微步在线 疫情阴影笼罩下的2020年APT组织活动2020 疫情阴影笼罩下的 2020年APT组织活动 m o h t i g b u c . 5 m o h t i g b u c . 5 疫情阴影笼罩下的 2020 年 APT 组织活动 目录 01. 概述 1 05. 总结 35 02. 整体情况 4 06. 附录 36 03. ——微步情报局 典型攻击手法 供应链攻击 隔离网渗透 目录 挖矿伪装 雇佣 APT c . 5 勒索病毒 CONTENTS 04. g 团伙详情 b u ti h 南亚 1. 孔夫子 2. 蔓灵花 3. 响尾蛇 4. 白象 5. 肚脑虫 6. 假旗部落 东南亚 东亚 1.Lazarus 2. 危险密码 3.DarkHotel 4.Kimsuky 5.Konni 6. 绿斑 东欧 1.Gamaredon 2.APT28 3.Turla 4.WellMess 中东 1.APT35 2.MuddyWater 3.APT-C-23 2 团队简介 6 产品介绍 38 产品介绍 40 产品介绍 42 产品介绍 43 产品介绍 44 产品介绍 46 产品介绍 48 ——威胁感知平台 TDP 7 ——本地威胁情报管理平台 TIP 8 ——互联网安全接入服务 OneDNS 8 ——微步在线云 API m o 7 8 9 10 10 13 37 —— X 情报社区 ——恶意软件分析平台 ——检测及响应服务 MDR 15 17 18 19 21 23 23 24 24 26 27 28 29 29 29 29 30 31 31 32 34 3 疫情阴影笼罩下的 2020 年 APT 组织活动 02 整体情况 在 2020 年,微步在线威胁追踪团队持续跟踪境内外的 APT 攻击活动,捕获了绿斑、 海莲花、蔓灵花、白象、孔夫子、拉撒路、响尾蛇等 APT 组织发起的大量攻击活动, 撰写相关报告、通报 50 余篇,积极协助国内有关部门抵御来自境外的网络威胁。 基于微步在线黑客画像系统数据统计发现,在 2020 年,被曝光的 APT 攻击事件近百起, 40 余个国家和地区遭受了不同程度的 APT 攻击,中国、美国、韩国、印度、巴基斯坦、 乌克兰和中东、欧洲等地区是 APT 攻击最大的受害者,政府、军事、外交、科技、金融、 医疗、能源和教育等行业是攻击者瞄准的主要目标,而发起者主要来自南亚、东南亚、 朝鲜半岛和中东地区。 整体情况 4 此 外, 随 着 信 息 技 术 的 发 展, 跨 平 台 的 APT 攻 击 已 成 为 主 流, 而 不 再 单 一 聚 焦 于 Windows 平 台。 据 统 计, 成 熟 度 较 高 的 APT 组 织 如 海 莲 花、Lazarus、Turla、 APT28 等均实施过跨平台的攻击活动,主要集中于 Windows、Linux 和 Android 平台, 少量出现在 macOS/iOS 平台。 m o 下表是对本报告中涉及的主流 APT 组织跨平台攻击情况的统计情况: c . 5 h t i g b u 5 疫情阴影笼罩下的 2020 年 APT 组织活动 03 典型攻击手法 供应链攻击 2020 年 12 月 13 日,国外网络安全公司 FireEye 发布安全分析报告称,2020 年 3 月 至 6 月期间,有攻击者通过将美国基础网络管理软件供应商 SolarWinds 的商业软件 更新程序木马化,以污染供应链方式入侵了北美、欧洲等地区的政府、科技、电信等 重要机构,最终实现信息窃取的目的。该报告一石激起千层浪,随着各大安全公司分 析的逐渐深入,更多受害者也开始浮出水面,包括美国国防部、国务院、商务部、财 典型攻击手法 政部和国土安全局等政府机构,火眼、微软等科技公司也都涉及其中,媒体报道称“美 国正遭遇史上最严重黑客袭击”。 通 常 来 说, 供 应 链 攻 击 极 难 防 御 检 测, 而 作 为 拥 有 大 批 美 国 政 府 部 门 客 户 的 SolarWinds,是一个绝佳入口点,携带有后门的网络产品完美绕过了相关部门的安 全 防 御 体 系, 加 之 后 门 通 信 技 术 以 及 域 名 选 择 方 面 更 是 提 高 了 被 检 测 难 度。 此 次 攻 m o 击 活 动 从 开 始 实 施 到 被 披 露 至 少 经 过 半 年, 攻 击 者 拥 有 充 足 的 时 间 对 核 心 目 标 单 位 进 行 进 一 步 攻 击, 是 供 应 链 攻 击 又 一 个 经 典 案 例, 影 响 范 围 远 超 近 年 来 的 Xcode、 CCleaner、Xshell、phpStudy、驱动人生等软件供应链攻击事件。 h t i g b u c . 5 隔离网渗透 2020 年 5 月,国内外两家安全公司分别曝光了 DarkHotel 组织一款名为 Ramsay 的 攻击工具,该工具可在物理隔离网络中收集信息,且无网络行为,属于定制性木马。 借助物理层面的网络隔离,在理想情况下可以有效地阻断传统的基于网络路由可达的 网络攻击、确保隔离内网的生产环境的安全稳定。然而隔离网络系统的建设注定要牺 牲网络数据交换的便捷性,为了解决实际生产环境中的数据交换需求,经常会出现一 些“不得已”的违规操作,譬如搭建内网跳板机映射共享目录、使用可移动存储设备 进行数据摆渡等,这些操作相当于间接打通一条与外网通信的隧道、破坏了物理隔离 的完整性。 