告的主要内容是CFCS发现了2014年12月至2015年7月针对丹麦外交部的APT攻击,相关攻击主要使用鱼叉邮件进行有效载荷投送。
CFCS揭露的APT攻击是我们在2015年6月发现的美人鱼行动。针对丹麦外交部的鱼叉邮件攻击是美人鱼行动的一部分。根据CFCS的报告,我们确定“美人鱼行动”的目标至少包括政府机构,主要是丹麦外交部,其有效载荷传递方法至少包括鱼叉式网络钓鱼电子邮件攻击。
通过对相关线索的分析,我们初步推测美人鱼行动背后的组织来自中东。
第10名:人面狮(APT-C-15)
“人狮行动”是中东地区一项活跃的网络间谍活动。其主要目标可能涉及埃及、以色列等国的不同组织,目的是窃取目标的敏感数据。活跃时间主要在2014年6月至2015年11月,相关攻击最早可追溯到2011年12月。主要利用社交网络进行水坑攻击。到目前为止,我已经捕获了314个恶意代码样本。C7域名。
Lionssample将主程序伪装成文档诱导用户点击,然后发布了一系列的dll,按照功能分为9个插件模块。核心dll通过注册资源管理器的插件自启动,然后根据配置文件远程注入核心dll,其他函数DLL模块注入相应的进程,所以程序运行时没有主程序。很难找到被感染的用户,并且使用了许多加密方法来干扰分析。根据PDB路径,可以看出持续集成工具的使用,从侧面反映出项目比较大,开发人员应该是专业机构。
我们进一步分析推测,狮身人面像行动的幕后组织依托第三方组织开发相关恶意软件,使用相关恶意软件并发动相关攻击的幕后组织应该来自中东地区。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)