【网络间谍篇】这些知名APT组织,背后都有国家级机构支持
近年来,随着地缘冲突和贸易冲突的加剧,网络安全攻击成为了继“海、陆、空、天”后的另一大战场,继而催生出越来越多的国家级APT攻击组织。
每个国家级的APT攻击组织的目的都不尽相同,最常见的就是窃取国家级机密情报、破坏他国的关键基础设施等。除此之外,很多国家级APT组织也成为了企业的攻击威胁主要来源之一。SolarWinds供应链攻击事件更是给所有的企业展示了国家级网络间谍组织的危害性。
APT29——全球性供应链危机魁首
APT29是一个拥有俄罗斯联邦对外情报局(SVR)背景的国家级APT 组织,其攻击目标覆盖欧洲、北美、亚洲、非洲的多个地区和国家,主要攻击目标为包含美国、英国等在内的北约成员国以及欧洲地域邻近国家,具体攻击行业目标为政府实体、科研机构、智囊团、高技术企业、通信基础设施供应商等。
通过对各类安全事件的披露报告中发现该组织所使用的木马工具集可以分为三类:The Dukes系列、WellMess系列、Nobelium系列。
The Dukes系列攻击活动主要为鱼叉网络攻击,该类木马的新颖之处在于使用Twitter社交平台伪造特定时政话题内容、存放恶意网络资产、以此为跳板投递初始攻击载荷及后续网络交互行为。
WellMess系列攻击活动主要通过远程网络渗透形式发起攻击,期间使用了多个Nday漏洞,该类木马采用golang和.Net环境进行开发设计,实现基础的窃密监听恶意功能,并存在针对Windows、Linux平台的攻击样本。
Nobelium系列包括Solarwinds供应链攻击在内的一系列攻击活动,该类木马疑似采用Microsoft Exchange 0day漏洞渗入Solarwinds供应商产品构建系统,植入Sunspot木马。
APT29是最先进、纪律严明且难以捉摸的威胁参与者之一,该攻击组织的攻击技巧非同寻常,既掌握进攻技能也熟练防御的技能,并利用这些知识来完善自己的入侵技术,以藏匿踪迹。
蔓灵花——网络间谍界的"学霸"
蔓灵花是拥有南亚背景的APT组织,具有强烈的政治背景,主要针对巴基斯坦、中国两国,其攻击目标为政府部门、电力、军工业相关单位,主要意图为窃取敏感资料。
该组织在攻击初期偏好投递带有office漏洞的恶意文档来进行鱼叉攻击,会针对不同的攻击对象定制化相关诱饵,通过对其攻击活动进行分析,发现该组织具有采用0day漏洞攻击的能力,且攻击能力正在不断提升,如开始使用.NET远控。除此之外会使用RAT变种来监视和控制目标计算机、网络设备甚至整个网络。
Oceanlotus——钓鱼世界最成功的窃贼
Oceanlotus是来自越南的APT攻击组织,是近几年来对中国大陆进行攻击活动最活跃的APT攻击组织。该组织的成员非常熟悉我国,对我国的时事、新闻热点、政府结构等都非常熟悉,如国家刚发布出个税政策时,该组织就立即使用个税改革方案作为攻击诱饵主体,此外该攻击组织常用的钓鱼主题还包括绩效、薪酬、工作报告、总结报告等,大部分邮件主体都非常本土化。
从整体攻击方式来看,该攻击组织常采用电子邮件投递诱饵的方式,在获得一台机器的控制权后,立即对整个内网进行扫描和平移渗透攻击等。
摩诃草——鱼叉攻击的"状元"
摩诃草组织(APT-C-09),又称HangOver、VICEROY TIGER、The Dropping Elephant、Patchwork,是一个来自于南亚地区的境外APT组织,该组织主要针对中国、巴基斯坦等亚洲地区国家进行网络间谍活动,其中以窃取敏感信息为主。
该组织具有使用0day漏洞和Nday漏洞的能力,其攻击活动常以鱼叉邮件开始,偶尔也会利用水坑攻击,并结合社会工程学技巧,以热点问题为诱饵主题,将自身伪装为目标国家、目标领域的相关人员,针对目标国家的政府、军事、电力、工业、外交和经济进行网络间谍活动,窃取敏感信息。
通过对摩诃草组织的历次攻击活动的目标、时间节点、诱饵主题等相关信息分析来看,该组织的攻击活动具有较强的政治动机。
Lazarus——金融机构最大的威胁
Lazarus是东亚某国支持的最活跃的APT组织之一,具有非常高的网络攻击能力,其攻击目的主要以窃取资金为主,针对银行、比特币交易所等金融机构以及个人实施定向攻击,堪称全球金融机构最大的威胁。此外,Lazarus还针对航空航天、工程、技术、政府、媒体等机构和企业进行渗透,达到窃取重要资料以及破坏勒索等目的。
该组织早期多利用僵尸网络对目标进行DDos攻击,中后期主要的攻击手段为鱼叉攻击、水坑攻击以及供应链攻击等手法,并会配合社会工程学进行攻击。
通过该组织进行的多次攻击活动进行分析,该攻击组织的攻击周期较长、诱饵极具迷惑性和诱惑性、擅长使用多种加密算法,同时每次攻击所使用的工具的源代码都经过一定的修改,说明该组织还具有一定的编程能力。
该组织的攻击手段逐渐明晰,导致其攻击难度大幅度提升,相关机构预测该组织会逐渐积累0day漏洞以扩充其武器库。
响尾蛇——网络间谍的"上帝"
响尾蛇是拥有南亚背景的APT组织,主要针对巴基斯坦、中国、阿富汗、尼泊尔、孟加拉等国家展开攻击,以窃取政府外交机构、国防军事部门、高等教育机构等领域的机密信息为目的,攻击活动具有强烈的政治背景。
该组织具有Windows和Android双平台攻击能力。其中在Windows平台的攻击手法比较固定,攻击前期以LNK文件或者漏洞文档为攻击入口,通过执行包含js代码的hta文件或js脚本反射加载C# dll文件,最后借由该dll文件植入木马程序组件。
