近幾年來��,APT攻擊事件此起彼伏����,從針對烏克蘭國家電網(wǎng)的網(wǎng)絡(luò)攻擊事件,到孟加拉國央行被黑客攻擊導(dǎo)致8100元美元被竊取�,APT攻擊以其無孔不入的觸角延伸到了全世界各地,幾乎所有的重要行業(yè)如政府�����、金融�、電力、教育都受到了APT攻擊的威脅�����。神秘的APT攻擊從攻擊開始到達成目的,有的甚至可能潛伏長達數(shù)年��,對APT組織的未知導(dǎo)致人們在面臨APT攻擊時的茫然無措�。
在本屆ISC2016中國互聯(lián)網(wǎng)安全大會召開前夕,360威脅情報中心追日團隊再出力作�,正式對外公布2016上半年十大APT攻擊組織,揭密那些曾經(jīng)造成重大網(wǎng)絡(luò)安全事件的神秘黑客組織�。
No.1:DarkHotel(APT-C-06)
APT-C-06組織是境外APT組織,其主要目標(biāo)除了中國��,還有其他國家�����。主要目的是竊取敏感數(shù)據(jù)信息����,DarkHotel的活動可以視為APT-C-06組織一系列攻擊活動之一。在針對中國地區(qū)的攻擊中��,該組織主要針對政府���、科研領(lǐng)域進行攻擊��,且非常專注于某特定領(lǐng)域��,相關(guān)攻擊行動最早可以追溯到2007年���,至今還非常活躍����。從我們掌握的證據(jù)來看該組織有可能是由境外政府支持的黑客團體或情報機構(gòu)。
該組織多次利用0day漏洞發(fā)動攻擊���,進一步使用的惡意代碼非常復(fù)雜���,相關(guān)功能模塊達到數(shù)十種,涉及惡意代碼數(shù)量超過200個���。該組織主要針對Windows系統(tǒng)進行攻擊�����,近期還會對基于Android系統(tǒng)的移動設(shè)備進行攻擊�。另外該組織進行載荷投遞的方式除了傳統(tǒng)的魚叉郵件和水坑式攻擊等常見手法��,還主要基于另一種特殊的攻擊手法。
No.2:APT28(APT-C-20)
APT28(APT-C-20)����,又稱Pawn Storm、Sofacy���、Sednit���、Fancy Bear和Strontium。APT28組織被懷疑幕后和俄羅斯政府有關(guān)�,該組織相關(guān)攻擊時間最早可以追溯到2007年。其主要目標(biāo)包括國防工業(yè)�����、軍隊�����、政府組織和媒體����。期間使用了大量0day漏洞,相關(guān)惡意代碼除了針對windows、Linux等PC操作系統(tǒng)�����,還會針對蘋果IOS等移動設(shè)備操作系統(tǒng)����。
早前也曾被懷疑與北大西洋公約組織網(wǎng)絡(luò)攻擊事件有關(guān)��。APT28組織在2015年第一季度有大量的活動�����,用于攻擊NATO成員國和歐洲��、亞洲��、中東政府�����。目前有許多安全廠商懷疑其與俄羅斯政府有關(guān)���,而早前也曾被懷疑秘密調(diào)查MH17事件��。從2016年開始該組織最新的目標(biāo)瞄準(zhǔn)了土耳其高級官員����。
No.3:Lazarus(APT-C-26)
2016年2月25日,Lazarus黑客組織以及相關(guān)攻擊行動由卡巴斯基實驗室�、AlienVault實驗室和Novetta等安全企業(yè)協(xié)作分析并揭露。2013年針對韓國金融機構(gòu)和媒體公司的DarkSeoul攻擊行動和2014年針對索尼影視娛樂公司(Sony Pictures Entertainment��,SPE)攻擊的幕后組織都是Lazarus組織�����。
Lazarus組織歷史活動相關(guān)重大事件節(jié)點
2016年2月孟加拉國央行被黑客攻擊導(dǎo)致8100萬美元被竊取的事件被曝光后���,如越南先鋒銀行����、厄瓜多爾銀行等��,針對銀行SWIFT系統(tǒng)的其他網(wǎng)絡(luò)攻擊事件逐一被公開�。在相關(guān)事件曝光后,我們立即對相關(guān)攻擊事件的展示溯源分析���,就越南先鋒銀行相關(guān)攻擊樣本���,我們形成了技術(shù)報告:《SWIFT之殤——針對越南先鋒銀行的黑客攻擊技術(shù)初探》����。
