2016上7个月十大APT攻击社团大盘点

亚洲城误乐城ca88网站 1

近几年来,APT攻击事件继续,从针对乌克兰(Ukraine)(克兰)国家电网的网络攻击事件,到孟加拉国央行被黑客攻击导致8100元法郎被窃取,APT攻击以其无孔不入的触角延伸到了海内外各地,几乎拥有的首要行业如政党、金融、电力、教育都面临了APT攻击的威慑。神秘的APT攻击从攻击开头到直达目的,有的竟然可能隐藏长达数年,对APT协会的未知导致人们在面临APT攻击时的无人问津。

在本届ISC2016中华互联网安全大会进行前夕,360威慑情报中央追日团队再出大手笔,正式对外揭示2016上3个月十大APT攻击社团,揭密那多少个曾经造成重大网络安全事件的机密黑客社团。

亚洲城误乐城ca88网站 2

No.1:DarkHotel(APT-C-06)

APT-C-06协会是境外APT组织,其主要性对象除了中国,还有任何国家。主要目标是窃取敏感数据音讯,DarkHotel的活动得以说是APT-C-06团伙一多样攻击活动之一。在针对中国地区的攻击中,该团伙紧要针对政党、科研领域开展攻击,且非凡小心于某一定领域,相关攻击行动最早可以追溯到2007年,至今还百般活跃。从大家通晓的证据来看该团伙有可能是由境外政坛援救的黑客团队或情报机构。

该团伙数十次采纳0day漏洞发动攻击,进一步采纳的恶意代码格外复杂,相关功能模块达到数十种,涉及恶意代码数量超越200个。该团体紧要针对Windows系统举办抨击,近日还会对基于Android系统的活动设备开展抨击。别的该团队举办负荷投递的法门除了传统的鱼叉邮件和水坑式攻击等科普手段,还根本依据另一种特其他抨击手法。

亚洲城误乐城ca88网站 3

No.2:APT28(APT-C-20)

APT28(APT-C-20),又称Pawn Storm、Sofacy、Sednit、Fancy
Bear和Strontium。APT28协会被怀疑幕后和俄国政党有关,该团队相关攻击时间最早可以追溯到二零零七年。其根本目的包含国防工业、军队、政党协会和传媒。时期选用了大气0day漏洞,相关恶意代码除了针对windows、Linux等PC操作系统,还会指向苹果IOS等运动设备操作系统。

早前也曾被可疑与北印度洋公约组织网络攻击事件有关。APT28社团在二零一五年第一季度有恢宏的运动,用于攻击NATO成员国和澳大利亚、澳大利亚(Australia)、中东政党。近来有无数康宁厂商怀疑其与俄国政府关于,而早前也曾被可疑秘密调查MH17轩然大波。从二〇一六年启幕该团体最新的目的瞄准了土耳其共和国(The Republic of Turkey)高级官员。

亚洲城误乐城ca88网站 4

No.3:Lazarus(APT-C-26)

二零一六年六月25日,Lazarus黑客社团以及相关攻击行动由卡巴斯基实验室、AlienVault实验室和Novetta等安全公司合作分析并揭示。二〇一三年针对高丽国金融机构和媒体公司的DarkSeoul攻击行动和二〇一四年本着索尼(Sony)影视娱乐集团(索尼Pictures Entertainment,SPE)攻击的幕后团队都是Lazarus协会。

亚洲城误乐城ca88网站 5

Lazarus协会历史运动相关重大事件节点

二零一六年8月孟加拉国央行被黑客攻击导致8100万比索被窃取的风浪被暴露后,如越南社会主义共和国先锋银行、厄瓜多尔银行等,针对银行SWIFT系统的其他网络攻击事件逐一被公开。在相关事件暴光后,我们即刻对有关攻击事件的来得溯源分析,就越南社会主义共和国先锋银行有关攻击样本,我们形成了技术报告:《SWIFT之殇——针对越南社会主义共和国先锋银行的黑客攻击技术初探》。

在条分缕析孟加拉国央行和越南社会主义共和国先锋银行攻击事件之间,我们发现以来揭露的那4起针对银行的抨击事件不要孤立的,而很有可能是由一个集体或两个团体一同发动的两样攻击行动。其余通过对恶意代码同源性分析,俺们得以确定本次针对孟加拉国央行和越南社会主义共和国先锋银行的连带恶意代码与Lazarus社团有关联,但我们不确定幕后的口诛笔伐协会是Lazarus协会

亚洲城误乐城ca88网站 6

No.4:海莲花(APT-C-00)

