一波***幹了一票大的,直接將德國政界人士、記者和大批名人一鍋端
這53個***組織竟敢***政府和國防,中國不是唯一受害者
1月5日,報道,一波***幹了一票大的,直接將德國政界人士、記者和大批名人一鍋端,這些有頭有臉人物的個人資訊被放在 Twitter 上供眾人“欣賞”,其中就包括德國總理默克爾。
你以為這些***已經足夠大膽,敢正面剛上政界人員和知名人士?
不,他們可能還是小兒科,有一些更加膽大包天的***在過去一年中衝擊著79個國家核地區的 政府、外交、軍隊和國防,對,編輯說的就是高階持續性威脅(APT)。
除了這些傳統目標,雷鋒網還了解到,能源、電力、醫療、工業等國家基礎設施性行業也正面臨著APT***的風險。而金融行業主要面臨一些成熟的網路犯罪團伙的***威脅,如MageCart、Cobalt Group等等,其組織化的成員結構和成熟的***工具實現對目標行業的規模化***,這與過去的普通******是完全不同的。除了針對金融、銀行外,電子商務、線上零售等也是其***目標。
最近,360威脅情報中心釋出的《全球高階持續性威脅(APT)2018年報告》(以下簡稱報告)中,還發現了更多的料。
1.高階威脅***活動幾乎覆蓋了全球絕大部分國家和區域
中國並不是這些***的唯一目標,你可以看到,韓國、中東、美國等兄弟的日子也不好過。
2.膽大包天的***組織還挺多,有名有姓的就有53個
進一步對公開報告中高階威脅活動中命名的***行動名稱、***者名稱,並對同一背景來源進行歸類處理後的統計情況如下,總共涉及109個命名的威脅來源命名。基於全年公開披露報告的數量統計,一定程度可以反映威脅***的活躍程度。
從上述威脅來源命名中,360威脅情報中心認為,明確的APT組織數量有53個。
其中,明確的針對中國境內實施***活動的,並且依舊活躍的公開APT 組織,包括海蓮花、摩訶草、蔓靈花、Darkhotel、Group 123、毒雲藤和藍寶菇。
3.手段更多樣,喪心病狂地利用在野漏洞
文件投放的形式多樣化
在過去的APT威脅或者網路***活動中,利用郵件投遞惡意的文件類載荷是非常常見的一種***方式,通常投放的文件大多為Office文件型別,如doc、docx,xls,xlsx。
針對特定地區、特定語言或者特定行業的目標人員***者可能投放一些其他的文件型別載荷,例如針對韓國人員投放HWP文件,針對巴基斯坦地區投放InPage文件,或者針對工程建築行業人員投放惡意的AutoCAD文件等等。
利用檔案格式的限制
APT***者通常會利用一些檔案格式和顯示上的特性用於迷惑受害使用者或安全分析人員。這裡以LNK檔案為例,LNK檔案顯示的目標執行路徑僅260個位元組,多餘的字元將被截斷,可以直接檢視LNK檔案執行的命令。
而在跟蹤藍寶菇的***活動中,該組織投放的LNK檔案在目標路徑字串前面填充了大量的空字元,直接檢視無法明確其執行的內容,需要解析LNK檔案結構獲取。
利用新的系統檔案格式特性
2018年6月,國外安全研究人員公開了利用Windows 10下才被引入的新檔案型別“.SettingContent-ms”執行任意命令的***技巧,並公開了POC。而該新型***方式被公開後就立刻被***和APT組織納入***武器庫用於針對性***,並衍生出各種利用方式:誘導執行、利用Office文件執行、利用PDF文件執行。
利用舊的技術實現***
一些被認為陳舊而古老的文件特性可以被實現並用於***,360威脅情報中心在下半年就針對利用Excel 4.0巨集傳播商業遠控***的在野***樣本進行了分析。
該技術最早是於2018年10月6日由國外安全廠商Outflank的安全研究人員首次公開,並展示了使用Excel 4.0巨集執行ShellCode的利用程式碼。Excel 4.0巨集是一個很古老的巨集技術,微軟在後續使用VBA替換了該特性,但從利用效果和隱蔽性上依然能夠達到不錯的效果。
從上述總結的多樣化的***投放方式來看,***者似乎在不斷嘗試發現在郵件或終端側檢測所覆蓋的檔案型別下的薄弱環節,從而逃避或繞過檢測。
0day 漏洞和在野利用***
0day漏洞一直是作為APT組織實施***所依賴的技術制高點,在這裡我們回顧下2018年下半年主要的0day漏洞和相關APT組織使用0day漏洞實施的在野利用***活動。
所謂0day漏洞的在野利用,一般是***活動被捕獲時,發現其利用了某些0day漏洞(***活動與***樣本分析本身也是0day漏洞發現的重要方法之一)。而在有能力挖掘和利用0day漏洞的組織中,APT組織首當其衝。
在2018年全球各安全機構釋出的APT研究報告中,0day漏洞的在野利用成為安全圈最為關注的焦點之一。其中,僅2018年下半年,被安全機構披露的,被APT組織利用的0day漏洞就不少於8個。
[2018下半年APT組織使用的0day漏洞]
4.新的一年,它們還可能演變成這樣:
從2018年的APT威脅態勢來看,360威脅情報中心推測,APT威脅活動的演變趨勢可能包括如下:
1) APT組織可能發展成更加明確的組織化特點,例如小組化,各個***小組可能針對特定行業實施***並達到特定的***目的,但其整體可能共享部分***程式碼或資源。
2) APT組織在初期的***嘗試和獲得初步控制權階段可能更傾向於使用開源或公開的***工具或系統工具,對於高價值目標或維持長久性的控制才使用其自身特有的成熟的***程式碼。
3) APT組織針對的目標行業可能進一步延伸到一些傳統行業或者和國家基礎建設相關的行業和機構,隨著這些行業逐漸的互聯化和智慧化可能帶來的安全防禦上的弱點,以及其可能面臨的供應鏈***。
4) APT組織進一步加強0day漏洞能力的儲備,並且可能覆蓋多個平臺,包括PC,伺服器,移動終端,路由器,甚至工控裝置等。
鄭州×××醫院yyk.familydoctor.com.cn/21523/鄭州婦科醫院×××yyk.familydoctor.com.cn/21524/鄭州×××醫院×××jbk.39.net/yiyuanzaixian/aynjyy/鄭州婦科醫院