360公布2016上半年十大APT攻擊組織 |
來(lái)源:聚銘網(wǎng)絡(luò) 發(fā)布時(shí)間:2016-08-14 瀏覽次數(shù): |
信息來(lái)源:比特網(wǎng)
近幾年來(lái),APT攻擊事件此起彼伏,從針對(duì)烏克蘭國(guó)家電網(wǎng)的網(wǎng)絡(luò)攻擊事件,到孟加拉國(guó)央行被黑客攻擊導(dǎo)致8100元美元被竊取,APT攻擊以其無(wú)孔不入的觸角延伸到了全世界各地,幾乎所有的重要行業(yè)如政府、金融、電力、教育都受到了APT攻擊的威脅。神秘的APT攻擊從攻擊開(kāi)始到達(dá)成目的,有的甚至可能潛伏長(zhǎng)達(dá)數(shù)年,對(duì)APT組織的未知導(dǎo)致人們?cè)诿媾RAPT攻擊時(shí)的茫然無(wú)措。 在本屆ISC2016中國(guó)互聯(lián)網(wǎng)安全大會(huì)召開(kāi)前夕,360威脅情報(bào)中心追日?qǐng)F(tuán)隊(duì)再出力作,正式對(duì)外公布2016上半年十大APT攻擊組織,揭密那些曾經(jīng)造成重大網(wǎng)絡(luò)安全事件的神秘黑客組織。
No.1:DarkHotel(APT-C-06) APT-C-06組織是境外APT組織,其主要目標(biāo)除了中國(guó),還有其他國(guó)家。主要目的是竊取敏感數(shù)據(jù)信息,DarkHotel的活動(dòng)可以視為APT-C-06組織一系列攻擊活動(dòng)之一。在針對(duì)中國(guó)地區(qū)的攻擊中,該組織主要針對(duì)政府、科研領(lǐng)域進(jìn)行攻擊,且非常專注于某特定領(lǐng)域,相關(guān)攻擊行動(dòng)最早可以追溯到2007年,至今還非?;钴S。從我們掌握的證據(jù)來(lái)看該組織有可能是由境外政府支持的黑客團(tuán)體或情報(bào)機(jī)構(gòu)。 該組織多次利用0day漏洞發(fā)動(dòng)攻擊,進(jìn)一步使用的惡意代碼非常復(fù)雜,相關(guān)功能模塊達(dá)到數(shù)十種,涉及惡意代碼數(shù)量超過(guò)200個(gè)。該組織主要針對(duì)Windows系統(tǒng)進(jìn)行攻擊,近期還會(huì)對(duì)基于Android系統(tǒng)的移動(dòng)設(shè)備進(jìn)行攻擊。另外該組織進(jìn)行載荷投遞的方式除了傳統(tǒng)的魚(yú)叉郵件和水坑式攻擊等常見(jiàn)手法,還主要基于另一種特殊的攻擊手法。
No.2:APT28(APT-C-20) APT28(APT-C-20),又稱Pawn Storm、Sofacy、Sednit、Fancy Bear和Strontium。APT28組織被懷疑幕后和俄羅斯政府有關(guān),該組織相關(guān)攻擊時(shí)間最早可以追溯到2007年。其主要目標(biāo)包括國(guó)防工業(yè)、軍隊(duì)、政府組織和媒體。期間使用了大量0day漏洞,相關(guān)惡意代碼除了針對(duì)windows、Linux等PC操作系統(tǒng),還會(huì)針對(duì)蘋(píng)果IOS等移動(dòng)設(shè)備操作系統(tǒng)。 早前也曾被懷疑與北大西洋公約組織網(wǎng)絡(luò)攻擊事件有關(guān)。APT28組織在2015年第一季度有大量的活動(dòng),用于攻擊NATO成員國(guó)和歐洲、亞洲、中東政府。目前有許多安全廠商懷疑其與俄羅斯政府有關(guān),而早前也曾被懷疑秘密調(diào)查MH17事件。從2016年開(kāi)始該組織最新的目標(biāo)瞄準(zhǔn)了土耳其高級(jí)官員。