海莲花(APT-C-00)协会是大家二〇一五年十月文告的对准中国抨击的某老牌境外APT社团,该集体重大针对中国政坛、科研院所和海事部门等主要领域发起攻击。基于海量情报数据和探讨分析,我们还原了APT-C-00协会的总体攻击行动,相关攻击行动最早可以追溯到二〇一一年,时期不仅指向中国,同时还针对其余国家发起攻击。该集团多量利用水坑式攻击和鱼叉式钓鱼邮件攻击,攻击不防止Windows系统,还针对性任何非Windows操作系统,相关攻击至今还相当活跃。

亚洲城误乐城ca88网站 7

No.5:Carbanak(APT-C-11)

Carbanak(即Anunak)攻击社团,是一个跨国网络犯罪团伙。二零一三年起,该犯罪团伙计算向全世界约30个国家和地面的100家银行、电子支付系统和其余金融机构发动了抨击,近年来连带攻击活动还很活泼。在《二〇一五年中国高级持续性威逼(APT)研讨告诉》中大家提到了Carbanak,通过钻研分析该公司有关攻击手法和意向,大家将该社团视为针对金融行业的犯罪型APT社团。

Carbanak协会一般经过社会工程学、漏洞使用等措施攻击金融机构员工的微处理器,进而侵犯银行网络。进一步攻击者通过内部网络,对电脑举行录像监控,查看和笔录负责基金转向系统的银行员工的显示器。通过那种方式,攻击者可以精通到银行员工工作的全部端详,从而模仿银行员工的作为,盗取资金和现金。

除此以外该团队还足以决定、操作银行的ATM机,命令那些机器在指定的小时吐现身金。当到支付时间时,该团体会派人在ATM机旁边等候,以取走机器“主动”吐出的现钞。

亚洲城误乐城ca88网站 8

No.6:摩诃草(APT-C-09)

摩诃草社团(APT-C-09),又称HangOver、VICEROY TIGER、The Dropping
Elephant、Patchwork,是一个来源于东亚地区的境外APT社团,该团队已不止活跃了7年。摩诃草社团最早由诺玛(Norma)n安全集团于二零一三年揭露,随后又有其余安全厂商持续追踪并揭示该社团的最新活动,但该集体并未由于有关攻击行动暴露而停下对相关指标的抨击,相反从二零一五年开始越来越活跃。

摩诃草社团第一针对中国、巴基斯坦等澳国地区国家开展网络间谍活动,其中以窃取敏感新闻为主。相关攻击活动最早可以追溯到二〇〇九年10月,至今还丰硕活跃。在针对中国地区的口诛笔伐中,该集体重大针对政党机关、科研教育领域进行攻击,其中以科研教育领域为主。

从二零零六年至今该团伙针对分化国家和世界至少发动了3次攻击行动和1次疑似攻击行动,时期使用了汪洋漏洞,其中至少包蕴一遍0day漏洞攻击,相关恶意代码相当混乱,恶意代码数量超过了上千个。载荷投递的方式,主倘诺以鱼叉邮件举办恶意代码的流传,其余会涉嫌少量水坑攻击,在近期两回攻击行动中基于即时通信工具和应酬网络也是非同儿戏的恶意代码投递途径。进一步还会利用钓鱼网站开展社会工程学攻击。该集体器重针对Windows系统举行抨击,同时也会指向Mac
OS
X系统举行攻击,从二〇一五年启幕还会指向Android系统的活动设备进行攻击。

亚洲城误乐城ca88网站 9

No.7:沙虫(APT-C-13)

沙虫社团的紧要目标领域有:政坛、教育、能源机构和电信运营商。进一步紧要针对欧米利坚家政党、北约,以及乌克兰(Crane)政坛进行间谍活动。该社团曾利用0day漏洞(CVE-2014-4114)针对乌克兰政坛发起了两遍钓鱼攻击。而在威·尔(W·ill)士进行的钻探乌克兰(Crane)危机的北约峰会针对美利坚联邦合众国也开展了攻击。该协会还利用了布莱克Energy恶意软件。而且沙虫协会不仅仅只进行正常的网络间谍活动,还针对性SCADA系统举办了攻击,探讨者认为相关活动是为着未来的网络攻击举行明查暗访跟踪。别的有微量信物声明,针对乌克兰电力系统等工业领域的网络攻击中涉及到了布莱克Energy恶意软件。若是此次攻击的确使用了布莱克(Black)Energy恶意软件的话,那有可能幕后会提到到沙虫社团。

亚洲城误乐城ca88网站 10

No.8:洋葱狗(APT-C-03)

二零一六年8月25日,Lazarus黑客协会以及有关攻击行动由卡巴斯基实验室、AlienVault实验室和Novetta等安全公司合营分析并揭穿。二〇一三年本着南韩金融机构和传媒集团的DarkSeoul攻击行动和二零一四年本着Sony影视娱乐公司(SonyPictures
Entertainment,SPE)攻击的骨子里团队都是Lazarus社团。该集团第一攻击以南朝鲜为主的北美洲国度,进一步针对的正业有政党、娱乐&媒体、军队、航空航天、金融、基础建设单位。

