[百家号]APT组织简介2019

5家新APT组织被披露,2019是“后起之秀”的天下?

https://baijiahao.baidu.com/s?id=1621699899936470038&wfr=spider&for=pc

APT(Advanced Persistent Threat)是指高级持续性威胁。

APT是黑客以窃取核心资料为目的,针对客户所发动的网络攻击和侵袭行为,是一种蓄谋已久的“恶意商业间谍威胁”。这种行为往往经过长期的经营与策划,并具备高度的隐蔽性。APT的攻击手法,在于隐匿自己,针对特定对象,长期、有计划性和组织性地窃取数据,这种发生在数字空间的偷窃资料、搜集情报的行为,就是一种“网络间谍”的行为。
利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式,APT攻击的原理相对于其他攻击形式更为高级和先进,其高级性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集。在此收集的过程中,此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞,利用这些漏洞组建攻击者所需的网络,并利用0day漏洞进行攻击。

雷锋网

01-0411:45

“2018难过吗?不好意思,2019你还得照样过!”上班第一天,小赵的这句问候语算是真真切切地扎了心。这种感觉,就像是你花了三天时间灌的鸡汤付之东流,2018年那些糟心回忆似乎又回来了。

在网络安全领域2018年的糟心事儿的确也不少,这其中最属APT攻击让人印象深刻。而最新发现的APT组织以及与之匹配的隐蔽攻击手段似乎也在向各家网络安全公司宣誓——我们2019再见!

APT高持续性威胁这个专业名词源于2010年Google退华一事中的“极光攻击”这起安全事件,各国安全专家对这类攻击持续热议后总结而得。在此之后APT攻击与防护战拉开帷幕,这一斗就是10年。显然,这是场打不完的硬仗。

俗话说知己知彼才能百战不殆,面对充满挑战的2019年,我们似乎应该先从前一年的APT攻防战中汲取经验。对此,宅客频道在腾讯安全近日发布的《腾讯安全2018年高级持续性威胁(APT)研究报告》中扒了扒,并对2018年APT攻击的详细情况做了整理。

▲相关攻击报告最多的几个APT组织(只选取报告中有明确组织信息的)

APT攻击集中在东亚、东南亚

随着中国国际地位的不断崛起,各种与中国有关的政治、经济、军事、科技情报搜集对专业黑客组织有极大的吸引力,使中国成为全球APT攻击的主要受害国之一,针对中国境内的攻击活动异常频繁。针对被攻击地区分布,相关的安全报告的统计如下(之选取报告中有明确的攻击组织和对象):

由此可以看出,无论是攻击组织和攻击报告数量,东亚和东南亚都遥遥领先于世界其他地区,是专业APT组织特别关注的敏感地域。而由于中东局势的混乱,针对中东地区的APT攻击和组织也相对较多。欧洲和北美则保持精英化的状态,虽然攻击组织不多,但是都是实力雄厚的攻击组织。

随着中国在全球化进程中影响力的不断增长,中国政府、企业及民间机构与世界各国联系的不断增强,中国已成为跨国APT组织的重点攻击目标。中国也是世界上受APT攻击最严重的国家的之一。至2018年12月底,针对中国境内目标发动攻击的境内外APT组织至少有7个,且均处于高度活跃状态。下表列出部分攻击组织的相关活动情况:

据统计,2018年,中国大陆受APT攻击最多的地区是辽宁、北京和广东,其次是湖南、四川、云南、江苏、上海、浙江、福建等地(不含港澳台地区))。

而从行业上的分布,政府部门依然是APT组织最为关注的目标,其次能源、通信、航空、军工、核等基础设施也是重要的攻击目标。

近些年来,金融、贸易、科研机构、媒体等行业也逐渐的被一些APT组织列为了攻击目标。

5起重点攻击矛头直指中国

从上面可以看出,针对中国发起的APT攻击最多,其采用的手段更是花样繁多。在这里,我们整理了5起针对中国发起的重大APT攻击事件,并对其进行了简单分析。

1)海莲花(OceanLotus、APT32)海莲花APT组织是一个长期针对中国及其他东亚、东南亚国家(地区)政府、科研机构、海运企业等领域进行攻击的APT组织。该组织也是针对中国境内的最活跃的APT组织之一。2018年该组织多次对中国境内的目标进行了攻击。海莲花攻击组织擅长使用鱼叉攻击和水坑攻击,NSA的武器库曝光后,同样还使用了永恒系列漏洞进行了攻击。除此,投递的攻击武器也是种类繁多,RAT包括Denis、CobaltStrike、PHOREAL、salgorea等。

