这53个黑客组织竟敢攻击政府和国防

1 月 5 日,一波黑客干了一票大的,直接将德国政界人士、记者和大批名人一锅端,这些有头有脸人物的个人信息被放在 Twitter 上供众人“欣赏”,其中就包括德国总理默克尔。

你以为这些黑客已经足够大胆,敢正面刚上政界人员和知名人士?

不,他们可能还是小儿科,有一些更加胆大包天的黑客在过去一年中冲击着 79 个国家核地区的 政府、外交、军队和国防,对,编辑说的就是高级持续性威胁(APT)。

除了这些传统目标,雷锋网(公众号:雷锋网)还了解到,能源、电力、医疗、工业等国家基础设施性行业也正面临着 APT 攻击的风险。而金融行业主要面临一些成熟的网络犯罪团伙的攻击威胁,如 MageCart、Cobalt Group 等等,其组织化的成员结构和成熟的攻击工具实现对目标行业的规模化攻击,这与过去的普通黑客攻击是完全不同的。除了针对金融、银行外,电子商务、在线零售等也是其攻击目标。

最近,雷锋网从 360 威胁情报中心发布的《全球高级持续性威胁(APT)2018 年报告》(以下简称报告)中,还发现了更多的料。

1. 高级威胁攻击活动几乎覆盖了全球绝大部分国家和区域
这53个黑客组织竟敢攻击政府和国防
中国并不是这些黑客的唯一目标,你可以看到,韩国、中东、美国等兄弟的日子也不好过。

  2. 胆大包天的黑客组织还挺多,有名有姓的就有 53 个

  进一步对公开报告中高级威胁活动中命名的攻击行动名称、攻击者名称,并对同一背景来源进行归类处理后的统计情况如下,总共涉及 109 个命名的威胁来源命名。基于全年公开披露报告的数量统计,一定程度可以反映威胁攻击的活跃程度。

  从上述威胁来源命名中,360 威胁情报中心认为,明确的 APT 组织数量有 53 个。

  其中,明确的针对中国境内实施攻击活动的,并且依旧活跃的公开 APT 组织,包括海莲花、摩诃草、蔓灵花、Darkhotel、Group 123、毒云藤和蓝宝菇。

  3. 手段更多样,丧心病狂地利用在野漏洞

文档投放的形式多样化

  在过去的 APT 威胁或者网络攻击活动中,利用邮件投递恶意的文档类载荷是非常常见的一种攻击方式,通常投放的文档大多为 Office 文档类型,如 doc、docx,xls,xlsx。

  针对特定地区、特定语言或者特定行业的目标人员攻击者可能投放一些其他的文档类型载荷,例如针对韩国人员投放 HWP 文档,针对巴基斯坦地区投放 InPage 文档,或者针对工程建筑行业人员投放恶意的 AutoCAD 文档等等。

利用文件格式的限制

  APT 攻击者通常会利用一些文件格式和显示上的特性用于迷惑受害用户或安全分析人员。这里以 LNK 文件为例,LNK 文件显示的目标执行路径仅 260 个字节,多余的字符将被截断,可以直接查看 LNK 文件执行的命令

  而在跟踪蓝宝菇的攻击活动中,该组织投放的 LNK 文件在目标路径字符串前面填充了大量的空字符,直接查看无法明确其执行的内容,需要解析 LNK 文件结构获取。

利用新的系统文件格式特性

  2018 年 6 月,国外安全研究人员公开了利用 Windows 10 下才被引入的新文件类型“.SettingContent-ms”执行任意命令的攻击技巧,并公开了 POC。而该新型攻击方式被公开后就立刻被黑客和 APT 组织纳入攻击武器库用于针对性攻击,并衍生出各种利用方式:诱导执行、利用 Office 文档执行、利用 PDF 文档执行。

利用旧的技术实现攻击

  一些被认为陈旧而古老的文档特性可以被实现并用于攻击,360 威胁情报中心在下半年就针对利用 Excel 4.0 宏传播商业远控木马的在野攻击样本进行了分析。

  该技术最早是于 2018 年 10 月 6 日由国外安全厂商 Outflank 的安全研究人员首次公开,并展示了使用 Excel 4.0 宏执行 ShellCode 的利用代码。Excel 4.0 宏是一个很古老的宏技术,微软在后续使用 VBA 替换了该特性,但从利用效果和隐蔽性上依然能够达到不错的效果。

  从上述总结的多样化的攻击投放方式来看,攻击者似乎在不断尝试发现在邮件或终端侧检测所覆盖的文件类型下的薄弱环节,从而逃避或绕过检测。

0day 漏洞和在野利用攻击

  0day 漏洞一直是作为 APT 组织实施攻击所依赖的技术制高点,在这里我们回顾下 2018 年下半年主要的 0day 漏洞和相关 APT 组织使用 0day 漏洞实施的在野利用攻击活动。

  所谓 0day 漏洞的在野利用,一般是攻击活动被捕获时,发现其利用了某些 0day 漏洞(攻击活动与攻击样本分析本身也是 0day 漏洞发现的重要方法之一)。而在有能力挖掘和利用 0day 漏洞的组织中,APT 组织首当其冲。

  在 2018 年全球各安全机构发布的 APT 研究报告中,0day 漏洞的在野利用成为安全圈最为关注的焦点之一。其中,仅 2018 年下半年,被安全机构披露的,被 APT 组织利用的 0day 漏洞就不少于 8 个。
4. 新的一年,它们还可能演变成这样:

  从 2018 年的 APT 威胁态势来看,360 威胁情报中心推测,APT 威胁活动的演变趋势可能包括如下:

  1)APT 组织可能发展成更加明确的组织化特点,例如小组化,各个攻击小组可能针对特定行业实施攻击并达到特定的攻击目的,但其整体可能共享部分攻击代码或资源。

  2)APT 组织在初期的攻击尝试和获得初步控制权阶段可能更倾向于使用开源或公开的攻击工具或系统工具,对于高价值目标或维持长久性的控制才使用其自身特有的成熟的攻击代码。

  3)APT 组织针对的目标行业可能进一步延伸到一些传统行业或者和国家基础建设相关的行业和机构,随着这些行业逐渐的互联化和智能化可能带来的安全防御上的弱点,以及其可能面临的供应链攻击。

  4)APT 组织进一步加强 0day 漏洞能力的储备,并且可能覆盖多个平台,包括 PC,服务器,移动终端,路由器,甚至工控设备等。

原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/123359.html

(0)
上一篇 2021年8月29日
下一篇 2021年8月29日

相关推荐

发表回复

登录后才能评论