No.3:Lazarus(APT-C-26) 2016年2月25日,Lazarus黑客組織以及相關(guān)攻擊行動(dòng)由卡巴斯基實(shí)驗(yàn)室、AlienVault實(shí)驗(yàn)室和Novetta等安全企業(yè)協(xié)作分析并揭露。2013年針對(duì)韓國(guó)金融機(jī)構(gòu)和媒體公司的DarkSeoul攻擊行動(dòng)和2014年針對(duì)索尼影視娛樂(lè)公司(Sony Pictures Entertainment,SPE)攻擊的幕后組織都是Lazarus組織。
Lazarus組織歷史活動(dòng)相關(guān)重大事件節(jié)點(diǎn) 2016年2月孟加拉國(guó)央行被黑客攻擊導(dǎo)致8100萬(wàn)美元被竊取的事件被曝光后,如越南先鋒銀行、厄瓜多爾銀行等,針對(duì)銀行SWIFT系統(tǒng)的其他網(wǎng)絡(luò)攻擊事件逐一被公開(kāi)。在相關(guān)事件曝光后,我們立即對(duì)相關(guān)攻擊事件的展示溯源分析,就越南先鋒銀行相關(guān)攻擊樣本,我們形成了技術(shù)報(bào)告:《SWIFT之殤——針對(duì)越南先鋒銀行的黑客攻擊技術(shù)初探》。 在分析孟加拉國(guó)央行和越南先鋒銀行攻擊事件期間,我們發(fā)現(xiàn)近期曝光的這4起針對(duì)銀行的攻擊事件并非孤立的,而很有可能是由一個(gè)組織或多個(gè)組織協(xié)同發(fā)動(dòng)的不同攻擊行動(dòng)。另外通過(guò)對(duì)惡意代碼同源性分析,我們可以確定本次針對(duì)孟加拉國(guó)央行和越南先鋒銀行的相關(guān)惡意代碼與Lazarus組織有關(guān)聯(lián),但我們不確定幕后的攻擊組織是Lazarus組織
No.4:海蓮花(APT-C-00) 海蓮花(APT-C-00)組織是我們2015年5月發(fā)布的針對(duì)中國(guó)攻擊的某著名境外APT組織,該組織主要針對(duì)中國(guó)政府、科研院所和海事機(jī)構(gòu)等重要領(lǐng)域發(fā)起攻擊?;诤A壳閳?bào)數(shù)據(jù)和研究分析,我們還原了APT-C-00組織的完整攻擊行動(dòng),相關(guān)攻擊行動(dòng)最早可以追溯到2011年,期間不僅針對(duì)中國(guó),同時(shí)還針對(duì)其他國(guó)家發(fā)起攻擊。該組織大量使用水坑式攻擊和魚(yú)叉式釣魚(yú)郵件攻擊,攻擊不限于Windows系統(tǒng),還針對(duì)其他非Windows操作系統(tǒng),相關(guān)攻擊至今還非?;钴S。
No.5:Carbanak(APT-C-11) Carbanak(即Anunak)攻擊組織,是一個(gè)跨國(guó)網(wǎng)絡(luò)犯罪團(tuán)伙。2013年起,該犯罪團(tuán)伙總計(jì)向全球約30個(gè)國(guó)家和地區(qū)的100家銀行、電子支付系統(tǒng)和其他金融機(jī)構(gòu)發(fā)動(dòng)了攻擊,目前相關(guān)攻擊活動(dòng)還很活躍。在《2015年中國(guó)高級(jí)持續(xù)性威脅(APT)研究報(bào)告》中我們提到了Carbanak,通過(guò)研究分析該組織相關(guān)攻擊手法和意圖,我們將該組織視為針對(duì)金融行業(yè)的犯罪型APT組織。 Carbanak組織一般通過(guò)社會(huì)工程學(xué)、漏洞利用等方式攻擊金融機(jī)構(gòu)員工的計(jì)算機(jī),進(jìn)而入侵銀行網(wǎng)絡(luò)。