在分析孟加拉國央行和越南先鋒銀行攻擊事件期間��,我們發(fā)現(xiàn)近期曝光的這4起針對銀行的攻擊事件并非孤立的����,而很有可能是由一個組織或多個組織協(xié)同發(fā)動的不同攻擊行動���。另外通過對惡意代碼同源性分析���,我們可以確定本次針對孟加拉國央行和越南先鋒銀行的相關(guān)惡意代碼與Lazarus組織有關(guān)聯(lián),但我們不確定幕后的攻擊組織是Lazarus組織
No.4:海蓮花(APT-C-00)
海蓮花(APT-C-00)組織是我們2015年5月發(fā)布的針對中國攻擊的某著名境外APT組織����,該組織主要針對中國政府、科研院所和海事機構(gòu)等重要領(lǐng)域發(fā)起攻擊��������;诤A壳閳髷(shù)據(jù)和研究分析�,我們還原了APT-C-00組織的完整攻擊行動,相關(guān)攻擊行動最早可以追溯到2011年�,期間不僅針對中國,同時還針對其他國家發(fā)起攻擊�。該組織大量使用水坑式攻擊和魚叉式釣魚郵件攻擊,攻擊不限于Windows系統(tǒng)�����,還針對其他非Windows操作系統(tǒng)�,相關(guān)攻擊至今還非常活躍�。
No.5:Carbanak(APT-C-11)
Carbanak(即Anunak)攻擊組織,是一個跨國網(wǎng)絡(luò)犯罪團伙�����。2013年起����,該犯罪團伙總計向全球約30個國家和地區(qū)的100家銀行、電子支付系統(tǒng)和其他金融機構(gòu)發(fā)動了攻擊���,目前相關(guān)攻擊活動還很活躍�����。在《2015年中國高級持續(xù)性威脅(APT)研究報告》中我們提到了Carbanak����,通過研究分析該組織相關(guān)攻擊手法和意圖,我們將該組織視為針對金融行業(yè)的犯罪型APT組織���。
Carbanak組織一般通過社會工程學(xué)����、漏洞利用等方式攻擊金融機構(gòu)員工的計算機�,進而入侵銀行網(wǎng)絡(luò)��。進一步攻擊者通過內(nèi)部網(wǎng)絡(luò)����,對計算機進行視頻監(jiān)控,查看和記錄負(fù)責(zé)資金轉(zhuǎn)賬系統(tǒng)的銀行員工的屏幕����。通過這種方式,攻擊者可以了解到銀行職工工作的全部詳情���,從而模仿銀行職工的行為�,盜取資金和現(xiàn)金。
另外該組織還可以控制�、操作銀行的ATM機,命令這些機器在指定的時間吐出現(xiàn)金���。當(dāng)?shù)街Ц稌r間時�,該組織會派人在ATM機旁邊等待���,以取走機器“主動”吐出的現(xiàn)金��。
No.6:摩訶草(APT-C-09)
摩訶草組織(APT-C-09)�,又稱HangOver�����、VICEROY TIGER���、The Dropping Elephant�、Patchwork����,是一個來自于南亞地區(qū)的境外APT組織�,該組織已持續(xù)活躍了7年�。摩訶草組織最早由Norman安全公司于2013年曝光,隨后又有其他安全廠商持續(xù)追蹤并披露該組織的最新活動�����,但該組織并未由于相關(guān)攻擊行動曝光而停止對相關(guān)目標(biāo)的攻擊����,相反從2015年開始更加活躍。
摩訶草組織主要針對中國�����、巴基斯坦等亞洲地區(qū)國家進行網(wǎng)絡(luò)間諜活動�����,其中以竊取敏感信息為主�。相關(guān)攻擊活動最早可以追溯到2009年11月����,至今還非常活躍��。在針對中國地區(qū)的攻擊中,該組織主要針對政府機構(gòu)��、科研教育領(lǐng)域進行攻擊���,其中以科研教育領(lǐng)域為主��。
