766游戏网官网二零一六上六个月十大APT攻击协会大盘点

766游戏网官网 1

近几年来,APT攻击事件继续,从针对乌Crane国家电网的互联网攻击事件,到孟加拉国央行被黑客攻击导致8100元比索被窃取,APT攻击以其无孔不入的触须延伸到了环球各省,大致全体的首要行业如政坛、金融、电力、教育都饱受了APT攻击的威慑。神秘的APT攻击从攻击初阶到直达目的,有的甚至可能藏匿长达数年,对APT社团的无人问津导致人们在面临APT攻击时的不解。

在本届ISC二〇一四中华互连网安全大会举办前夕,360威慑情报大旨追日团队再出大手笔,正式对外发布二零一五上八个月十大APT攻击协会,揭密这个已经导致重大网络安全事件的暧昧黑客团队。

766游戏网官网 2

No.1:DarkHotel(APT-C-06)

APT-C-06社团是境外APT协会,其重点目标除了中国,还有任何国家。主要目标是窃取敏感数据消息,DarkHotel的位移得以说是APT-C-06集体一多元攻击活动之一。在针对中国地区的攻击中,该团体紧要针对政坛、科研领域开展攻击,且相当的小心于某一定领域,相关攻击行动最早可以追溯到二〇〇六年,到现在还拾分活跃。从我们通晓的证据来看该团体有大概是由境外政坛协助的黑客团队或情报机构。

该社团数拾肆次施用0day漏洞发动攻击,进一步拔取的恶意代码万分复杂,相关作用模块达到数十种,涉及恶意代码数量领先200个。该团队主要针对Windows系统举办攻击,近来还会对基于Android系统的位移装备开展抨击。其余该团体举行负荷投递的法子除了传统的鱼叉邮件和水坑式攻击等周边手段,还要害依照另一种特有的攻拍手法。

766游戏网官网 3

No.2:APT28(APT-C-20)

APT28(APT-C-20),又称Pawn Storm、Sofacy、Sednit、Fancy
Bear和Strontium。APT28社团被思疑幕后和俄罗丝政党有关,该协会有关攻击时间最早可以追溯到二〇〇五年。其首要目的包罗国防工业、军队、政坛社团和媒体。时期使用了大气0day漏洞,相关恶意代码除了针对windows、Linux等PC操作系统,还会指向苹果IOS等运动装备操作系统。

早前也曾被质疑与浙印度洋公约社团互连网攻击事件有关。APT28社团在二零一五年第2季度有雅量的移位,用于攻击NATO成员国和亚洲、欧洲、中东政党。如今有不少定西厂商困惑其与俄罗丝政坛有关,而早前也曾被可疑秘密调查MH17风云。从二〇一四年始发该集团最新的靶子瞄准了土耳其共和国(The Republic of Turkey)高级官员。

766游戏网官网 4

No.3:Lazarus(APT-C-26)

二零一四年六月2三十一日,Lazarus黑客社团以及有关攻击行动由卡Bath基实验室、AlienVault实验室和Novetta等安全公司合作分析并揭秘。二〇一三年本着高丽国金融机构和传媒公司的DarkSeoul攻击行动和二〇一五年针对索尼(Sony)影视娱乐企业(索尼(Sony)Pictures Entertainment,SPE)攻击的私下团队都以拉扎尔us协会。

766游戏网官网 5

Lazarus社团历史运动相关重大事件节点

贰零壹伍年五月孟加拉国央行被黑客攻击导致8100万新币被窃取的轩然大波被暴露后,如越南社会主义共和国先锋银行、厄瓜多尔(República del Ecuador)银行等,针对银行SWIFT系统的其余网络攻击事件逐一被公开。在有关事件暴光后,大家马上对有关攻击事件的浮现溯源分析,就越南社会主义共和国先锋银行相关攻击样本,大家形成了技能报告:《SWIFT之殇——针对越南先锋银行的黑客攻击技术初探》。

在分析孟加拉国央行和越南社会主义共和国先锋银行攻击事件之间,大家发现以来揭露的那4起针对银行的攻击事件不要孤立的,而很有大概是由2个团协会或多少个社团一同发动的两样攻击行动。其余通过对恶意代码同源性分析,766游戏网官网,笔者们得以明确本次针对孟加拉国央行和越南社会主义共和国先锋银行的有关恶意代码与Lazarus协会有关联,但大家不明确幕后的抨击社团是拉扎尔us协会

766游戏网官网 6

No.4:海莲花(APT-C-00)

