欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

全球高级持续性威胁(APT)2018年中报告

来源:本站整理 作者:佚名 时间:2018-08-07 TAG: 我要投稿

序言
APT,又称高级持续性威胁,通常用于区分由国家、政府或情报机构资助或具有相关背景的攻击团伙实施的攻击行动。该类攻击行动的动机往往与地缘政治冲突,军事行动相关,并以长久性的情报刺探、收集和监控为主要意图,其主要攻击的目标除了政府、军队、外交相关部门外,也包括科研、海事、能源、高新技术等领域。
近年来,结合国内外各个安全研究机构、安全厂商对APT类威胁活动的持续跟踪和分析的结果,可以看到攻击团伙使用的攻击战术、技术和过程已经达到非常成熟的阶段,即便部分攻击团伙的技术能力不高,但也能通过利用公开的或开源的脚本类或自动化攻击框架快速形成完备的攻击武器。攻击团伙不但使用针对个人PC、服务器和目标内部网络的攻击向量技术,并且覆盖了移动设备和家用路由器,其攻击目标也延伸至金融、工业控制、医疗、酒店领域。
本报告是360威胁情报中心结合公开的威胁情报和内部情报数据,针对2018年上半年高级威胁事件相关的分析和总结,并对近半年的APT攻击活动所呈现的态势进行分析。
主要观点
近期的APT攻击活动呈现出明显的地缘政治特征,当前主要活跃的APT攻击活动可以划分为如下几块:中东地区、东欧和中亚、亚太地区、美国和欧洲。
近半年来,针对境内的APT攻击活动异常活跃,从360威胁情报中心的监测来看,至少存在8个不同来源的APT组织在上半年都有不同程度的,针对境内机构实施了攻击活动,这可能也与近年来中国在亚太地区的国际形势有关。
APT攻击组织更多的引入一些公开或开源的工具和攻击框架,并用于实际的攻击活动中,而不再单纯依赖自身开发的网络攻击武器。其在初始攻击阶段更多使用一些轻量级的攻击技术,只有针对明确的高价值目标才会触发后续阶段载荷的植入。这说明攻击者对后续攻击载荷的投放更加谨慎,以避免过早的暴露其整体的攻击链路。
APT组织在攻击行动中刻意引入的false flag,有意避免和过去的攻击行动产生重合,增大了威胁分析中对背景研判的难度。例如在攻击韩国平昌奥运会的事件中,多家安全厂商对其攻击来源的归属做出了不同的分析和推断。
针对移动设备、路由器的攻击技术给网络间谍活动带来了更多的攻击向量,例如赛门铁克披露的Inception Framework组织[2]利用UPnProxy技术[3]攻击路由器用于构建隐匿的回传控制网络。
摘要
近半年来,全球APT攻击活动呈现出较高的活跃程度。360威胁情报中心在近半年中监测到的APT相关公开报告(从2017.12月至2018.6月)也多达227篇。本次研究主要以2017年底至2018年上半年,全球各研究机构公开披露的APT报告或研究成果为基础,对当前的APT攻击形势进行综合分析。
2018年上半年,APT攻击活动呈现出明显的地缘政治特征,当前主要活跃的APT攻击活动可以划分为如下几块:中东地区、东欧和中亚、亚太地区、美国和欧洲。
2018年上半年,至少存在8个不同来源的APT组织针对境内实施APT攻击行动。它们分别是:海莲花、摩诃草、蔓灵花、Darkhotel、APT-C-01、蓝宝菇,以及另外两个已被360威胁情报中心监测到,但尚未被任何组织机构披露的APT组织。
APT威胁的攻防技术对抗持续升级。其中,0day漏洞利用能力日益提升;结合开源工具和自动化攻击框架提高攻击效率;不断加强对自身攻击手法特点的掩盖和迷惑性;更多的展开对移动设备和路由器攻击等,成为2018年上半年全球APT攻击的重要特点。
第一章 地缘政治背后的攻击团伙
近半年来,全球APT攻击活动呈现出较高的活跃程度。360威胁情报中心在近半年中监测到的APT相关公开报告(从2017年12月至2018年6月)也多达227篇。本次研究主要以2017年底至2018年上半年,全球各研究机构公开披露的APT报告或研究成果为基础,对当前的APT攻击形势进行综合分析。
近半年来,APT攻击活动呈现出明显的地域特征,这也与国家背景黑客团伙间的围绕以地缘政治因素和间谍情报活动为主要意图的动机有关。当前主要活跃的APT攻击团伙其攻击活动的地域范围可以大体分为四块:中东地区,东欧和中亚,亚太地区,美国和欧洲。
一、 中东地区
中东地区常以动乱的政治局势,复杂的宗教背景,和丰富的能源资源为主,其地域下的网络间谍攻击活动尤为频繁,大多围绕以地缘冲突的国家政府和机构为主要目标,也以包括工业,能源行业,以及持不同见政者。
2018年上半年,被全球各个研究机构披露的中东地区最为活跃的APT组织中,有多个组织被认为与伊朗有关。这可能与RecordedFuture宣称的伊朗利用多个承包商和大学分层承包策略实施其网络攻击活动的背景有关[5]。
组织名称
攻击目标地域
主要攻击目标
APT34
中东地区
金融、政府、能源、化工、电信
MuddyWater
中东和中亚,包括土耳其、巴基斯坦、塔吉克斯坦
Chafer
以色列、约旦、阿联酋,沙特阿拉伯和土耳其
航空、海运、电信相关机构及其软件和IT公司
OilRig
中东地区,包括伊拉克、以色列等;巴基斯坦和英国
石油、天然气、电力等能源机构和工业控制系统
表1  部分攻击中东地区的APT组织的主要攻击地域与攻击目标比较
下面主要对APT34、MuddyWater,以及2018年1月,由360威胁情报中心披露的,针对叙利亚地区展开攻击的黄金鼠组织(APT-C-27)进行介绍。
(一) APT34
APT34是由FireEye披露的,被认为是来自伊朗的APT组织,其最早攻击活动至少可以追溯到2014年[6]。APT34主要利用鱼叉攻击。该组织过去的鱼叉攻击活动主要是投递带有恶意宏的诱导文档,而其近半年的攻击活动中则更多的使用鱼叉邮件投递漏洞利用RTF文档(CVE-2017-0199和CVE-2017-11882)。被投递的恶意文档主要是向受害目标主机植入其自制的PowerShell后门程序达到攻击目的,其主要使用的两个PowerShell后门为POWRUNER和BONDUPDATER。
后门名称
持久性
控制通信
主要功能
POWRUNER
计划任务
HTTP
文件上传,截屏
BONDUPDATER
计划任务
DGA生成子域名
实现命令控制
表2  APT34组织使用的两个PowerShell后门
(二) MuddyWater
MuddyWater是另一个被认为是来自伊朗的APT组织,其最早攻击活动可以追溯到2017年,并在2018年初发起了多次鱼叉攻击活动。

[1] [2] [3] [4] [5] [6] [7]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载