進(jìn)一步攻擊者通過(guò)內(nèi)部網(wǎng)絡(luò),對(duì)計(jì)算機(jī)進(jìn)行視頻監(jiān)控,查看和記錄負(fù)責(zé)資金轉(zhuǎn)賬系統(tǒng)的銀行員工的屏幕。通過(guò)這種方式,攻擊者可以了解到銀行職工工作的全部詳情,從而模仿銀行職工的行為,盜取資金和現(xiàn)金。 另外該組織還可以控制、操作銀行的ATM機(jī),命令這些機(jī)器在指定的時(shí)間吐出現(xiàn)金。當(dāng)?shù)街Ц稌r(shí)間時(shí),該組織會(huì)派人在ATM機(jī)旁邊等待,以取走機(jī)器“主動(dòng)”吐出的現(xiàn)金。
No.6:摩訶草(APT-C-09) 摩訶草組織(APT-C-09),又稱HangOver、VICEROY TIGER、The Dropping Elephant、Patchwork,是一個(gè)來(lái)自于南亞地區(qū)的境外APT組織,該組織已持續(xù)活躍了7年。摩訶草組織最早由Norman安全公司于2013年曝光,隨后又有其他安全廠商持續(xù)追蹤并披露該組織的最新活動(dòng),但該組織并未由于相關(guān)攻擊行動(dòng)曝光而停止對(duì)相關(guān)目標(biāo)的攻擊,相反從2015年開(kāi)始更加活躍。 摩訶草組織主要針對(duì)中國(guó)、巴基斯坦等亞洲地區(qū)國(guó)家進(jìn)行網(wǎng)絡(luò)間諜活動(dòng),其中以竊取敏感信息為主。相關(guān)攻擊活動(dòng)最早可以追溯到2009年11月,至今還非?;钴S。在針對(duì)中國(guó)地區(qū)的攻擊中,該組織主要針對(duì)政府機(jī)構(gòu)、科研教育領(lǐng)域進(jìn)行攻擊,其中以科研教育領(lǐng)域?yàn)橹鳌?/span> 從2009年至今該組織針對(duì)不同國(guó)家和領(lǐng)域至少發(fā)動(dòng)了3次攻擊行動(dòng)和1次疑似攻擊行動(dòng),期間使用了大量漏洞,其中至少包括一次0day漏洞攻擊,相關(guān)惡意代碼非常繁雜,惡意代碼數(shù)量超過(guò)了上千個(gè)。載荷投遞的方式,主要是以魚(yú)叉郵件進(jìn)行惡意代碼的傳播,另外會(huì)涉及少量水坑攻擊,在最近一次攻擊行動(dòng)中基于即時(shí)通訊工具和社交網(wǎng)絡(luò)也是主要的惡意代碼投遞途徑。進(jìn)一步還會(huì)使用釣魚(yú)網(wǎng)站進(jìn)行社會(huì)工程學(xué)攻擊。該組織主要針對(duì)Windows系統(tǒng)進(jìn)行攻擊,同時(shí)也會(huì)針對(duì)Mac OS X系統(tǒng)進(jìn)行攻擊,從2015年開(kāi)始還會(huì)針對(duì)Android系統(tǒng)的移動(dòng)設(shè)備進(jìn)行攻擊。
No.7:沙蟲(chóng)(APT-C-13) 沙蟲(chóng)組織的主要目標(biāo)領(lǐng)域有:政府、教育、能源機(jī)構(gòu)和電信運(yùn)營(yíng)商。進(jìn)一步主要針對(duì)歐美國(guó)家政府、北約,以及烏克蘭政府展開(kāi)間諜活動(dòng)。該組織曾使用0day漏洞(CVE-2014-4114)針對(duì)烏克蘭政府發(fā)起了一次釣魚(yú)攻擊。而在威爾士舉行的討論烏克蘭危機(jī)的北約峰會(huì)針對(duì)美國(guó)也進(jìn)行了攻擊。該組織還使用了BlackEnergy惡意軟件。