2018年全球十大APT攻击事件盘点
“蓝宝菇”APT组织在2018年对我国的政府、军工、科研、金融等重点单位和部门都发起了多次针对性攻击,攻击的技术以及手法也有所升级。从以往的PE木马升级到现在的非PE的脚本后门,以及采用云空间、云附件的手法接收回传的资料信息等都反映了蓝宝菇APT组织在攻击技术方面的更新。从近期360威胁情报中心监控到的攻击事件来看,未来蓝宝菇APT组织都会大量的使用PowerShell脚本等非PE后门来替代原有的PE木马数字武器。 5. 海莲花APT组织针对我国和东南亚地区的定向攻击事件 危害程度 ★★★★ 攻击频度 ★★★★★ 攻击技术 ★★★ 事件时间:2018年全年(首次攻击时间为2012年) 攻击组织:海莲花(OceanLotus) 受害目标:东南亚国家、中国及其相关科研院所、海事机构、航运企业等 相关攻击武器:Denis家族木马、Cobalt Strike、CACTUSTORCH框架木马 相关漏洞:微软Office漏洞、MikroTik路由器漏洞、永恒之蓝漏洞 攻击入口:鱼叉邮件和水坑攻击 主要攻击战术技术: 鱼叉邮件投递内嵌恶意宏的Word文件、HTA文件、快捷方式文件、SFX自解压文件、捆绑后的文档图标的可执行文件等 入侵成功后通过一些内网渗透工具扫描渗透内网并横向移动,入侵重要服务器,植入Denis家族木马进行持久化控制 通过横向移动和渗透拿到域控或者重要的服务器权限,通过对这些重要机器的控制来设置水坑、利用第三方工具并辅助渗透 横向移动过程中还会使用一些逃避杀软检测的技术:包括白利用技术、PowerShell混淆技术等 “海莲花”APT 组织在2018年全年频繁的针对我国及东南亚国家进行持续的针对性攻击,比如针对柬埔寨和菲律宾的新的攻击活动,并且疑似利用了路由器的漏洞实施远程渗透。相关漏洞首次公开是由维基解密披露的CIA Vault7项目资料中提及并由国外安全研究人员发布了相关攻击利用代码。并且“海莲花”在2018年的攻击活动中使用了更加多样化的载荷投放形式,并使用多种白利用技术加载其恶意模块。 6. 蔓灵花APT组织针对中国、巴基斯坦的一系列定向攻击事件 危害程度 ★★★ 攻击频度 ★★★★ 攻击技术 ★★★ 事件时间:2018年初 攻击组织: 蔓灵花(BITTER) 受害目标:中国、巴基斯坦 相关攻击武器:“蔓灵花”特有的后门程序 相关漏洞:InPage文字处理软件漏洞CVE-2017-12824、微软公式编辑器漏洞等 攻击入口:鱼叉邮件攻击 主要攻击战术技术: 鱼叉邮件投递内嵌Inpage漏洞利用文档、微软公式编辑器漏洞利用文档、伪造成文档/图片的可执行文件等 触发漏洞后释放/下载执行恶意木马,与C2保持通信,并根据C2返回的命令下载指定插件执行 下载执行多种远控插件进行远程控制 “蔓灵花”APT组织在2018年利用InPage文档处理软件漏洞、微软公式编辑器漏洞、伪造文档图标的可执行文件等攻击手法,针对中国、巴基斯坦重要组织机构和人员多次发起定向攻击。多次攻击活动表明,蔓灵花习惯攻陷巴基斯坦政府网站用于下发后续木马,比如在11月针对巴基斯坦的攻击活动中,后续木马下发地址为:fst.gov.pk/images/winsvc,而fst.gov.pk则是巴基斯坦政府的相关网站。 (编辑:PHP编程网 - 湛江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |