2018年全球十大APT攻击事件盘点

2018年8月15日，收集安详公司趋势科技果真了其在本年7月捕捉到的一例在野0day裂痕进攻，颠末说明比拟发明该0day裂痕和2018年4月360公司初次发明影响IE赏识器并通过Office文档举办进攻的“双杀”裂痕行使了多个沟通的进攻技能，极有也许是统一团伙所为。

而且早在2018年2月中旬，360威胁谍报中心就跟踪发明白DarkHotel APT团伙行使沟通的恶意代码的定向进攻勾当，而且团结威胁谍报数据发掘到了该团伙更多的样本，对该团伙连年来行使的多个版本的恶意代码举办了说明比拟，梳理了样本演化进程。

9. 疑似APT33行使Shamoon V3针对中东地域能源企业的定向进攻变乱

危害水平 ★★★★

进攻频度 ★★

进攻技能 ★★★

变乱时刻：2018年12月发明

进攻组织：疑似APT33

受害方针：中东和欧洲的石油和自然气公司

相干进攻兵器：Shamoon V3

相干裂痕：无

进攻进口：鱼叉邮件进攻

首要进攻战术技能：

行使随机天生的数据包围体系上的MBR、分区和文件

恶意文件的文件描写仿照正当的产物名称

安详职员于本年12月在VirusTotal上发明白新版本的Shamoon恶意代码，其行使随机天生的数据包围体系上的MBR，分区和文件。本次进攻勾当也许首要针对欧洲和中东的石油、自然气公司。

随后，海外安详厂商McAfee对Shamoon进攻所行使的新的器材集举办说明，并以为新的Shamoon版本作为其进攻器材集的一部门，其还包罗一个.Net开拓的进攻器材。McAfee指出该进攻勾当也许与APT33有关。尔后续FireEye对 APT33组织近期的进攻勾当与Shamoon进攻的接洽也举办了说明声名。

10.Slingshot：一个伟大的收集特工勾当

危害水平 ★★★★

进攻频度 ★★

进攻技能 ★★★★★

变乱时刻：2012至2018年2月

进攻组织：疑似针对伊斯兰国和基地组织成员

受害方针：非洲和中东各国的路由器装备

相干进攻兵器：廉价的进攻兵器

相干裂痕：CVE-2007-5633、CVE-2010-1592、CVE-2009-0824

进攻进口：也许通过Windows裂痕操作或已传染的Mikrotik路由器

首要进攻战术技能：

初始loader措施将正当的Windows库'scesrv.dll'替代为具有完全沟通巨细的恶意文件

包罗内核层的加载器和收集嗅探模块，自界说的文件体系模块

也许通过Windows裂痕操作或已传染的Mikrotik路由器得到受害方针的初始节制权。

Slingshot是由卡巴斯基在本年早些发明和披露的收集特工勾当，而且披露其是一个新的、高度伟大的进攻平台的一部门，其在伟大度上可以与Project Sauron和Regin相媲美。

尔后续，外媒对该曝光的勾当也举办了报道。个中披露该进攻勾当也许与美国连系特种作战司令部(JSOC)举办的一项军事打算有关，用于辅佐军方和谍报界通过传染受害方针常用的计较机网络有关可怕分子的信息。

卡巴斯基披露Slingshot至少影响了约100名受害者，首要漫衍于非洲和中东地域国度(如阿富汗、伊拉克、肯尼亚、苏丹、索马里、土耳其等)。其同时针对Windows和Mikrotik路由器平台实验耐久性的进攻植入。

总结

通过360威胁谍报中心清算的2018年十大APT进攻变乱，我们可以总结出以下一些概念：

家产制造业以及国度基本建树相干的行业和机构越来越多的成为APT组织的直接进攻方针，好比针对乌克兰路由器等IOT装备的VPNFilter恶意代码进攻和针对中东地域能源企业的定向进攻变乱

APT组织通过不绝调动进攻方法和更多的0day裂痕来实行打破方针的安详防护。好比被操作的多个IE 0day双杀裂痕、针对小众的InPage笔墨处理赏罚软件裂痕、针对路由器的裂痕进攻、逃避邮件或终端杀毒软件检测的Office模板注入进攻等

多个闻名的APT团伙在2018年很是活泼，被海表里多个安详研究机构、安详厂商所披露。好比针对欧洲、北美地域举办频仍进攻的APT28，针对东南亚地域一连举办定向进攻的海莲花、蔓灵花等APT组织

参考链接

[1].https://www.welivesecurity.com/2018/09/27/lojax-first-uefi-rootkit-found-wild-courtesy-sednit-group/

[2].https://www.securityweek.com/russia-hacked-olympics-computers-turned-blame-north-korea-report

[3].https://www.justice.gov/opa/press-release/file/1092091/download

[4].https://www.fireeye.com/blog/threat-research/2018/12/overruled-containing-a-potentially-destructive-adversary.html

[5].https://www.fireeye.com/blog/threat-research/2018/10/apt38-details-on-new-north-korean-regime-backed-threat-group.html

[6].https://www.cyberscoop.com/kaspersky-slingshot-isis-operation-socom-five-eyes/

[7].https://www.bleepingcomputer.com/news/security/ukraine-says-it-stopped-a-vpnfilter-attack-on-a-chlorine-distillation-station/

[8].https://unit42.paloaltonetworks.com/dear-joohn-sofacy-groups-global-campaign/

[9].https://twitter.com/360TIC/status/1078908533125443584

[10].https://ti.360.net/uploads/2018/07/05/5fc9c36b4cb81d4281599f0d3416931a.pdf

[11].https://ti.360.net/blog/articles/oceanlotus-with-cve-2017-8570/

[12].https://ti.360.net/blog/articles/oceanlotus-targets-chinese-university/

[13].https://ti.360.net/blog/articles/latest-sample-and-c2-mechanism-of-apt-c-12/

[14].https://ti.360.net/blog/articles/details-of-apt-c-12-of-operation-nuclearcrisis/

[15].https://ti.360.net/blog/articles/analyzing-attack-of-cve-2018-8373-and-darkhotel/

[16].https://ti.360.net/blog/articles/analysis-of-targeted-attack-against-pakistan-by-exploiting-inpage-vulnerability-and-related-apt-groups/

[17].https://ti.360.net/blog/articles/analysis-of-darkhotel/

[18].https://ti.360.net/blog/articles/analysis-of-apt-campaign-bitter/

[19].https://securityaffairs.co/wordpress/72851/apt/vpnfilter-botnet-doj.html

[20].https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/shamoon-attackers-employ-new-tool-kit-to-wipe-infected-systems/

[21].https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/malicious-document-targets-pyeongchang-olympics/

[22].https://securelist.com/threats-in-the-netherlands/88185/

[23].https://securelist.com/apt-slingshot/84312/

[24].https://blog.talosintelligence.com/2018/05/VPNFilter.html

（编辑：湖南网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!