而且沙蟲(chóng)組織不僅僅只進(jìn)行常規(guī)的網(wǎng)絡(luò)間諜活動(dòng),還針對(duì)SCADA系統(tǒng)進(jìn)行了攻擊,研究者認(rèn)為相關(guān)活動(dòng)是為了之后的網(wǎng)絡(luò)攻擊進(jìn)行偵查跟蹤。另外有少量證據(jù)表明,針對(duì)烏克蘭電力系統(tǒng)等工業(yè)領(lǐng)域的網(wǎng)絡(luò)攻擊中涉及到了BlackEnergy惡意軟件。如果此次攻擊的確使用了BlackEnergy惡意軟件的話,那有可能幕后會(huì)關(guān)聯(lián)到沙蟲(chóng)組織。
No.8:洋蔥狗(APT-C-03) 2016年2月25日,Lazarus黑客組織以及相關(guān)攻擊行動(dòng)由卡巴斯基實(shí)驗(yàn)室、AlienVault實(shí)驗(yàn)室和Novetta等安全企業(yè)協(xié)作分析并揭露。2013年針對(duì)韓國(guó)金融機(jī)構(gòu)和媒體公司的DarkSeoul攻擊行動(dòng)和2014年針對(duì)索尼影視娛樂(lè)公司(Sony Pictures Entertainment,SPE)攻擊的幕后組織都是Lazarus組織。該組織主要攻擊以韓國(guó)為主的亞洲國(guó)家,進(jìn)一步針對(duì)的行業(yè)有政府、娛樂(lè)&媒體、軍隊(duì)、航空航天、金融、基礎(chǔ)建設(shè)機(jī)構(gòu)。 在2015年我們監(jiān)控到一個(gè)針對(duì)朝鮮語(yǔ)系國(guó)家的APT攻擊組織,涉及政府、交通、能源等行業(yè)。通過(guò)我們深入分析暫未發(fā)現(xiàn)該組織與Lazarus組織之間有聯(lián)系。進(jìn)一步我們將該組織2013年開(kāi)始持續(xù)到2015年發(fā)動(dòng)的攻擊,命名為“洋蔥狗”行動(dòng)(Operation OnionDog),命名主要是依據(jù)2015年出現(xiàn)的木馬主要依托onion city作為C&C服務(wù),以及惡意代碼文件名有dog.jpg字樣。相關(guān)惡意代碼最早出現(xiàn)在2011年5月左右。至今至少發(fā)起過(guò)三次集中攻擊。分別是2013年、2014年7月-8月和2015年7月-9月,在之后我們捕獲到了96個(gè)惡意代碼,C&C域名、IP數(shù)量為14個(gè)。 “洋蔥狗”惡意程序利用了朝鮮語(yǔ)系國(guó)家流行辦公軟件Hangul的漏洞傳播,并通過(guò)USB蠕蟲(chóng)擺渡攻擊隔離網(wǎng)目標(biāo)。此外,“洋蔥狗”還使用了暗網(wǎng)網(wǎng)橋(Onion City)通信,借此無(wú)需洋蔥瀏覽器就可直接訪問(wèn)暗網(wǎng)中的域名,使其真實(shí)身份隱蔽在完全匿名的Tor網(wǎng)絡(luò)里。另外通過(guò)我們深入分析,我們推測(cè)該組織可能存在使用其他已知APT組織特有的技術(shù)和資源,目的是嫁禍其他組織或干擾安全研究人員進(jìn)行分析追溯。
No.9:美人魚(yú)(APT-C-07) 美人魚(yú)行動(dòng)是境外APT組織主要針對(duì)政府機(jī)構(gòu)的攻擊活動(dòng),持續(xù)時(shí)間長(zhǎng)達(dá)6年的網(wǎng)絡(luò)間諜活動(dòng),已經(jīng)證實(shí)有針對(duì)丹麥外交部的攻擊。相關(guān)攻擊行動(dòng)最早可以追溯到2010年4月,最近一次攻擊是在2016年1月。截至目前我們總共捕獲到惡意代碼樣本284個(gè),C&C域名35個(gè)。 