2018年全球十大APT攻击事件盘点

“蓝宝菇”APT组织在2018年对我国的政府、军工、科研、金融等重点单位和部门都发起了多次针对性攻击，攻击的技术以及手法也有所升级。从以往的PE木马升级到现在的非PE的脚本后门，以及采用云空间、云附件的手法接收回传的资料信息等都反映了蓝宝菇APT组织在攻击技术方面的更新。从近期360威胁情报中心监控到的攻击事件来看，未来蓝宝菇APT组织都会大量的使用PowerShell脚本等非PE后门来替代原有的PE木马数字武器。

5. 海莲花APT组织针对我国和东南亚地区的定向攻击事件

危害程度 ★★★★

攻击频度 ★★★★★

攻击技术 ★★★

事件时间：2018年全年(首次攻击时间为2012年)

攻击组织：海莲花(OceanLotus)

受害目标：东南亚国家、中国及其相关科研院所、海事机构、航运企业等

相关攻击武器：Denis家族木马、Cobalt Strike、CACTUSTORCH框架木马

相关漏洞：微软Office漏洞、MikroTik路由器漏洞、永恒之蓝漏洞

攻击入口：鱼叉邮件和水坑攻击

主要攻击战术技术：

鱼叉邮件投递内嵌恶意宏的Word文件、HTA文件、快捷方式文件、SFX自解压文件、捆绑后的文档图标的可执行文件等

入侵成功后通过一些内网渗透工具扫描渗透内网并横向移动，入侵重要服务器，植入Denis家族木马进行持久化控制

通过横向移动和渗透拿到域控或者重要的服务器权限，通过对这些重要机器的控制来设置水坑、利用第三方工具并辅助渗透

横向移动过程中还会使用一些逃避杀软检测的技术：包括白利用技术、PowerShell混淆技术等

“海莲花”APT 组织在2018年全年频繁的针对我国及东南亚国家进行持续的针对性攻击，比如针对柬埔寨和菲律宾的新的攻击活动，并且疑似利用了路由器的漏洞实施远程渗透。相关漏洞首次公开是由维基解密披露的CIA Vault7项目资料中提及并由国外安全研究人员发布了相关攻击利用代码。并且“海莲花”在2018年的攻击活动中使用了更加多样化的载荷投放形式，并使用多种白利用技术加载其恶意模块。

6. 蔓灵花APT组织针对中国、巴基斯坦的一系列定向攻击事件

危害程度 ★★★

攻击频度 ★★★★

攻击技术 ★★★

事件时间：2018年初

攻击组织： 蔓灵花(BITTER)

受害目标：中国、巴基斯坦

相关攻击武器：“蔓灵花”特有的后门程序

相关漏洞：InPage文字处理软件漏洞CVE-2017-12824、微软公式编辑器漏洞等

攻击入口：鱼叉邮件攻击

主要攻击战术技术：

鱼叉邮件投递内嵌Inpage漏洞利用文档、微软公式编辑器漏洞利用文档、伪造成文档/图片的可执行文件等

触发漏洞后释放/下载执行恶意木马，与C2保持通信，并根据C2返回的命令下载指定插件执行

下载执行多种远控插件进行远程控制

“蔓灵花”APT组织在2018年利用InPage文档处理软件漏洞、微软公式编辑器漏洞、伪造文档图标的可执行文件等攻击手法，针对中国、巴基斯坦重要组织机构和人员多次发起定向攻击。多次攻击活动表明，蔓灵花习惯攻陷巴基斯坦政府网站用于下发后续木马，比如在11月针对巴基斯坦的攻击活动中，后续木马下发地址为：fst.gov.pk/images/winsvc，而fst.gov.pk则是巴基斯坦政府的相关网站。

（编辑：PHP编程网 - 湛江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!