Ramsay 可通过被感染的软件安装包进行传播,该程序在隔离网络的主机上被运行后, 会执行 exe 文件感染、内网扫描、文档收集等行为,并将收集到数据加密压缩并附加 在正常文档中,待这些文档被带出隔离网络并接入在其他被控的设备后,攻击者就能 够成功提取窃取的数据,实现对隔离网络攻击。Ramsay 是继 Stuxnet(震网)攻击 事件、Flame 蠕虫、CIA 网络武器库 Vault7、NSA 秘密武器 COTTON-MOUTH 等隔 离网突破组件后的又一经典案例。 6 7 04 o c . 5 疫情阴影笼罩下的 2020 年 APT 组织活动 挖矿伪装 2020 年 11 月,微软发布分析报告称,越南背景的黑客 然后以该主机为据点对目标企业内部进行横向渗透,海 门罗币挖矿程序,以此隐藏其高级攻击的行为。 网络中的异常,也会判定为挖矿活动选择忽视或低优先 组织海莲花在今年的攻击活动中通过在受害者主机部署 研究发现,海莲花至少在针对越南本国、法国和我国的 攻击中均使用了该手法,攻击活动通常由定向钓鱼邮件 开始,通过诱导目标用户执行恶意文档植入白利用木马, 莲花会在这个阶段部署门罗币挖矿木马,即使用户发现 级处理,从而隐藏了攻击的真实目的。据悉,海莲花已 通过此类挖矿活动获利上千美元,且越来越多的政府支 持黑客开始从借助常规网络犯罪活动掩盖定向攻击,为 应急响应定级带来新的挑战。 雇佣 APT 2020 年 8 月 24 日,国外安全厂商曝光了一个在全球范 DeathStalker 主 要 使 用 一 种 称 为 Powersing 的 攻 击 主要针对金融科技公司、律师事务所和财务顾问,他们 Twitter、YouTube、Imgur、Reddit、Reddit 等 公 共 围内开展 APT 活动的黑客组织 DeathStalker,该组织 并不实施安装勒索软件、窃取支付信息等常见黑产的活 动,而是专注收集商业机密,因此安全分析师判断该组 织具有雇佣兵性质,攻击活动主要是为雇主服务。 武 器 实 现 远 程 控 制, 该 工 具 主 要 使 用 诸 如 Google+、 下发的其他脚本,以便攻击者实施更多后续操作。此类 h t i g 黑客团伙并非具备国家背景的 APT 组织,但其对大多数 商业公司具备更大威胁。 勒索病毒 勒索病毒一般用于追求收取利益,这种攻击手法在 APT 病毒作为他们的攻击手段之一。在针对中东与北非的“流 个 APT 组织开始采取使用勒索病毒作为攻击流程的一部 PorwGoop 木马后,继续下载 Thanos 勒索病毒。而另 组织攻击活动中并不常见,但在今年的观察中发现,多 分,例如熟知的 Lazarus 组织在今年上半年攻击活动中 通过 VPN 网关漏洞进行入侵并使用其后门 Dacls,在接 管 AD 服务器后使用 VHD 勒索软件感染网络中所有计算 机,根据 Lazarus 历史活动来看,极有可能以敛财为目 沙 行 动” 中,MuddyWater 组 织 在 受 害 者 机 器 上 部 署 外一个 Fox Kitten 组织在其活动中则使用 Pay2Key 勒 索病毒。结合今年中东发生一系列矛盾冲突事件,不排 除以破坏报复以及隐藏痕迹等目的。 的投递勒索病毒。 结合今年多个 APT 活动使用勒索病毒的情况来看,我们 而使用勒索病毒并非来自半岛 APT 组织专有手段,在下 将越来越普遍。 半年的活动中,来自中东的两个 APT 组织同样使用勒索 8 团伙详情 m b u 平台存放加密密钥及真正的 C2 地址,然后不断将受害 者 的 屏 幕 截 图 发 送 至 C2 服 务 器, 同 时 可 以 执 行 从 C2 整体情况 猜测勒索病毒可能作为 APT 组织武器库中另外一件利器 9 疫情阴影笼罩下的 2020 年 APT 组织活动 团伙详情 南亚 年度代表性攻击事件如下: 鉴于中国西南方向的地缘政治局势,涉印方向 APT 组织一直是对华网络攻击的主力军。 在 2020 年新冠肺炎爆发和中印关系恶化的特定背景下,涉印方向 APT 组织对中国的 网络攻击愈是变本加厉,其攻击目标涵盖中国境内政府、军队、军工、核电、航空航天、 科研机构、高等院校、经济贸易、通信运营商、藏区政府等各个方向。根据涉印 APT 组织对中国的网络攻击活跃程度,孔夫子(Confucius)组织应是充当其主力网军队伍, 其次为蔓灵花(Bitter)组织和白象(Patchwork)组织,肚脑虫(Donot)组织和 响尾蛇(Sidewinder)组织攻击频次相对较低。 1. 孔夫子 孔夫子(Confucius)组织是一个印度背景的 APT 组织,主要针对南亚各国的政府、 军事等行业目标进行攻击。该组织在早期攻击活动中使用的恶意代码和基础设施与白 c . 5 象(Patchwork)APT 组织早期所使用的存在较大重合,但是目标侧重有所不同,早 期的孔夫子

pdf文档 微步在线 疫情阴影笼罩下的2020年APT组织活动

安全报告 > 安全 > > 文档预览
26 页 0 下载 26 浏览 0 评论 0 收藏 3.0分
温馨提示:当前文档最多只能预览 7 页,若文档总页数超出了 7 页,请下载原文档以浏览全部内容。
本文档由 路人甲2022-07-02 10:43:10上传分享
给文档打分
您好可以输入 255 个字符
github5文库的中文名是什么?( 答案:github5 )
评论列表
  • 暂时还没有评论,期待您的金玉良言