行業(yè)動(dòng)態(tài)

新的黑客組織不斷涌現(xiàn),舊的黑客組織不斷發(fā)展

來源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2019-12-05    瀏覽次數(shù):
 

信息來源:mottoin

一轉(zhuǎn)眼,2019年只剩下最后一個(gè)月了。過去11個(gè)月里,威脅領(lǐng)域的變化十分明顯。從2018年下半年到2019年上半年,研究人員發(fā)現(xiàn)了新的對(duì)手以及更公開的網(wǎng)絡(luò)攻擊方法。

 

新的對(duì)手——RedCurl

2019 年,一個(gè)名為RedCurl的新晉黑客組織開始嶄露頭角,這個(gè)組織既當(dāng)間諜又搞金融盜竊,而且攻擊范圍很廣,保險(xiǎn)、咨詢、采礦、煉鋼、零售與建筑公司一個(gè)都不放過。Group-IB表示,RedCurl 背后的黑客技術(shù)超群,非常難追蹤。RedCurl 能一直成功隱藏自己主要還是因?yàn)槠溆煤戏ǚ?wù)與自己的命令與控制(C2)服務(wù)器進(jìn)行通信。

為了干壞事,黑客非常依賴自定義的木馬。得手后的第一個(gè)任務(wù)就是竊取受害者的重要文檔,隨后安裝 XMRIG 來進(jìn)行門羅幣挖礦活動(dòng)。大佬總是挑剔的,這么厲害的組織也不是什么都要的,RedCurl組織主要針對(duì)協(xié)議、付款與合同等信息。

與以往粗狂的攻擊方式不同,RedCurl組織的釣魚攻擊方法可是相當(dāng)專業(yè)。它們會(huì)針對(duì)不同的受害者定制專門的釣魚郵件,這樣成功率更高。

RedCurl的大部分受害者都分布在東歐,但北美也有一家公司中招。從釣魚郵件中所用的語言以及黑客組織使用的電郵服務(wù)來看,該組織中至少有一個(gè)人是說俄語的。

但是目前RedCurl組織的真面目還不清楚,沒人知道它們到底是網(wǎng)絡(luò)犯罪組織,還是某個(gè)國家的APT組織。

向錢看的組織

Group-IB列出了五個(gè)針對(duì)金融機(jī)構(gòu)的活躍的網(wǎng)絡(luò)犯罪組織,其中有三個(gè)組織(Cobalt、 Silence以及MoneyTaker)都說俄語,可以熟練的利用木馬控制自動(dòng)取款機(jī)。

其余兩個(gè)組織(Lazarus和SilentCard)都是來自肯尼亞的新興組織,主要針對(duì)非洲的銀行。雖然技術(shù)不怎么樣,但也足夠他們?cè)诜侵薮箨懮蠙M行霸道了。

 

雖然網(wǎng)絡(luò)上針對(duì)金融機(jī)構(gòu)犯罪組織遠(yuǎn)不止這五個(gè),可是這五個(gè)能帶來非常嚴(yán)重的破壞。

這些組織通常會(huì)在被攻破的網(wǎng)絡(luò)上花費(fèi)大量時(shí)間,以便它們能像被監(jiān)控的受害者一樣管理金融業(yè)務(wù)。Group-IB 繪制的網(wǎng)絡(luò)攻擊地圖顯示,不管成功與否,這些組織從2018 年下半年開始就進(jìn)入了活躍期,幾乎每個(gè)月都有大動(dòng)作。

 

目前,研究人員還沒有有關(guān)SilentCard組織的詳細(xì)信息,但確信該組織在肯尼亞運(yùn)行并且成功發(fā)起過兩次攻擊。借助僅有的惡意軟件樣本,Group-IB 猜測(cè) SilentCard 攻擊公司網(wǎng)絡(luò)時(shí)使用了一種自行研發(fā)的控制設(shè)備。