通过对其攻击活动的分析,相关机构发现响尾蛇组织的攻击流程整体没有太大的变化,但为了对抗研究人员的反制溯源以及安全软件的检测查杀,响尾蛇通过提高代码混淆度、参数加密等方向改进攻击手段。
当下,全球正处于数字化转型的关键时期,越来越的机构和企业进行数字化转型,也就意味着越来越多的资产都架构在网络、数据和软件之上,在极大提高便捷性的同时,网络攻击所展现出来的威力将难以估量。
在国家的大力支持下,国家级APT组织的攻击实力正在急剧上升,APT攻击威胁将笼罩在全球。这意味着,中国领先的科研机构、政企机构都面临这更加严峻、更加激烈的网络窃密活动与网络破坏活动,中国的网络安全之路道阻且长,对中国政企机构的网络安全建设与运营水平提出了更高的要求——国城科技专注于网络安全本质的探索,致力于为政企机构提出全域网络安全解决方案。
【网络间谍篇】这些知名APT组织,背后都有国家级机构支持相关推荐
- 【网络间谍篇】剖析美国“棱镜门”事件
美国"棱镜门"计划自曝光之日起,就受到了世界各方面的关注,该事件所揭露的网络信息安全问题,不仅仅是个人的隐私保护问题,也是美国不断将网络信息 "安全化",进而& ...
- 【网络间谍篇】SolarWinds供应链攻击事件的来龙去脉
2020年11月底,FireEye的审查员在内部安全日志审计中发现一条安全警告:一位员工注册了一个新的手机号码接收双因素认证验证码.然而据该员工反馈,这段时间并未在系统中注册新的手机号码,FireEy ...
- 新时期网络间谍活动的现状
随着信息和网络技术的飞速发展,互联网已渗透到人类生活的方方面面,并对国家安全.军事斗争以及战争形态产生了重大而深远的影响,网络空间已成为与陆.海.空.天并列的第五维空间领域.网络空间战已成为左右国家政 ...
- 网络间谍组织 SideCopy 攻击印度政府和军队组织
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士 Quick Heal 公司的威胁情报团队 Seqrite 指出,有网络间谍组织正在攻击印度政府和军队组织,以恶意软件感染受害者. 该组织被 ...
- 报告称中国黑客组织APT10发动全球规模最大的网络间谍活动
普华永道与BAE发布联合报告称中国黑客组织APT10发动全球范围内规模最大的持续性网络间谍行为-E安全 普华永道与BAE Systems(BAE系统公司,世界第三大军工企业)联合发布了一份名为< ...
- 赛门铁克:网络间谍组织Buckeye将攻击目标转至中国香港
Buckeye网络间谍组织正将数家中国香港机构作为攻击目标,Buckeye网络间谍组织又被称为APT3.Gothic Panda.UPS Team和 TG-0110,该组织已经成立超过五年,并主要针对 ...
- Worok:专门针对亚洲实体的网络间谍组织
ESET 的研究人员发现了一个全新的攻击组织 Worok,该组织自动 2020 年就一直处于活跃状态.Worok 使用的工具集包括一个 C++ 编写的加载程序 CLRLoad.一个 PowerShel ...
- 网络间谍又添利器:新型远程访问木马Trochilus
研究人员发现了一场新型的网络间谍活动,它依赖于大量远程访问木马(Remote Access Trojan,RAT),包括新型强大的Trochilus(蜂鸟)木马,该木马背后的攻击者主要使用了恶意邮件作 ...
- [译] APT分析报告:03.OpBlueRaven揭露APT组织Fin7/Carbanak(上)Tirion恶意软件
这是作者新开的一个专栏,主要翻译国外知名的安全厂商APT报告文章,了解它们的安全技术,学习它们溯源APT组织的方法,希望对您有所帮助.前文分享了钓鱼邮件网址混淆URL逃避检测,这篇文章将介绍APT组织 ...
最新文章
- 阿里大佬分享API网关在微服务架构中的应用
- 【Python】 获取MP3信息replica
- 6、用户登录并发、新建以及编辑操作;
- zookeeper在windows上安装和配置
- 2招解决并发问题,省几百万设备费用!说穿了很简单...
- Linux 底层原理 —— epoll 与多路复用
- 计算机数据库系统考研复试面试题,2016年山西财经大学081203计算机应用技术871数据库系统概论复试笔试最后押题五套卷...
- envi栅格TIF数据进行分割_常用水文气象数据读取及其可视化(二进制、HDF5、NetCDF)以GLDAS、MODIS、GSMaP为例...
- AppScan安装包及详细安装教程(带图)
- 查看计算机内存条型号,查看本机内存条型号_查看电脑内存条型号
- 18. C语言 -- 指针数组和数组指针
- 德军总部2新巨人计算机丢失,德军总部2新巨人打不开怎么办 德军总部2新巨像进不去解决方法...
- 3.3 费马质数测试
- Unicode、UTF-8、UTF-16之间的区别
- 7-4 到底是不是太胖了
- 读书笔记-《如何阅读一本书》
- 【C语言】队列的实现
- 动态背景下目标跟踪算法目标跟踪
- matlab中动力学方程,Matlab求动力学的微分方程组拟合
- R语言第八次课堂小测 rattle的应用(包括rattle的安装)