在二〇一五年我们监控到一个针对性意大利语系江山的APT攻击社团,涉及政坛、交通、能源等行业。通过大家深远剖析暂未察觉该团体与Lazarus社团之间有关系。进一步大家将该集体二零一三年始于不停到二〇一五年发动的抨击,命名为“洋葱狗”行动(Operation
OnionDog),命名紧即使依照二零一五年出现的木马首要依托onion
city作为C&C服务,以及恶意代码文件名有dog.jpg字样。相关恶意代码最早现身在二零一一年3月左右。至今最少发起过四回集中攻击。分别是二零一三年、二〇一四年九月-五月和二零一五年八月-一月,在其后大家捕获到了96个恶意代码,C&C域名、IP数量为14个。

“洋葱狗”恶意程序利用了法语系国家流行办公软件Hangul的漏洞传播,并通过USB蠕虫摆渡攻击隔离网目的。其它,“洋葱狗”还接纳了暗网网桥(Onion
City)通讯,借此无需洋葱浏览器就可径直访问暗网中的域名,使其忠实身份隐蔽在一点一滴匿名的Tor网络里。其余通过大家深刻剖析,大家想见该团伙或者存在利用任何已知APT社团特有的技术和资源,目的是陷害其余协会或苦恼安全商讨人口开展辨析追溯。

亚洲城误乐城ca88网站 11

亚洲城误乐城ca88网站,No.9:美人鱼(APT-C-07)

美女鱼行动是境外APT协会紧要针对政党单位的口诛笔伐活动,持续时间长达6年的网络间谍活动,已经表明有针对性丹麦王国外交部的抨击。相关攻击行动最早可以追溯到二〇一〇年2月,方今一次攻击是在二〇一六年10月。停止近年来我们总括捕获到恶意代码样本284个,C&C域名35个。

二零一五年3月,我们首次注意到美女鱼行动中涉嫌的恶意代码,并展开事关分析,通过大数据涉嫌分析大家已经规定相关攻击行动最早可以追溯到二〇一〇年五月,以及关系出无数个恶意样本文件,此外大家可疑载荷投递选取了水坑攻击的主意,进一步结合恶意代码中诱饵文件的情节和其他音讯数据,我们初步判断那是五遍以窃取敏感新闻为目的的指向攻击,且对象通晓塞尔维亚语或波斯语。

二〇一六年一月,丹麦王国国防部情报局(DDIS,Danish Defence AMDligence
Service(Service))所属的网络安全中央(CFCS,Centre for Cyber
Security)发布了一份名为“关于对外交部APT攻击的报告”的APT琢磨告诉,报告根本内容是CFCS发现了一头从二零一四年1七月至二零一五年1月本着丹麦王国外交部的APT攻击,相关攻击重点采取鱼叉邮件进行负荷投递。

CFCS揭破的这一次APT攻击,就是大家在二〇一五年六月意识的美丽的女人鱼行动,针对丹麦外交部的连锁鱼叉邮件攻击属于好看的女人鱼行动的一片段。从CFCS的报告中大家确定了雅观的女生鱼行动的攻击对象至少蕴含以丹麦王国外交部为主的内阁机构,其载荷投递格局至少包涵鱼叉式钓鱼邮件攻击。

因此有关线索分析,大家开首估计好看的女人鱼行动幕后团队来自中东地区。

亚洲城误乐城ca88网站 12

No.10:人面狮(APT-C-15)

人面狮行动是生动活泼在中东地区的网络间谍活动,首要目标可能波及到埃及(Egypt)和以色列国(The State of Israel)等国家的分歧团体,目标是窃取目的敏感数据新闻。活跃时间首要会聚在二零一四年三月到二〇一五年二月时期,相关攻击活动最早可以追溯到二〇一一年1八月。主要选用采纳社交网络进行水坑攻击,停止到眼前自家一共捕获到恶意代码样本314个,C&C域名7个。

人面狮样本将主程序举办伪装成文档诱导用户点击,然后释放一多重的dll,依据成效分为9个插件模块,通过挂号资源管理器插件的措施来贯彻焦点dll自启动,然后由焦点dll按照安顿文件进行远程dll注入,将其它职能dll模块注入的应和的长河中,所以程序运行的时候是没有主程序的。用户被感染后相比难以发现,且使用多种加密方法骚扰分析,依照PDB路径可以寓目使用了不止集成工具,从侧面反映了项目相比较庞大,开发者应该为标准的集体。

尤其我们解析揣测人面狮行动的背后团队是寄托第三方团队开发相关恶意软件,使用有关恶意软件并倡议有关攻击行动的暗中团队应该来自中东地区。

以下内容仅供阅读参考

http://blog.csdn.net/baidu_36847344/article/details/53392559

http://fnwjb.com/niubi/B2B/pdjld.html