背后有國家撐腰的黑客

2018年下半年到2019年上半年,背后有國家撐腰的黑客(APT組織)依然很忙。在Group-IB 列出的38個(gè)組織中,有7個(gè)是今年新冒頭的組織。雖然這些組織今年才被發(fā)現(xiàn),但他們有的最早從2011年就開始運(yùn)行了。

 

其中的典型例子就是 Windshift,網(wǎng)絡(luò)安全公司DarkMatter去年8月份還專門對(duì)其工具與策略進(jìn)行了分析。不過,它們?cè)?017年就開始當(dāng)網(wǎng)絡(luò)間諜,針對(duì)中東地區(qū)政府雇員和關(guān)鍵基礎(chǔ)設(shè)施刺探情報(bào)了。

Blue Mushroom(又名Sapphire Mushroom和APT-C-12)則是個(gè) 2011 年就開始正式運(yùn)行的黑客組織,但去年年中Blue Mushroom才被發(fā)現(xiàn)。這個(gè)組織主要針對(duì)核工業(yè)與科學(xué)研究機(jī)構(gòu)。

Gallmaker也是2018年才被發(fā)現(xiàn)的APT組織,賽門鐵克認(rèn)為2017年年末Gallmaker組織就正式成立了。據(jù)悉,Gallmaker主要依靠自制工具對(duì)政府和軍事目標(biāo)發(fā)動(dòng)攻擊。

今年年初奇虎360的一份報(bào)告則顯示,名為APT-C-36(又名Blind Eagle)的南美黑客組織多次對(duì)重要公司與政府機(jī)構(gòu)的商業(yè)機(jī)密進(jìn)行盜竊。

名為Whitefly的黑客組織則盯上了新加坡的醫(yī)療、媒體、通訊與工程公司,Whitefly組織從2017年就開始活動(dòng),去年7月因?yàn)楣粜录悠伦畲蟮墓残l(wèi)生機(jī)構(gòu)而一戰(zhàn)成名,當(dāng)時(shí)大約150萬名病人的資料被竊取。

Hexane與Lyceum則主要針對(duì)中東地區(qū)的關(guān)鍵基礎(chǔ)設(shè)施,今年8月份它們才被發(fā)現(xiàn)。

第七家APT組織TajMahal到現(xiàn)在才只是小荷才露尖尖角,關(guān)于它的資料還很少??ò退够l(fā)現(xiàn)它們的攻擊框架相當(dāng)高級(jí),單是一個(gè)套件就包含了80個(gè)模組,TajMahal正是用它攻破了中亞某外交機(jī)構(gòu)的防御。

網(wǎng)絡(luò)戰(zhàn)升級(jí)

對(duì)國家來說,網(wǎng)絡(luò)安全已經(jīng)成了最重要的一環(huán)。從現(xiàn)有形勢(shì)來看,黑客們已經(jīng)不屑于隱藏自己,反正不承認(rèn)就行了。此外,黑客也不再為了錢發(fā)起攻擊,畢竟今年有許多能源廠遭受了黑客攻擊,這可不能為黑客帶來利潤。為此,政府機(jī)構(gòu)也不得不加緊數(shù)字工具的升級(jí),以防出現(xiàn)不測(cè)。

借網(wǎng)絡(luò)攻擊對(duì)敵人進(jìn)行報(bào)復(fù)最近更是成了日常手段,比如今年夏天美國對(duì)伊朗武器系統(tǒng)的攻擊(報(bào)復(fù)伊朗擊落美軍無人機(jī))。

2018年讓我們認(rèn)識(shí)到,網(wǎng)絡(luò)世界是多么的脆弱,而2019 年則讓我們看見了網(wǎng)絡(luò)空間上的秘密軍事行動(dòng)。真可謂是,長江后浪推前浪,前浪也老當(dāng)益壯。

 
 

上一篇:網(wǎng)絡(luò)安全:三大創(chuàng)新型技術(shù)來推動(dòng)

下一篇:卡巴斯基安全軟件被發(fā)現(xiàn)漏洞 可為黑客提供簽名代碼執(zhí)行