·白加黑攻击

白加黑攻击是海莲花组织常用的攻击方式之一,该组织在今年的攻击活动中多次使用了该方式。白加黑组合包括dot1xtray.exe+ rastls.dll、SoftManager.exe+dbghelp.dll等。

·脚本攻击

使用bat生成加密的js:

最终在内存中调用loader类,加载最终的由CobaltStrike生成的beacon.dll木马:

2)DarkHotel(黑店)

DarkHotel(黑店)是一个被认为来自韩国的APT组织(亦有研究团队认为与朝鲜有关),该组织是近几年来最活跃的APT组织之一,主要攻击目标为电子行业、通信行业的企业高管及有关国家政要人物,其攻击范围遍布中国、朝鲜、日本、缅甸、俄罗斯等多个国家。该组织技术实力深厚,在多次攻击行动中都使用了0day进行攻击,比如今年新曝光的CVE-2018-8174、CVE-2018-8373等。表明该组织实力雄厚,为达目标,不惜代价。在2018年,该组织也多次针对中国的目标进行了攻击活动,如针对中朝贸易公司的高管、香港某贸易公司高管等。该组织的一大特色是喜欢把木马隐藏在开源的代码中进行伪装,如putty、openssl、zlib等,把少量木马代码隐藏在大量的开源代码中,从而实现躲避检测的目的,因此将被称为“寄生兽”。注:2018年12月,大量机构(其中不乏国家要害机构)的内部系统因采用的某开源代码设计了一个界面彩蛋而引发严重风波,也证实许多机构在使用开源代码时,并未仔细进行代码审计,从而有可能在引入的开源系统中,混入的有害代码不被察觉。针对几次攻击活动,披露详情如下:如使用msfte.dll和msTracer.dll,来进行持久性攻击,并把下发的shellcode隐藏在图片文件中:

▲DarkHotel(黑店)APT组织用于隐藏恶意代码的图片之一

▲DarkHotel(黑店)APT组织用于隐藏恶意代码的图片之二

同时通过下发插件的方式,完成相关的任务:

3)白象(摩诃草、Patchwork)

白象是一个来自于南亚地区的境外APT组织,组织主要针对中国、巴基斯坦等亚洲地区和国家的政府机构、科研教育领域进行攻击。部分基础设施和代码和蔓灵花、孔子重合,这几个组织间疑似有千丝万缕的关系。该组织在2018年同样多次对中国的多个目标进行了攻击活动。该组织同样使用鱼叉攻击,诱饵文档带有强烈的政治意味:

▲白象APT组织使用的诱饵文档之一

▲白象APT组织使用的诱饵文档之二

最终释放的特马为开源的Quasar RAT:

4)蔓灵花(BITTER)

蔓灵花APT组织是一个长期针对中国、巴基斯坦等国家进行攻击活动的APT组织,该组织主要针对政府、军工业、电力、核等单位进行攻击,窃取敏感资料,具有强烈的政治背景。2018年,该组织针对中国境内多个目标的攻击活动。该组织主要使用鱼叉钓鱼进行攻击,投递伪装成word图标的自解压文件:

运行后,除了会执行恶意文件外,还会打开一个doc文档,用于迷惑用户,让用户以为打开的文件就是一个doc文档。诱饵文档内容极尽诱惑力:

最终会下发键盘记录、上传文件、远控等插件,完成资料的窃取工作。同时经过关联分析,我们还发现该组织疑似和白象、孔子(confucius)等组织也有千丝万缕的关系。该组织的图谱如下:

