2018年全球十大APT攻击事件盘点
并且在2018年11月左右针对巴基斯坦的攻击中使用了大量InPage漏洞利用文档进行攻击。而InPage则是一个专门针对乌尔都语使用者(巴基斯坦国语)设计的文字处理软件。 7. APT38针对全球范围金融机构的攻击事件 危害程度 ★★★★★ 攻击频度 ★★★★ 攻击技术 ★★★★ 事件时间:最早于2014年,持续活跃至今 攻击组织:APT38 受害目标:金融机构,银行,ATM,SWIFT 相关攻击武器:多种自制恶意程序 相关漏洞:多种漏洞 攻击入口:鱼叉攻击,水坑攻击 主要攻击战术技术: 利用社交网络,搜索等多种方式对攻击目标进行详细的网络侦查 使用鱼叉攻击或水坑攻击对目标人员实施攻击并获得初始控制权 在目标网络横向移动,最终以获得SWIFT系统终端为目标 伪造或修改交易数据达到窃取资金 通过格式化硬盘或日志等方式清除痕迹。 APT38被认为是朝鲜来源的APT组织,国外安全厂商通常称为LazarusGroup。近年来主要披露的攻击活动涉及全球金融和银行机构、中美洲在线赌场、以及虚拟电子货币相关的交易所和机构。FireEye在今年披露了一份详细的APT组织报告,并将其中以经济牟利为意图的,针对全球金融、银行机构攻击的威胁活动独立归属为一个新的组织名称,APT38以明确区分其与Lazarus之间的一些不同。 美国司法部在今年9月也公开披露了一份非常详细的针对朝鲜黑客PARK JIN HYOK及其相关组织Chosun Expo过去实施的攻击活动的司法指控。在该报告中指出PARK黑客及其相关组织与过去SONY娱乐攻击事件、全球范围多个银行SWIFT系统被攻击事件、 WannaCry、以及韩国、美国军事人员和机构被攻击的相关事件有关。 APT38,作为目前以经济利益为动机的最为活跃的APT组织,我们也应该持续关注其使用的攻击技术和工具。 8. 疑似DarkHotel APT组织利用多个IE 0day“双杀”漏洞的定向攻击事件 危害程度 ★★★ 攻击频度 ★★ 攻击技术 ★★★★ 事件时间:首次发现于2018年5月,相同Payload在2月中旬被发现 攻击组织:DarkHotel 受害目标:中国 相关攻击武器:劫持操作系统DLL文件(msfte.dll、NTWDBLIB.DLL)的插件式木马后门 相关漏洞:CVE-2018-8174、CVE-2018-8373等 攻击入口:鱼叉邮件攻击 主要攻击战术技术: 鱼叉邮件投递包含IE 0day双杀漏洞的Word文档 漏洞利用成功后释放白利用文件执行恶意PowerShell下载下一阶段PowerShell脚本 下载回来的PowerShell脚本进行Bypass UAC,并通过劫持系统DLL文件下载核心木马模块 核心木马模块与C2地址通信下载执行更多的木马插件实现持久化控制 Darkhotel(APT-C-06)是一个长期针对企业高管、国防工业、电子工业等重要机构实施网络间谍攻击活动的APT组织。2018年5月,360公司首次发现疑似该组织使用IE 0day“双杀”漏洞针对中国的定向攻击。 (编辑:PHP编程网 - 湛江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |