信息來源：mottoin

一轉(zhuǎn)眼，2019年只剩下最后一個月了。過去11個月里，威脅領(lǐng)域的變化十分明顯。從2018年下半年到2019年上半年，研究人員發(fā)現(xiàn)了新的對手以及更公開的網(wǎng)絡(luò)攻擊方法。

新的對手——RedCurl

2019 年，一個名為RedCurl的新晉黑客組織開始嶄露頭角，這個組織既當(dāng)間諜又搞金融盜竊，而且攻擊范圍很廣，保險、咨詢、采礦、煉鋼、零售與建筑公司一個都不放過。Group-IB表示，RedCurl 背后的黑客技術(shù)超群，非常難追蹤。RedCurl 能一直成功隱藏自己主要還是因為其用合法服務(wù)與自己的命令與控制（C2）服務(wù)器進(jìn)行通信。

為了干壞事，黑客非常依賴自定義的木馬。得手后的第一個任務(wù)就是竊取受害者的重要文檔，隨后安裝 XMRIG 來進(jìn)行門羅幣挖礦活動。大佬總是挑剔的，這么厲害的組織也不是什么都要的，RedCurl組織主要針對協(xié)議、付款與合同等信息。

與以往粗狂的攻擊方式不同，RedCurl組織的釣魚攻擊方法可是相當(dāng)專業(yè)。它們會針對不同的受害者定制專門的釣魚郵件，這樣成功率更高。

RedCurl的大部分受害者都分布在東歐，但北美也有一家公司中招。從釣魚郵件中所用的語言以及黑客組織使用的電郵服務(wù)來看，該組織中至少有一個人是說俄語的。

但是目前RedCurl組織的真面目還不清楚，沒人知道它們到底是網(wǎng)絡(luò)犯罪組織，還是某個國家的APT組織。

向錢看的組織

Group-IB列出了五個針對金融機(jī)構(gòu)的活躍的網(wǎng)絡(luò)犯罪組織，其中有三個組織（Cobalt、 Silence以及MoneyTaker）都說俄語，可以熟練的利用木馬控制自動取款機(jī)。

其余兩個組織（Lazarus和SilentCard）都是來自肯尼亞的新興組織，主要針對非洲的銀行。雖然技術(shù)不怎么樣，但也足夠他們在非洲大陸上橫行霸道了。

 

雖然網(wǎng)絡(luò)上針對金融機(jī)構(gòu)犯罪組織遠(yuǎn)不止這五個，可是這五個能帶來非常嚴(yán)重的破壞。

這些組織通常會在被攻破的網(wǎng)絡(luò)上花費大量時間，以便它們能像被監(jiān)控的受害者一樣管理金融業(yè)務(wù)。Group-IB 繪制的網(wǎng)絡(luò)攻擊地圖顯示，不管成功與否，這些組織從2018 年下半年開始就進(jìn)入了活躍期，幾乎每個月都有大動作。

 

目前，研究人員還沒有有關(guān)SilentCard組織的詳細(xì)信息，但確信該組織在肯尼亞運行并且成功發(fā)起過兩次攻擊。借助僅有的惡意軟件樣本，Group-IB 猜測 SilentCard 攻擊公司網(wǎng)絡(luò)時使用了一種自行研發(fā)的控制設(shè)備。

背后有國家撐腰的黑客

2018年下半年到2019年上半年，背后有國家撐腰的黑客（APT組織）依然很忙。在Group-IB 列出的38個組織中，有7個是今年新冒頭的組織。雖然這些組織今年才被發(fā)現(xiàn)，但他們有的最早從2011年就開始運行了。

 

其中的典型例子就是 Windshift，網(wǎng)絡(luò)安全公司DarkMatter去年8月份還專門對其工具與策略進(jìn)行了分析。不過，它們在2017年就開始當(dāng)網(wǎng)絡(luò)間諜，針對中東地區(qū)政府雇員和關(guān)鍵基礎(chǔ)設(shè)施刺探情報了。

Blue Mushroom（又名Sapphire Mushroom和APT-C-12）則是個 2011 年就開始正式運行的黑客組織，但去年年中Blue Mushroom才被發(fā)現(xiàn)。這個組織主要針對核工業(yè)與科學(xué)研究機(jī)構(gòu)。

Gallmaker也是2018年才被發(fā)現(xiàn)的APT組織，賽門鐵克認(rèn)為2017年年末Gallmaker組織就正式成立了。據(jù)悉，Gallmaker主要依靠自制工具對政府和軍事目標(biāo)發(fā)動攻擊。

今年年初奇虎360的一份報告則顯示，名為APT-C-36（又名Blind Eagle）的南美黑客組織多次對重要公司與政府機(jī)構(gòu)的商業(yè)機(jī)密進(jìn)行盜竊。

名為Whitefly的黑客組織則盯上了新加坡的醫(yī)療、媒體、通訊與工程公司，Whitefly組織從2017年就開始活動，去年7月因為攻擊新加坡最大的公共衛(wèi)生機(jī)構(gòu)而一戰(zhàn)成名，當(dāng)時大約150萬名病人的資料被竊取。

Hexane與Lyceum則主要針對中東地區(qū)的關(guān)鍵基礎(chǔ)設(shè)施，今年8月份它們才被發(fā)現(xiàn)。

第七家APT組織TajMahal到現(xiàn)在才只是小荷才露尖尖角，關(guān)于它的資料還很少。卡巴斯基發(fā)現(xiàn)它們的攻擊框架相當(dāng)高級，單是一個套件就包含了80個模組，TajMahal正是用它攻破了中亞某外交機(jī)構(gòu)的防御。

網(wǎng)絡(luò)戰(zhàn)升級

對國家來說，網(wǎng)絡(luò)安全已經(jīng)成了最重要的一環(huán)。從現(xiàn)有形勢來看，黑客們已經(jīng)不屑于隱藏自己，反正不承認(rèn)就行了。此外，黑客也不再為了錢發(fā)起攻擊，畢竟今年有許多能源廠遭受了黑客攻擊，這可不能為黑客帶來利潤。為此，政府機(jī)構(gòu)也不得不加緊數(shù)字工具的升級，以防出現(xiàn)不測。

借網(wǎng)絡(luò)攻擊對敵人進(jìn)行報復(fù)最近更是成了日常手段，比如今年夏天美國對伊朗武器系統(tǒng)的攻擊（報復(fù)伊朗擊落美軍無人機(jī)）。

2018年讓我們認(rèn)識到，網(wǎng)絡(luò)世界是多么的脆弱，而2019 年則讓我們看見了網(wǎng)絡(luò)空間上的秘密軍事行動。真可謂是，長江后浪推前浪，前浪也老當(dāng)益壯。