5)穷奇&蓝宝菇穷奇和蓝宝菇疑似来自东亚某地区的攻击组织,主要针对中国大陆的政府、军事、核工业、科研等敏感机构进行攻击活动。该两个组织之间使用的攻击武器库有部分重叠,以至于很长一段时间我们都认为是同一个组织。因此我们猜测,这两个组织为同一攻击团队的两个小组。蓝宝菇在2018年多次对中国大陆的目标进行了攻击,包括上海进!博会期间的攻击。

▲蓝宝菇APT组织使用的诱饵文档之一

▲蓝宝菇APT组织使用的诱饵文档之二

最终的攻击武器包括bfnet远控、窃取文件的powershell脚本等。

披露新APT组织,2019攻防战难度升级

2018年,各大网络安全厂商不断披露各类APT攻击。其中,一些从未见过的新APT组织也逐渐浮出水面被大众所熟知。这些APT组织轮番对中国境内的政府、军事、能源、科研、贸易、金融等机构进行了攻击。毫无疑问,这些“后起之秀”将成为各家网络安全厂商在2019年的重点关注对象。

1)响尾蛇(SideWinder)响尾蛇(SideWinder)APT攻击组织是一个疑似来自印度的攻击组织,主要针对巴基斯坦等南亚国家的军事目标进行攻击,该组织的攻击活多最早可追溯到2012年。某次攻击活动的攻击流程图:

最终会收集相关计算机信息,发送给C&C服务器:

2)White Company

该组织针对巴基斯坦的空军进行了代号为"沙欣行动"的APT攻击活动,该行动和组织最早在2018年11月被cylance公司进行了披露。该组织有极强的技术能力,还有完善的攻击武器利用平台,可以根据目标环境不同随时研发客制化工具。

该组织所使用的恶意代码能够规避大多数主流杀毒软件的检测,包括Sophos、ESET、Kaspersky、BitDefender、Avira、Avast、AVG和Quickheal。另外,在这场间谍活动中被使用的恶意软件实现了至少五种不同的打包技术,为最终的有效载荷提供了极有效的保护。

3)WindShift

WindShift组织是一个针对中东地区的政府部门和关键基础设施部门的特定工作人员进行攻击的APT组织,该组织可利用自定义URL Scheme来远程感染macOS目标。该组织最早在2018年8月的新加坡HITB GSEC会议上由Dark Matter LLC公司的安全研究员进行了披露。该组织攻击目标均位于所谓的海湾合作委员会(GCC)地区,即沙特阿拉伯,科威特,阿联酋,卡塔尔,巴林和阿曼。这些目标被发送包含黑客运行的网站的链接的邮件。一旦目标点击链接,且受害者进行了交互,则会下载被称为 WindTale 和 WindTape 的恶意软件并进行感染。

4)Gallmaker

Gallmaker组织是一个以政府、军事、国防部门及东欧国家的海外使馆为攻击目标的APT组织,该组织至少自2017年12月开始运营,最近一次的活动在2018年6月。该组织在在2018年10月由赛门铁克进行了曝光。该组织最大的特点是使用公开的工具进行攻击,因此来隐藏自己的身份。如某次攻击活动:

攻击成功后,他们就会使用下列公开的攻击工具:

WindowsRoamingToolsTask:用于调度PowerShell脚本和任务Metasploit的“reverse_tcp”:通过PowerShell来下载该反向shellWinZip控制台的合法版本:创建一个任务来执行命令并与C&C通信,它也可能用于存档数据或者过滤新Rex PowerShell库:github上开源的库,该库帮助创建和操作PowerShell脚本,以便于Metasploit漏洞一起运行

5)Donot TeamDonot Team是针对巴基斯坦等南亚国家进行攻击的APT组织,该组织最早在2018年3月由NetScout公司的ASERT团队进行了披露。该组织采用鱼叉攻击进行攻击,并且该组织有成熟的恶意代码框架EHDevel和yty,目前已经至少已经更新到了4.0版本:

