微步在线疫情阴影笼罩下的2020年APT组织活动在线下载,免费下载

2020 疫情阴影笼罩下的 2020年APT组织活动 m o h t i g b u c . 5 m o h t i g b u c . 5 疫情阴影笼罩下的 2020 年 APT 组织活动目录 01. 概述 1 05. 总结 35 02. 整体情况 4 06. 附录 36 03. ——微步情报局典型攻击手法供应链攻击隔离网渗透目录挖矿伪装雇佣 APT c . 5 勒索病毒 CONTENTS 04. g 团伙详情 b u ti h 南亚 1. 孔夫子 2. 蔓灵花 3. 响尾蛇 4. 白象 5. 肚脑虫 6. 假旗部落东南亚东亚 1.Lazarus 2. 危险密码 3.DarkHotel 4.Kimsuky 5.Konni 6. 绿斑东欧 1.Gamaredon 2.APT28 3.Turla 4.WellMess 中东 1.APT35 2.MuddyWater 3.APT-C-23 2 团队简介 6 产品介绍 38 产品介绍 40 产品介绍 42 产品介绍 43 产品介绍 44 产品介绍 46 产品介绍 48 ——威胁感知平台 TDP 7 ——本地威胁情报管理平台 TIP 8 ——互联网安全接入服务 OneDNS 8 ——微步在线云 API m o 7 8 9 10 10 13 37 —— X 情报社区 ——恶意软件分析平台 ——检测及响应服务 MDR 15 17 18 19 21 23 23 24 24 26 27 28 29 29 29 29 30 31 31 32 34 3 疫情阴影笼罩下的 2020 年 APT 组织活动 02 整体情况在 2020 年，微步在线威胁追踪团队持续跟踪境内外的 APT 攻击活动，捕获了绿斑、海莲花、蔓灵花、白象、孔夫子、拉撒路、响尾蛇等 APT 组织发起的大量攻击活动，撰写相关报告、通报 50 余篇，积极协助国内有关部门抵御来自境外的网络威胁。基于微步在线黑客画像系统数据统计发现，在 2020 年，被曝光的 APT 攻击事件近百起， 40 余个国家和地区遭受了不同程度的 APT 攻击，中国、美国、韩国、印度、巴基斯坦、乌克兰和中东、欧洲等地区是 APT 攻击最大的受害者，政府、军事、外交、科技、金融、医疗、能源和教育等行业是攻击者瞄准的主要目标，而发起者主要来自南亚、东南亚、朝鲜半岛和中东地区。整体情况 4 此外，随着信息技术的发展，跨平台的 APT 攻击已成为主流，而不再单一聚焦于 Windows 平台。据统计，成熟度较高的 APT 组织如海莲花、Lazarus、Turla、 APT28 等均实施过跨平台的攻击活动，主要集中于 Windows、Linux 和 Android 平台，少量出现在 macOS/iOS 平台。 m o 下表是对本报告中涉及的主流 APT 组织跨平台攻击情况的统计情况： c . 5 h t i g b u 5 疫情阴影笼罩下的 2020 年 APT 组织活动 03 典型攻击手法供应链攻击 2020 年 12 月 13 日，国外网络安全公司 FireEye 发布安全分析报告称，2020 年 3 月至 6 月期间，有攻击者通过将美国基础网络管理软件供应商 SolarWinds 的商业软件更新程序木马化，以污染供应链方式入侵了北美、欧洲等地区的政府、科技、电信等重要机构，最终实现信息窃取的目的。该报告一石激起千层浪，随着各大安全公司分析的逐渐深入，更多受害者也开始浮出水面，包括美国国防部、国务院、商务部、财典型攻击手法政部和国土安全局等政府机构，火眼、微软等科技公司也都涉及其中，媒体报道称“美国正遭遇史上最严重黑客袭击”。通常来说，供应链攻击极难防御检测，而作为拥有大批美国政府部门客户的 SolarWinds，是一个绝佳入口点，携带有后门的网络产品完美绕过了相关部门的安全防御体系，加之后门通信技术以及域名选择方面更是提高了被检测难度。此次攻 m o 击活动从开始实施到被披露至少经过半年，攻击者拥有充足的时间对核心目标单位进行进一步攻击，是供应链攻击又一个经典案例，影响范围远超近年来的 Xcode、 CCleaner、Xshell、phpStudy、驱动人生等软件供应链攻击事件。 h t i g b u c . 5 隔离网渗透 2020 年 5 月，国内外两家安全公司分别曝光了 DarkHotel 组织一款名为 Ramsay 的攻击工具，该工具可在物理隔离网络中收集信息，且无网络行为，属于定制性木马。借助物理层面的网络隔离，在理想情况下可以有效地阻断传统的基于网络路由可达的网络攻击、确保隔离内网的生产环境的安全稳定。然而隔离网络系统的建设注定要牺牲网络数据交换的便捷性，为了解决实际生产环境中的数据交换需求，经常会出现一些“不得已”的违规操作，譬如搭建内网跳板机映射共享目录、使用可移动存储设备进行数据摆渡等，这些操作相当于间接打通一条与外网通信的隧道、破坏了物理隔离的完整性。 