我要评论
no.5:carbanak(apt-c-11)
carbanak(即anunak)攻击组织,是一个跨国网络犯罪团伙。2013年起,该犯罪团伙总计向全球约30个国家和地区的100家银行、电子支付系统和其他金融机构发动了攻击,目前相关攻击活动还很活跃。在《2015年中国高级持续性威胁(apt)研究报告》中我们提到了carbanak,通过研究分析该组织相关攻击手法和意图,我们将该组织视为针对金融行业的犯罪型apt组织。
carbanak组织一般通过社会工程学、漏洞利用等方式攻击金融机构员工的计算机,进而入侵银行网络。进一步攻击者通过内部网络,对计算机进行视频监控,查看和记录负责资金转账系统的银行员工的屏幕。通过这种方式,攻击者可以了解到银行职工工作的全部详情,从而模仿银行职工的行为,盗取资金和现金。
另外该组织还可以控制、操作银行的atm机,命令这些机器在指定的时间吐出现金。当到支付时间时,该组织会派人在atm机旁边等待,以取走机器“主动”吐出的现金。
no.6:摩诃草(apt-c-09)
摩诃草组织(apt-c-09),又称hangover、viceroy tiger、the dropping elephant、patchwork,是一个来自于南亚地区的境外apt组织,该组织已持续活跃了7年。摩诃草组织最早由norman安全公司于2013年曝光,随后又有其他安全厂商持续追踪并披露该组织的最新活动,但该组织并未由于相关攻击行动曝光而停止对相关目标的攻击,相反从2015年开始更加活跃。
摩诃草组织主要针对中国、巴基斯坦等亚洲地区国家进行网络间谍活动,其中以窃取敏感信息为主。相关攻击活动最早可以追溯到2009年11月,至今还非常活跃。在针对中国地区的攻击中,该组织主要针对政府机构、科研教育领域进行攻击,其中以科研教育领域为主。
从2009年至今该组织针对不同国家和领域至少发动了3次攻击行动和1次疑似攻击行动,期间使用了大量漏洞,其中至少包括一次0day漏洞攻击,相关恶意代码非常繁杂,恶意代码数量超过了上千个。载荷投递的方式,主要是以鱼叉邮件进行恶意代码的传播,另外会涉及少量水坑攻击,在最近一次攻击行动中基于即时通讯工具和社交网络也是主要的恶意代码投递途径。进一步还会使用钓鱼网站进行社会工程学攻击。该组织主要针对windows系统进行攻击,同时也会针对mac os x系统进行攻击,从2015年开始还会针对android系统的移动设备进行攻击。
no.7:沙虫(apt-c-13)
沙虫组织的主要目标领域有:政府、教育、能源机构和电信运营商。进一步主要针对欧美国家政府、北约,以及乌克兰政府展开间谍活动。该组织曾使用0day漏洞(cve-2014-4114)针对乌克兰政府发起了一次钓鱼攻击。而在威尔士举行的讨论乌克兰危机的北约峰会针对美国也进行了攻击。该组织还使用了blackenergy恶意软件。而且沙虫组织不仅仅只进行常规的网络间谍活动,还针对scada系统进行了攻击,研究者认为相关活动是为了之后的网络攻击进行侦查跟踪。另外有少量证据表明,针对乌克兰电力系统等工业领域的网络攻击中涉及到了blackenergy恶意软件。如果此次攻击的确使用了blackenergy恶意软件的话,那有可能幕后会关联到沙虫组织。
no.8:洋葱狗(apt-c-03)
2016年2月25日,lazarus黑客组织以及相关攻击行动由卡巴斯基实验室、alienvault实验室和novetta等安全企业协作分析并揭露。2013年针对韩国金融机构和媒体公司的darkseoul攻击行动和2014年针对索尼影视娱乐公司(sony pictures entertainment,spe)攻击的幕后组织都是lazarus组织。该组织主要攻击以韩国为主的亚洲国家,进一步针对的行业有政府、娱乐&媒体、军队、航空航天、金融、基础建设机构。
在2015年我们监控到一个针对朝鲜语系国家的apt攻击组织,涉及政府、交通、能源等行业。通过我们深入分析暂未发现该组织与lazarus组织之间有联系。进一步我们将该组织2013年开始持续到2015年发动的攻击,命名为“洋葱狗”行动(operation oniondog),命名主要是依据2015年出现的木马主要依托onion city作为c&c服务,以及恶意代码文件名有dog.jpg字样。相关恶意代码最早出现在2011年5月左右。至今至少发起过三次集中攻击。分别是2013年、2014年7月-8月和2015年7月-9月,在之后我们捕获到了96个恶意代码,c&c域名、ip数量为14个。
“洋葱狗”恶意程序利用了朝鲜语系国家流行办公软件hangul的漏洞传播,并通过usb蠕虫摆渡攻击隔离网目标。此外,“洋葱狗”还使用了暗网网桥(onion city)通信,借此无需洋葱浏览器就可直接访问暗网中的域名,使其真实身份隐蔽在完全匿名的tor网络里。另外通过我们深入分析,我们推测该组织可能存在使用其他已知apt组织特有的技术和资源,目的是嫁祸其他组织或干扰安全研究人员进行分析追溯。
no.9:美人鱼(apt-c-07)
美人鱼行动是境外apt组织主要针对政府机构的攻击活动,持续时间长达6年的网络间谍活动,已经证实有针对丹麦外交部的攻击。相关攻击行动最早可以追溯到2010年4月,最近一次攻击是在2016年1月。截至目前我们总共捕获到恶意代码样本284个,c&c域名35个。
2015年6月,我们首次注意到美人鱼行动中涉及的恶意代码,并展开关联分析,通过大数据关联分析我们已经确定相关攻击行动最早可以追溯到2010年4月,以及关联出上百个恶意样本文件,另外我们怀疑载荷投递采用了水坑攻击的方式,进一步结合恶意代码中诱饵文件的内容和其他情报数据,我们初步判定这是一次以窃取敏感信息为目的的针对性攻击,且目标熟悉英语或波斯语。
2016年1月,丹麦国防部情报局(ddis,danish defence intelligence service)所属的网络安全中心(cfcs,centre for cyber security)发布了一份名为“关于对外交部apt攻击的报告”的apt研究报告,报告主要内容是cfcs发现了一起从2014年12月至2015年7月针对丹麦外交部的apt攻击,相关攻击主要利用鱼叉邮件进行载荷投递。
cfcs揭露的这次apt攻击,就是我们在2015年6月发现的美人鱼行动,针对丹麦外交部的相关鱼叉邮件攻击属于美人鱼行动的一部分。从cfcs的报告中我们确定了美人鱼行动的攻击目标至少包括以丹麦外交部为主的政府机构,其载荷投递方式至少包括鱼叉式钓鱼邮件攻击。
通过相关线索分析,我们初步推测美人鱼行动幕后组织来自中东地区。
no.10:人面狮(apt-c-15)
人面狮行动是活跃在中东地区的网络间谍活动,主要目标可能涉及到埃及和以色列等国家的不同组织,目的是窃取目标敏感数据信息。活跃时间主要集中在2014年6月到2015年11月期间,相关攻击活动最早可以追溯到2011年12月。主要采用利用社交网络进行水坑攻击,截止到目前我总共捕获到恶意代码样本314个,c&c域名7个。
人面狮样本将主程序进行伪装成文档诱导用户点击,然后释放一系列的dll,根据功能分为9个插件模块,通过注册资源管理器插件的方式来实现核心dll自启动,然后由核心dll根据配置文件进行远程dll注入,将其他功能dll模块注入的对应的进程中,所以程序运行的时候是没有主程序的。用户被感染后比较难以发现,且使用多种加密方式干扰分析,根据pdb路径可以看出使用了持续集成工具,从侧面反映了项目比较庞大,开发者应该为专业的组织。
进一步我们分析推测人面狮行动的幕后组织是依托第三方组织开发相关恶意软件,使用相关恶意软件并发起相关攻击行动的幕后组织应该来自中东地区。
![[不断更新]](/images/newimg/nimg6.png)
发表评论