海莲花(APT-C-00)协会是大家2014年八月通知的针对中国攻击的某老牌境外APT协会,该团伙重大针对中国政坛、科研院所和海事部门等重点领域发起攻击。基杨世元量情报数据和研讨分析,我们还原了APT-C-00社团的一体化攻击行动,相关攻击行动最早能够追溯到2012年,时期不仅指向中国,同时还针对其余国家发起攻击。该团队多量施用水坑式攻击和鱼叉式钓鱼邮件攻击,攻击不限于Windows系统,还针对性任何非Windows操作系统,相关攻击于今还十二分活跃。

766游戏网官网 7

No.5:Carbanak(APT-C-11)

Carbanak(即Anunak)攻击社团,是二个跨国网络犯罪团伙。二〇一三年起,该犯罪团伙总计向举世约二拾四个国家和地面的100家银行、电子支付系统和其他金融机构发动了抨击,近年来连带攻击活动还很活泼。在《二零一六年中华高等持续性威逼(APT)切磋告诉》中大家提到了Carbanak,通过探讨分析该集体有关攻击手法和用意,大家将该团伙视为针对金融行业的犯罪型APT协会。

Carbanak协会一般通过社会工程学、漏洞使用等措施抨击金融机构员工的微处理器,进而入侵银行网络。进一步攻击者通过内部网络,对总结机进行视频监控,查看和著录负责基金转账系统的银行员工的显示屏。通过那种措施,攻击者可以精通到银行员工工作的整个端详,从而模仿银行员工的表现,盗取资金和现金。

除此以外该集体还是可以决定、操作银行的ATM机,命令这个机器在钦赐的时光吐出现金。当到支付时间时,该集体会派人在ATM机旁边等候,以取走机器“主动”吐出的现款。

766游戏网官网 8

No.6:摩诃草(APT-C-09)

摩诃草协会(APT-C-09),又称HangOver、VICEROY TIGE帕杰罗、The Dropping
Elephant、Patchwork,是二个出自于东南亚地区的境外APT社团,该公司已不止活跃了7年。摩诃草社团最早由诺玛n安全集团于二〇一二年暴光,随后又有任何安全厂商持续追踪并披露该集体的最新活动,但该团队没有由于相关攻击行动揭露而停下对有关目的的口诛笔伐,相反从二零一五年初阶一发活泼。

摩诃草协会重大针对中国、巴基斯坦等亚洲地区国家拓展网络间谍活动,其中以窃取敏感音讯为主。相关攻击活动最早可以追溯到二零零六年二月,至今还10分活跃。在针对中国地区的口诛笔伐中,该公司重大针对政坛机关、科研教育领域进行攻击,其中以科研教育领域为主。

从二〇〇九年至今该团队针对不一致国度和天地至少发动了壹次攻击行动和二次疑似攻击行动,时期使用了大量漏洞,其中至少包罗一回0day漏洞攻击,相关恶意代码分外混乱,恶意代码数量超过了上千个。载荷投递的艺术,紧如若以鱼叉邮件举行恶意代码的传播,别的会涉及少量水坑攻击,在近日贰次攻击行动中基于即时通信工具和交际网络也是首要的恶意代码投递途径。进一步还会动用钓鱼网站进行社会工程学攻击。该协会重视针对Windows系统举办攻击,同时也会指向Mac
OS
X系统开展抨击,从二〇一五年终叶还会针对Android系统的活动设备开展抨击。

766游戏网官网 9

No.7:沙虫(APT-C-13)

沙虫协会的显要对象领域有:政党、教育、财富部门和电信运维商。进一步首要针对欧美利坚联邦合众国家政党、北约,以及乌Crane政坛举行间谍活动。该团伙曾利用0day漏洞(CVE-2016-4114)针对乌Crane政坛倡导了二次钓鱼攻击。而在威尔士进行的商量乌Crane危害的北约峰会针对美利哥也展开了攻击。该集体还运用了BlackEnergy恶意软件。而且沙虫协会不仅仅只进行平常的互联网间谍活动,还针对性SCADA系统开展了抨击,探讨者认为相关活动是为着未来的网络攻击举行明查暗访跟踪。此外有微量凭证声明,针对乌Crane电力系统等工业领域的互连网攻击中提到到了布莱克Energy恶意软件。若是此次攻击的确使用了BlackEnergy恶意软件的话,那有或者幕后会波及到沙虫协会。

766游戏网官网 10

No.8:洋葱狗(APT-C-03)

二零一六年三月230日,Lazarus黑客协会以及有关攻击行动由卡Bath基实验室、AlienVault实验室和Novetta等安全公司合作分析并揭发。二〇一二年针对南韩金融机构和传媒公司的DarkSeoul攻击行动和2015年针对索尼(Sony)影视娱乐集团(索尼Pictures
Entertainment,SPE)攻击的幕后团队都是Lazarus协会。该团队重大攻击以南韩为主的欧洲国度,进一步针对的正业有政坛、娱乐&媒体、军队、航空航天、金融、基础建设机关。