2015年6月,我們首次注意到美人魚(yú)行動(dòng)中涉及的惡意代碼,并展開(kāi)關(guān)聯(lián)分析,通過(guò)大數(shù)據(jù)關(guān)聯(lián)分析我們已經(jīng)確定相關(guān)攻擊行動(dòng)最早可以追溯到2010年4月,以及關(guān)聯(lián)出上百個(gè)惡意樣本文件,另外我們懷疑載荷投遞采用了水坑攻擊的方式,進(jìn)一步結(jié)合惡意代碼中誘餌文件的內(nèi)容和其他情報(bào)數(shù)據(jù),我們初步判定這是一次以竊取敏感信息為目的的針對(duì)性攻擊,且目標(biāo)熟悉英語(yǔ)或波斯語(yǔ)。 2016年1月,丹麥國(guó)防部情報(bào)局(DDIS,Danish Defence Intelligence Service)所屬的網(wǎng)絡(luò)安全中心(CFCS,Centre for Cyber Security)發(fā)布了一份名為“關(guān)于對(duì)外交部APT攻擊的報(bào)告”的APT研究報(bào)告,報(bào)告主要內(nèi)容是CFCS發(fā)現(xiàn)了一起從2014年12月至2015年7月針對(duì)丹麥外交部的APT攻擊,相關(guān)攻擊主要利用魚(yú)叉郵件進(jìn)行載荷投遞。 CFCS揭露的這次APT攻擊,就是我們?cè)?015年6月發(fā)現(xiàn)的美人魚(yú)行動(dòng),針對(duì)丹麥外交部的相關(guān)魚(yú)叉郵件攻擊屬于美人魚(yú)行動(dòng)的一部分。從CFCS的報(bào)告中我們確定了美人魚(yú)行動(dòng)的攻擊目標(biāo)至少包括以丹麥外交部為主的政府機(jī)構(gòu),其載荷投遞方式至少包括魚(yú)叉式釣魚(yú)郵件攻擊。 通過(guò)相關(guān)線索分析,我們初步推測(cè)美人魚(yú)行動(dòng)幕后組織來(lái)自中東地區(qū)。
No.10:人面獅(APT-C-15) 人面獅行動(dòng)是活躍在中東地區(qū)的網(wǎng)絡(luò)間諜活動(dòng),主要目標(biāo)可能涉及到埃及和以色列等國(guó)家的不同組織,目的是竊取目標(biāo)敏感數(shù)據(jù)信息。活躍時(shí)間主要集中在2014年6月到2015年11月期間,相關(guān)攻擊活動(dòng)最早可以追溯到2011年12月。主要采用利用社交網(wǎng)絡(luò)進(jìn)行水坑攻擊,截止到目前我總共捕獲到惡意代碼樣本314個(gè),C&C域名7個(gè)。 人面獅樣本將主程序進(jìn)行偽裝成文檔誘導(dǎo)用戶點(diǎn)擊,然后釋放一系列的dll,根據(jù)功能分為9個(gè)插件模塊,通過(guò)注冊(cè)資源管理器插件的方式來(lái)實(shí)現(xiàn)核心dll自啟動(dòng),然后由核心dll根據(jù)配置文件進(jìn)行遠(yuǎn)程dll注入,將其他功能dll模塊注入的對(duì)應(yīng)的進(jìn)程中,所以程序運(yùn)行的時(shí)候是沒(méi)有主程序的。用戶被感染后比較難以發(fā)現(xiàn),且使用多種加密方式干擾分析,根據(jù)PDB路徑可以看出使用了持續(xù)集成工具,從側(cè)面反映了項(xiàng)目比較龐大,開(kāi)發(fā)者應(yīng)該為專業(yè)的組織。 進(jìn)一步我們分析推測(cè)人面獅行動(dòng)的幕后組織是依托第三方組織開(kāi)發(fā)相關(guān)惡意軟件,使用相關(guān)惡意軟件并發(fā)起相關(guān)攻擊行動(dòng)的幕后組織應(yīng)該來(lái)自中東地區(qū)。 |