從2009年至今該組織針對不同國家和領(lǐng)域至少發(fā)動了3次攻擊行動和1次疑似攻擊行動��,期間使用了大量漏洞��,其中至少包括一次0day漏洞攻擊���,相關(guān)惡意代碼非常繁雜,惡意代碼數(shù)量超過了上千個�����。載荷投遞的方式�����,主要是以魚叉郵件進行惡意代碼的傳播��,另外會涉及少量水坑攻擊��,在最近一次攻擊行動中基于即時通訊工具和社交網(wǎng)絡(luò)也是主要的惡意代碼投遞途徑。進一步還會使用釣魚網(wǎng)站進行社會工程學(xué)攻擊��。該組織主要針對Windows系統(tǒng)進行攻擊�����,同時也會針對Mac OS X系統(tǒng)進行攻擊�,從2015年開始還會針對Android系統(tǒng)的移動設(shè)備進行攻擊。
No.7:沙蟲(APT-C-13)
沙蟲組織的主要目標(biāo)領(lǐng)域有:政府��、教育����、能源機構(gòu)和電信運營商。進一步主要針對歐美國家政府����、北約,以及烏克蘭政府展開間諜活動�����。該組織曾使用0day漏洞(CVE-2014-4114)針對烏克蘭政府發(fā)起了一次釣魚攻擊��。而在威爾士舉行的討論烏克蘭危機的北約峰會針對美國也進行了攻擊����。該組織還使用了BlackEnergy惡意軟件。而且沙蟲組織不僅僅只進行常規(guī)的網(wǎng)絡(luò)間諜活動�,還針對SCADA系統(tǒng)進行了攻擊,研究者認(rèn)為相關(guān)活動是為了之后的網(wǎng)絡(luò)攻擊進行偵查跟蹤���。另外有少量證據(jù)表明����,針對烏克蘭電力系統(tǒng)等工業(yè)領(lǐng)域的網(wǎng)絡(luò)攻擊中涉及到了BlackEnergy惡意軟件����。如果此次攻擊的確使用了BlackEnergy惡意軟件的話,那有可能幕后會關(guān)聯(lián)到沙蟲組織����。
No.8:洋蔥狗(APT-C-03)
2016年2月25日,Lazarus黑客組織以及相關(guān)攻擊行動由卡巴斯基實驗室���、AlienVault實驗室和Novetta等安全企業(yè)協(xié)作分析并揭露�����。2013年針對韓國金融機構(gòu)和媒體公司的DarkSeoul攻擊行動和2014年針對索尼影視娛樂公司(Sony Pictures Entertainment�,SPE)攻擊的幕后組織都是Lazarus組織。該組織主要攻擊以韓國為主
的亞洲國家��,進一步針對的行業(yè)有政府�����、娛樂&媒體�����、軍隊��、航空航天����、金融、基礎(chǔ)建設(shè)機構(gòu)�����。
在2015年我們監(jiān)控到一個針對朝鮮語系國家的APT攻擊組織��,涉及政府��、交通、能源等行業(yè)����。通過我們深入分析暫未發(fā)現(xiàn)該組織與Lazarus組織之間有聯(lián)系�����。進一步我們將該組織2013年開始持續(xù)到2015年發(fā)動的攻擊�,命名為“洋蔥狗”行動(Operation OnionDog),命名主要是依據(jù)2015年出現(xiàn)的木馬主要依托onion city作為C&C服務(wù)�,以及惡意代碼文件名有dog.jpg字樣。相關(guān)惡意代碼最早出現(xiàn)在2011年5月左右�����。至今至少發(fā)起過三次集中攻擊��。分別是2013年�、2014年7月-8月和2015年7月-9月,在之后我們捕獲到了96個惡意代碼����,C&C域名、IP數(shù)量為14個���。
“洋蔥狗”惡意程序利用了朝鮮語系國家流行辦公軟件Hangul的漏洞傳播����,并通過USB蠕蟲擺渡攻擊隔離網(wǎng)目標(biāo)。此外���,“洋蔥狗”還使用了暗網(wǎng)網(wǎng)橋(Onion City)通信�,借此無需洋蔥瀏覽器就可直接訪問暗網(wǎng)中的域名���,使其真實身份隱蔽在完全匿名的Tor網(wǎng)絡(luò)里���。另外通過我們深入分析,我們推測該組織可能存在使用其他已知APT組織特有的技術(shù)和資源�,目的是嫁禍其他組織或干擾安全研究人員進行分析追溯。
No.9:美人魚(APT-C-07)
美人魚行動是境外APT組織主要針對政府機構(gòu)的攻擊活動���,持續(xù)時間長達6年的網(wǎng)絡(luò)間諜活動����,已經(jīng)證實有針對丹麥外交部的攻擊��。相關(guān)攻擊行動最早可以追溯到2010年4月���,最近一次攻擊是在2016年1月���。截至目前我們總共捕獲到惡意代碼樣本284個�,C&C域名35個�����。
2015年6月��,我們首次注意到美人魚行動中涉及的惡意代碼�,并展開關(guān)聯(lián)分析���,通過大數(shù)據(jù)關(guān)聯(lián)分析我們已經(jīng)確定相關(guān)攻擊行動最早可以追溯到2010年4月�,以及關(guān)聯(lián)出上百
個惡意樣本文件����,另外我們懷疑載荷投遞采用了水坑攻擊的方式,進一步結(jié)合惡意代碼中誘餌文件的內(nèi)容和其他情報數(shù)據(jù)����,我們初步判定這是一次以竊取敏感信息為目的的針對性攻擊,且目標(biāo)熟悉英語或波斯語����。
2016年1月����,丹麥國防部情報局(DDIS�����,Danish Defence Intelligence Service)所屬的網(wǎng)絡(luò)安全中心(CFCS��,Centre for Cyber Security)發(fā)布了一份名為“關(guān)于對外交部APT攻擊的報告”的APT研究報告���,報告主要內(nèi)容是CFCS發(fā)現(xiàn)了一起從2014年12月至2015年7月針對丹麥外交部的APT攻擊����,相關(guān)攻擊主要利用魚叉郵件進行載荷投遞�。
CFCS揭露的這次APT攻擊,就是我們在2015年6月發(fā)現(xiàn)的美人魚行動��,針對丹麥外交部的相關(guān)魚叉郵件攻擊屬于美人魚行動的一部分�。從CFCS的報告中我們確定了美人魚行動的攻擊目標(biāo)至少包括以丹麥外交部為主的政府機構(gòu),其載荷投遞方式至少包括魚叉式釣魚郵件攻擊����。
通過相關(guān)線索分析���,我們初步推測美人魚行動幕后組織來自中東地區(qū)。
No.10:人面獅(APT-C-15)
人面獅行動是活躍在中東地區(qū)的網(wǎng)絡(luò)間諜活動����,主要目標(biāo)可能涉及到埃及和以色列等國家的不同組織,目的是竊取目標(biāo)敏感數(shù)據(jù)信息���;钴S時間主要集中在2014年6月到2015年11月期間��,相關(guān)攻擊活動最早可以追溯到2011年12月����。主要采用利用社交網(wǎng)絡(luò)進行水坑攻擊,截止到目前我總共捕獲到惡意代碼樣本314個��,C&C域名7個����。
人面獅樣本將主程序進行偽裝成文檔誘導(dǎo)用戶點擊,然后釋放一系列的dll�����,根據(jù)功能分為9個插件模塊,通過注冊資源管理器插件的方式來實現(xiàn)核心dll自啟動����,然后由核心dll根據(jù)配置文件進行遠(yuǎn)程dll注入,將其他功能dll模塊注入的對應(yīng)的進程中��,所以程序運行的時候是沒有主程序的�����。用戶被感染后比較難以發(fā)現(xiàn)���,且使用多種加密方式干擾分析��,根據(jù)PDB路徑可以看出使用了持續(xù)集成工具�����,從側(cè)面反映了項目比較龐大�����,開發(fā)者應(yīng)該為專業(yè)的組織�����。
進一步我們分析推測人面獅行動的幕后組織是依托第三方組織開發(fā)相關(guān)惡意軟件��,使用相關(guān)惡意軟件并發(fā)起相關(guān)攻擊行動的幕后組織應(yīng)該來自中東地區(qū)����。
如發(fā)現(xiàn)本站文章存在問題�����,提供版權(quán)疑問����、身份證明�、版權(quán)證明��、聯(lián)系方式等發(fā)郵件至news@citnews.com.cn��。
京公網(wǎng)安備 11010502041587號