6)Gorgon Group

Gorgon Group是一个被认为来自巴基斯坦的攻击组织。该组织在8月份由Palo Alto的Unit42团队进行了披露。和其他组织不同的是,该组织最常见的攻击是针对全球的外贸人士进行攻击,该组织还发现针对英国、西班牙、俄罗斯、美国等政府目标发起了攻击。针对撒网式的外贸目标,主要的文件名包括:

SWIFT {日期}.docSWIFT COPY.docPURCHASE ORDER {随机数}.docDHL_RECEIPT {随机数}.docSHIPPING RECEIPT {日期}.docPayment Detail.doc 等

而所用的武器库均为一些商用的RAT,包括:

AzorultNjRATRevengeRATLokiBotRemcosRATNanoCoreRAT等

而针对政府的定向攻击,主要使用一些政治意味强的文件名,如

Rigging in Pakistan Senate.docRaw Sect Vikram report on Pak Army Confidential.docAfghan Terrorist group report.doc等

正所谓道高一尺魔高一丈,2018年针对中国的APT攻击事件层出不穷,2019年国内网络安全厂商即将面临的更是新APT组织以及更为隐蔽的APT攻击手段。那么,身为普通人的我们要如何尽可能避免遭受到APT攻击呢?

这里有四条建议可以参考:

1、各大机关和企业,以及个人用户,及时修补系统补丁和重要软件的补丁;2、提升安全意识,不要打开来历不明的邮件的附件;除非文档来源可靠,用途明确,否则不要轻易启用Office的宏代码。3、使用杀毒软件防御可能得病毒木马攻击,对于企业用户,使用内置全网漏洞修复和病毒防御功能的终端安全管理系统;4、使用高级威胁检测系统及时发现相关APT攻击,尽早采取措施。

原文地址:https://www.cnblogs.com/jinanxiaolaohu/p/10825449.html

时间: 2024-10-05 06:25:47

[百家号]APT组织简介2019的相关文章

百度百家号“漏洞”大曝光 一篇文章十几万阅读量 收入上万

越来越发现自媒体的好处,就是现在太多的平台都提供入口,基本是四大门户还有三大巨头互联网公司,百度.腾讯 .阿里都提供!那么接下来我要分享的是中国最大的搜索引擎公司-百度!,相信最近很多人都知道百度百家号,并且是百度大力的推广. 我看到之后毫不犹豫的,就是注册一个账号,这个等审核的过程真是酸甜苦辣一样的煎熬,不过还好.终于审核通过!一开始的话!发布很多文章都没有什么阅读量,都没有什么访问量!经过一番死磕研究之后发现,找文章的素材是最关键的地方,素材找的好,那么阅读量就会上来:再说了,我也不是那么好

百家号将于16号上线:自媒体人得到哪些启示?

文/辛东方,80后作家.专栏作者.专注互联网科技领域 百度百家从上线到现在,已经走过了两年半时间.近日,百度联盟宣布调整产业框架,将推出百度号.这是百度公司继百度百家.百度发布之后,推出的第三个自媒体平台.据悉,百度号将引入广告变现流程,给原创作者和自媒体人一个收入机制.这个内容为王的自媒体时代,百度重新洗牌,调整其媒体框架,多少给人一些思考.下步该怎么做,才会有出路? 据悉,2016年6月8日,百度搜索公司总裁向海龙表示,百度2016年第一季度移动搜索已达到6.63亿,已经完成移动转型.向海龙

号外:百度又出自媒体!百家号6月16即将上线

相信自媒体对于大家来说已经不怎么陌生了,而百度旗下将在6月16日,也就是这周四又会推出自媒体平台:百家号!而注册地址已经开放:http://baijiahao.baidu.com/.而这次百家号发布是在6月8日的百度联盟峰会上提出的,这是继前一段时间的百度媒体号之后的又一自媒体平台.而据百度方面称,他们是将百度百家升级为"百家号". 先来看看百家号的注册步骤吧: 1.首先通过http://baijiahao.baidu.com/进入,然后选择一种方式登录.(ps:目前有使用百度帐号和手

百家号注册注意事项:领域、名称、签名怎么写才好

在这里影响世界,这是百家号的广告宣传语. 随着自媒体平台迅速崛起百度也给广大自媒体爱好者提供一个平台,一个可以发挥自己个人魅力直至影响世界的大舞台.虽说百家号现在还处于发展期,有些功能还不太完善,不过由于百家的广告补贴比较高,许多自媒体人想来百家舞一把,可是往往在注册阶段就被领域.名字.介绍等绊住了. 先来说一下领域吧: 领域就是一个定位,一个归类,这是需要自媒体作者自己清晰确定的.那到底选什么领域呢?这个可以从以下几个方面考虑: 1我会什么?最擅长的什么?在哪方面能给别人带来帮助,提供价值?就

[百家号]大英帝国的人口和面积比现在的英国大多少?

大英帝国的人口和面积比现在的英国大多少? https://baijiahao.baidu.com/s?id=1591268022774822935&wfr=spider&for=pc 麦邦之都 百家号02-0214:04 英鸟君要先明确一下,将比较对象理解为"鼎盛时期的大英帝国"与"目前的英国本土"--即"大不列颠与北爱尔兰联合王国",而不是英联邦. 如今的英国只有一个大岛和一个小岛的一部分,但当年的疆域可是比如今的领土第一俄罗斯

百度搜索结果屏蔽百家号方法

在搜索栏输入 关键字 + '-baijiahao', 即可屏蔽百家号内容,如: 原文地址:http://blog.51cto.com/babyshen/2347136

自媒体很火,百家号遍地黄金,百万爆发怎么写

写一篇文章最重要的是有人看,而别人之所以看你的文章的前提是你的标题.配图够吸引眼球. 第一:留悬念,令人遐想 第二:引起读者共鸣,调动读者情绪,如自豪感.正义感 第三:引发读者不满,诱导吐槽 套用标题公式ABC A:讲述事实 B:吸引眼球 C:留下悬念,引导点击 案例一:为嫁豪门放弃事业,22岁生三个儿子,今提5亿分手费无人娶 第一句描述事实,第二句吸引眼球,第三句抛出悬念,为什么没人娶,我要去看看 案例一:为嫁豪门放弃事业,22岁生三个儿子,今提5亿分手费无人娶

缅甸某赌场一位资深老玩家揭秘网赌百家乐不可告人的黑幕

赌场赢赌客的钱,决不单单只赢在数学几率上,还赢在赌客们嗜赌成瘾的弱点上,赢在赌客的贪婪心理.不服输的心理.以及侥幸心理上.因此,对于赌博者来说,学习赌博策略只是整个致胜计划的一个部分,更重要的是,赌博者必须有上佳的赌博心态,并能熟练地把这些知识应用于赌搏实践中.同时,赌博作为一种经济活动,必然涉及到考虑了赌博特点的资金管理方法. 作为一个成功的赌博者,必须懂得如何控制自己的情绪.在大部分的情况下,赌客在赌桌上并不仅仅是跟赌场对战,同时还跟自己的情绪和心理作战.在进入赌场进行赌局之前,首先必须针对

百家基于ACIS的软件ZWCAD.ZW3D.v2016.Beta3.Win32_64 2DVD

世界上已有数百家基于ACIS的软件ZWCAD.ZW3D.v2016.Beta3.Win32_64 2DVD     增加了三维功能和VBA支持的增强版本.中望CAD专业版除了具备中望CAD 2008版(标准版)的全部功能外,增加了支持三维实体的显示.编辑和建模及渲染,同时提供VBA的开发接口支持,客户可以方便的使用VB开发工具进行二次开发.中望CAD专业版是国内第一套以强大的二维设计为基础.同时融合基本三维设计功能的CAD解决方案,主要面对建筑.机械.家具和制造领域内以二维绘图为主,同时也用到部