在二零一四年我们监控到一个对准波兰语系国度的APT攻击社团,涉及政党、交通、能源等行业。通过我们深入剖析暂未发现该社团与Lazarus社团之间有挂钩。进一步大家将该集体2012年先河不停到二零一五年发动的攻击,命名为“洋葱狗”行动(Operation
OnionDog),命名紧假设基于二〇一六年面世的木马首要依托onion
city作为C&C服务,以及恶意代码文件名有dog.jpg字样。相关恶意代码最早出现在二〇一二年7月左右。距今最少发起过1回集中攻击。分别是二零一一年、二零一四年三月-7月和2016年十月-6月,在今后大家捕获到了9六个恶意代码,C&C域名、IP数量为拾8个。

“洋葱狗”恶意程序利用了希伯来语系国度流行办公软件Hangul的漏洞传播,并通过USB蠕虫摆渡攻击隔离网指标。别的,“洋葱狗”还运用了暗网网桥(Onion
City)通讯,借此无需洋葱浏览器就可一直访问暗网中的域名,使其真实身份隐蔽在完全匿名的Tor互连网里。其余通过我们深刻剖析,大家臆想该集体大概存在利用任何已知APT协会特有的技艺和财富,目标是栽赃其余团队或苦恼安全研究人口展开辨析追溯。

766游戏网官网 11

No.9:美人鱼(APT-C-07)

美丽的女孩子鱼行动是境外APT社团重要针对政坛机构的抨击活动,持续时间长达6年的互连网间谍活动,已经认证有针对丹麦王国外交部的攻击。相关攻击行动最早可以追溯到二〇〇八年十月,近期一遍攻击是在二零一四年7月。停止近期大家总括捕获到恶意代码样本28五个,C&C域名叁十四个。

二零一四年4月,我们第二次注意到美女鱼行动中涉嫌的恶意代码,并拓展事关分析,通过大数据涉嫌分析大家已经规定相关攻击行动最早可以追溯到2008年1月,以及涉及出无数个恶意样本文件,别的大家猜疑载荷投递拔取了水坑攻击的法子,进一步结合恶意代码中诱饵文件的内容和其余音信数据,大家起首断定那是二回以窃取敏感音讯为目标的指向攻击,且对象熟知立陶宛共和国(Republic of Lithuania)语或波斯语。

二零一五年15月,丹麦国防部情报局(DDIS,达尼sh Defence 速龙ligence
Service)所属的互连网安全为重(CFCS,Centre for Cyber
Security)发表了一份名为“关于对外交部APT攻击的告知”的APT商讨告诉,报告重点内容是CFCS发现了一块从二零一五年五月至2016年3月针对丹麦王国外交部的APT攻击,相关攻击重点利用鱼叉邮件举办负荷投递。

CFCS揭示的本次APT攻击,就是我们在二〇一六年五月发现的美观的女生鱼行动,针对丹麦王国外交部的有关鱼叉邮件攻击属于赏心悦目的女生鱼行动的一局地。从CFCS的报告中我们规定了好看的女人鱼行动的攻击对象至少包涵以丹麦王国外交部为主的当局单位,其载荷投递方式至少包含鱼叉式钓鱼邮件攻击。

通过有关线索分析,大家初始测算美观的女生鱼行动幕后团队来自中东地区。

766游戏网官网 12

No.10:人面狮(APT-C-15)

人面狮行动是活泼在中东地区的网络间谍活动,首要目的或许波及到阿拉伯埃及共和国(The Arab Republic of Egypt)和以色列国等国家的例外团体,目的是窃取目标敏感数据音信。活跃时间首要汇聚在2015年2月到二〇一四年九月时期,相关攻击活动最早可以追溯到二〇一一年一月。重要采取拔取社交网络举行水坑攻击,甘休到当前自个儿总共捕获到恶意代码样本317个,C&C域名四个。

人面狮样本将主程序进行伪装成文档诱导用户点击,然后释放一密密麻麻的dll,依据效益分为柒个插件模块,通过注册财富管理器插件的点子来落到实处大旨dll自运营,然后由主题dll依据配置文件举行远程dll注入,将其他作用dll模块注入的相应的经过中,所以程序运行的时候是没有主程序的。用户被感染后相比为难察觉,且使用各种加密方法侵扰分析,依照PDB路径可以看到使用了不止集成工具,从侧面反映了品种相比庞大,开发者应该为专业的团社团。

越发大家分析推断人面狮行动的私下团队是寄托第二方公司开发有关恶意软件,使用相关恶意软件并倡议有关攻击行动的暗中团队应该来自中东地区。

以下内容仅供阅读参考

http://blog.csdn.net/baidu_36847344/article/details/53392559

http://fnwjb.com/niubi/B2B/pdjld.html

发表评论

电子邮件地址不会被公开。 必填项已用*标注