2018年环球十大APT进攻变乱盘货

媒介

APT进攻(Advanced Persistent Threat，高级一连性威胁)是操作先辈的进攻本领对特定方针举办恒久一连性收集进攻的进攻情势。

360威胁谍报中心团结2018年整年海表里各个安详研究机构、安详厂商披露的重大APT进攻变乱，以及近几年来披露的高级一连性威胁勾当信息，并基于这些重大APT进攻变乱的危害水平、进攻频度、进攻技能等，评比出2018年环球十大APT进攻变乱。

2018年环球十大APT进攻变乱

360威胁谍报中心将基于每个APT进攻变乱的配景信息、进攻组织、相干TTP(战术、技能、进程)举办描写，带你一路回首这些重大进攻变乱。

1. 韩国平昌冬奥会APT进攻变乱

危害水平 ★★★

进攻频度 ★★

进攻技能 ★★★

变乱时刻：韩国平昌奥运会时代，初次勾当于2017年12月22日

进攻组织：Hades

受害方针：韩国平昌奥运会举行方

相干进攻兵器：Olympic Destroyer

相干裂痕：无

进攻进口：鱼叉邮件进攻

首要进攻战术技能：

鱼叉邮件投递内嵌恶意宏的Word文档

操作PowerShell实现的图片隐写技能，其行使开源器材Invoke-PSImage实现

操作失陷网站用于进攻载荷的分发和节制回传

伪装成韩国国度反恐中心(NCTC)的电子邮件地点发送鱼叉邮件，以及注册伪装成韩国农业和林业部的恶意域名

韩国平昌冬奥会APT进攻变乱是由McAfee在本年伊始果真披露的APT变乱，据相干消息报道，其导致了奥运会网站的宕机和收集间断。卡巴斯基将该变乱背后的进攻组织定名为Hades。

韩国冬奥会进攻变乱最为迷惑的是其进攻者的归属题目，并至今仍未有定论。在变乱中行使的植入载荷Olympic Destroyer，其用于粉碎文件数据的相干代码与已往Lazarus行使的载荷有部门相似，而美国部份媒体则声称该变乱为俄罗斯谍报机构实验并移祸给朝鲜。

该变乱再一次揭示了APT进攻者操作和仿照其他组织的进攻技能和伎俩特点，制造false flag以疑惑安详职员并误导其做堕落误的进攻来历归属的判定，而好像制造false flag是Hades组织习用的进攻伎俩。

2. VPNFilter：针对乌克兰IOT装备的恶意代码进攻变乱

危害水平 ★★★★★

进攻频度 ★★★★

进攻技能 ★★★★

变乱时刻：最早从2016年开始，2018年5月初次披露

进攻组织：疑似APT28

受害方针：首要为乌克兰

相干进攻兵器：VPNFilter

相干裂痕：针对IOT装备的多种裂痕

进攻进口：操作IOT装备裂痕长途得到初始节制权

首要进攻战术技能：

行使多阶段的载荷植入，差异阶段载荷成果模块实现差异

行使针对多种型号IOT装备的果真裂痕操作技能和默认会见根据得到对装备的节制权

实现包罗：数据包嗅探、窃取网站登录根据、以及监控Modbus SCADA工控协议

针对多种CPU架构编译和执行

行使Tor或SSL加密协议举办C2通讯

VPNFilter变乱是2018年最为严峻的针对IOT装备的进攻变乱之一，而且实验该变乱的进攻者疑似具有国度配景。美国司法部在后续也声称该变乱与APT28组织有关。

通过Cisco Talos的披露，该变乱影响了至少环球54个国度和地域的50W装备，包罗常用的小型路由器型号(譬喻Linksys，MikroTik，NETGEAR和TP-Link)、NAS装备等。

VPNFilter恶意代码被建造成包括伟大而富厚的成果模块，实现多阶段的进攻操作，并被编译成支持多种CPU架构，行使已知果真的裂痕操作技能得到节制权。

乌克兰特勤局(SBU)后续也果真披露其发明VPNFilter对其海内的氯气蒸馏站的进攻。

3. APT28针对欧洲、北美地域的一系列定向进攻变乱

危害水平 ★★★★

进攻频度 ★★★★

进攻技能 ★★★★★

变乱时刻：贯串整个2018年

进攻组织：APT28

受害方针：北美、欧洲、前苏联国度的当局组织

相干进攻兵器：Cannon、Zebrocy等

相干裂痕：Office文档模板注入、疑似Lojack软件缺陷或0day裂痕

进攻进口：鱼叉邮件、Office模板注入

首要进攻战术技能：

鱼叉邮件发送行使了Office模板注入进攻技能的恶意文档

长途注入恶意宏代码并执行

开释Delphi版的Cannon和.Net和C#等多个说话版本的Zebrocy木马举办长途节制

以及针对LoJack计较机防盗软件植入UEFI rootkit木马措施，实现重装体系及改换硬盘都无法消除的耐久化长途节制

APT28组织在整个2018年频仍操作Office模板注入长途宏文档的进攻技能对包罗北美国度的社交事宜组织、欧洲国度的社交事宜组织以及前苏联国度的当局实体举办定向进攻。这些进攻的进攻前言都是通过鱼叉式收集垂纶，行使注册到免费电子邮件提供商Seznam的电子邮件帐户，Seznam是一家位于捷克共和国的热点收集处事提供商，而且该进攻大部门文档都包括作者名Joohn。

在2018年9月，ESET还发明APT28组织行使UEFI rootkit针对巴尔干半岛及中欧和东欧的当局组织举办定向进攻的勾当。

4. 蓝宝菇APT组织针对中国的一系列定向进攻变乱

危害水平 ★★★★

进攻频度 ★★★

进攻技能 ★★★

变乱时刻：2018年4月(初次进攻时刻为2011年)

进攻组织： 蓝宝菇(BlueMushroom)

受害方针：中国当局、军工、科研、金融等重点单元和部分

相干进攻兵器：PowerShell后门

相干裂痕：无

进攻进口：鱼叉邮件和水坑进攻

首要进攻战术技能：

鱼叉邮件投递内嵌PowerShell剧本的LNK文件，并操作邮件处事器的云附件方法举办投递

当受害者被诱导点击恶意LNK文件后，会执行LNK文件所指向的PowerShell呼吁，进而提取出LNK文件中的其他诱导文件、耐久化后门和PowerShell后门剧本。PowerShell后门会通过对受害者的电脑中的特命名目文件举办打包并上传到第三方云空间(如：亚马逊云，新浪云等)

从收集上接管新的PowerShell后门代码执行，从而逃避了一些杀软的查杀

（编辑：湖南网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!