2018年全球十大APT攻击事件盘点

并且在2018年11月左右针对巴基斯坦的攻击中使用了大量InPage漏洞利用文档进行攻击。而InPage则是一个专门针对乌尔都语使用者(巴基斯坦国语)设计的文字处理软件。

7. APT38针对全球范围金融机构的攻击事件

危害程度 ★★★★★

攻击频度 ★★★★

攻击技术 ★★★★

事件时间：最早于2014年，持续活跃至今

攻击组织：APT38

受害目标：金融机构，银行，ATM，SWIFT

相关攻击武器：多种自制恶意程序

相关漏洞：多种漏洞

攻击入口：鱼叉攻击，水坑攻击

主要攻击战术技术：

利用社交网络，搜索等多种方式对攻击目标进行详细的网络侦查

使用鱼叉攻击或水坑攻击对目标人员实施攻击并获得初始控制权

在目标网络横向移动，最终以获得SWIFT系统终端为目标

伪造或修改交易数据达到窃取资金

通过格式化硬盘或日志等方式清除痕迹。

APT38被认为是朝鲜来源的APT组织，国外安全厂商通常称为LazarusGroup。近年来主要披露的攻击活动涉及全球金融和银行机构、中美洲在线赌场、以及虚拟电子货币相关的交易所和机构。FireEye在今年披露了一份详细的APT组织报告，并将其中以经济牟利为意图的，针对全球金融、银行机构攻击的威胁活动独立归属为一个新的组织名称，APT38以明确区分其与Lazarus之间的一些不同。

美国司法部在今年9月也公开披露了一份非常详细的针对朝鲜黑客PARK JIN HYOK及其相关组织Chosun Expo过去实施的攻击活动的司法指控。在该报告中指出PARK黑客及其相关组织与过去SONY娱乐攻击事件、全球范围多个银行SWIFT系统被攻击事件、 WannaCry、以及韩国、美国军事人员和机构被攻击的相关事件有关。

APT38，作为目前以经济利益为动机的最为活跃的APT组织，我们也应该持续关注其使用的攻击技术和工具。

8. 疑似DarkHotel APT组织利用多个IE 0day“双杀”漏洞的定向攻击事件

危害程度 ★★★

攻击频度 ★★

攻击技术 ★★★★

事件时间：首次发现于2018年5月，相同Payload在2月中旬被发现

攻击组织：DarkHotel

受害目标：中国

相关攻击武器：劫持操作系统DLL文件(msfte.dll、NTWDBLIB.DLL)的插件式木马后门

相关漏洞：CVE-2018-8174、CVE-2018-8373等

攻击入口：鱼叉邮件攻击

主要攻击战术技术：

鱼叉邮件投递包含IE 0day双杀漏洞的Word文档

漏洞利用成功后释放白利用文件执行恶意PowerShell下载下一阶段PowerShell脚本

下载回来的PowerShell脚本进行Bypass UAC，并通过劫持系统DLL文件下载核心木马模块

核心木马模块与C2地址通信下载执行更多的木马插件实现持久化控制

Darkhotel(APT-C-06)是一个长期针对企业高管、国防工业、电子工业等重要机构实施网络间谍攻击活动的APT组织。2018年5月，360公司首次发现疑似该组织使用IE 0day“双杀”漏洞针对中国的定向攻击。

（编辑：PHP编程网 - 湛江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!