Ramsay 可通过被感染的软件安装包进行传播，该程序在隔离网络的主机上被运行后，会执行 exe 文件感染、内网扫描、文档收集等行为，并将收集到数据加密压缩并附加在正常文档中，待这些文档被带出隔离网络并接入在其他被控的设备后，攻击者就能够成功提取窃取的数据，实现对隔离网络攻击。Ramsay 是继 Stuxnet（震网）攻击事件、Flame 蠕虫、CIA 网络武器库 Vault7、NSA 秘密武器 COTTON-MOUTH 等隔离网突破组件后的又一经典案例。 6 7 04 o c . 5 疫情阴影笼罩下的 2020 年 APT 组织活动挖矿伪装 2020 年 11 月，微软发布分析报告称，越南背景的黑客然后以该主机为据点对目标企业内部进行横向渗透，海门罗币挖矿程序，以此隐藏其高级攻击的行为。网络中的异常，也会判定为挖矿活动选择忽视或低优先组织海莲花在今年的攻击活动中通过在受害者主机部署研究发现，海莲花至少在针对越南本国、法国和我国的攻击中均使用了该手法，攻击活动通常由定向钓鱼邮件开始，通过诱导目标用户执行恶意文档植入白利用木马，莲花会在这个阶段部署门罗币挖矿木马，即使用户发现级处理，从而隐藏了攻击的真实目的。据悉，海莲花已通过此类挖矿活动获利上千美元，且越来越多的政府支持黑客开始从借助常规网络犯罪活动掩盖定向攻击，为应急响应定级带来新的挑战。雇佣 APT 2020 年 8 月 24 日，国外安全厂商曝光了一个在全球范 DeathStalker 主要使用一种称为 Powersing 的攻击主要针对金融科技公司、律师事务所和财务顾问，他们 Twitter、YouTube、Imgur、Reddit、Reddit 等公共围内开展 APT 活动的黑客组织 DeathStalker，该组织并不实施安装勒索软件、窃取支付信息等常见黑产的活动，而是专注收集商业机密，因此安全分析师判断该组织具有雇佣兵性质，攻击活动主要是为雇主服务。武器实现远程控制，该工具主要使用诸如 Google+、下发的其他脚本，以便攻击者实施更多后续操作。此类 h t i g 黑客团伙并非具备国家背景的 APT 组织，但其对大多数商业公司具备更大威胁。勒索病毒勒索病毒一般用于追求收取利益，这种攻击手法在 APT 病毒作为他们的攻击手段之一。在针对中东与北非的“流个 APT 组织开始采取使用勒索病毒作为攻击流程的一部 PorwGoop 木马后，继续下载 Thanos 勒索病毒。而另组织攻击活动中并不常见，但在今年的观察中发现，多分，例如熟知的 Lazarus 组织在今年上半年攻击活动中通过 VPN 网关漏洞进行入侵并使用其后门 Dacls，在接管 AD 服务器后使用 VHD 勒索软件感染网络中所有计算机，根据 Lazarus 历史活动来看，极有可能以敛财为目沙行动” 中，MuddyWater 组织在受害者机器上部署外一个 Fox Kitten 组织在其活动中则使用 Pay2Key 勒索病毒。结合今年中东发生一系列矛盾冲突事件，不排除以破坏报复以及隐藏痕迹等目的。的投递勒索病毒。结合今年多个 APT 活动使用勒索病毒的情况来看，我们而使用勒索病毒并非来自半岛 APT 组织专有手段，在下将越来越普遍。半年的活动中，来自中东的两个 APT 组织同样使用勒索 8 团伙详情 m b u 平台存放加密密钥及真正的 C2 地址，然后不断将受害者的屏幕截图发送至 C2 服务器，同时可以执行从 C2 整体情况猜测勒索病毒可能作为 APT 组织武器库中另外一件利器 9 疫情阴影笼罩下的 2020 年 APT 组织活动团伙详情南亚年度代表性攻击事件如下：鉴于中国西南方向的地缘政治局势，涉印方向 APT 组织一直是对华网络攻击的主力军。在 2020 年新冠肺炎爆发和中印关系恶化的特定背景下，涉印方向 APT 组织对中国的网络攻击愈是变本加厉，其攻击目标涵盖中国境内政府、军队、军工、核电、航空航天、科研机构、高等院校、经济贸易、通信运营商、藏区政府等各个方向。根据涉印 APT 组织对中国的网络攻击活跃程度，孔夫子（Confucius）组织应是充当其主力网军队伍，其次为蔓灵花（Bitter）组织和白象（Patchwork）组织，肚脑虫（Donot）组织和响尾蛇（Sidewinder）组织攻击频次相对较低。 1. 孔夫子孔夫子（Confucius）组织是一个印度背景的 APT 组织，主要针对南亚各国的政府、军事等行业目标进行攻击。该组织在早期攻击活动中使用的恶意代码和基础设施与白 c . 5 象（Patchwork）APT 组织早期所使用的存在较大重合，但是目标侧重有所不同，早期的孔夫子

微步在线 疫情阴影笼罩下的2020年APT组织活动

微步在线疫情阴影笼罩下的2020年APT组织活动