一年又一年,APT威胁领域的进步很明显。自去年以来,安全研究人员看到了新的对手以及妥协和更公开的网络攻击的方法。
总部位于新加坡的网络安全公司Group-IB在今天发布的一份报告中描述了自2018年下半年和2019年上半年以来记录的高科技威胁范围的主要变化。
RedCurl,一个新的对手
在2019年,一个名为RedCurl的新组织被发现针对间谍活动和金融盗窃,针对保险,咨询,采矿,铁工厂,零售和建筑公司的攻击。
IB集团说,这种威胁因素非常有能力并且很难被发现。允许RedCurl逃脱的原因是使用合法服务与其命令和控制(C2)服务器进行通信。
威胁执行者依靠自定义木马来进行恶意操作,首先集中于从受害者那里窃取重要文档,然后在基础结构上安装XMRIG矿工用于Monero加密货币。
至于从受害者那里窃取的数据,RedCurl似乎对协议以及有关付款和合同的信息感兴趣。
该攻击者的一个特殊特征是其网络钓鱼攻击的高质量。他们正在针对他们所针对的每个受害者定制消息,以确保更高的成功率。
目前,还不清楚RedCurl是网络犯罪组织还是国家资助的组织。不过,BleepingComputer获悉,Group-IB试图通过查看工具,技术和实践来建立其隶属关系。
大多数受害者都在东欧,而一家受损害的公司位于北美。IB集团告诉我们,从诱饵文件中使用的语言和用于设置电子邮件服务器的服务来看,至少在该小组的成员中,他们说的是俄语。
金钱驱动的攻击者
IB集团列出了五个积极参与针对金融机构的攻击的网络犯罪组织,其中三个是说俄语的人(Cobalt,Silent,MoneyTaker),并且是唯一与控制ATM来随意分配现金的木马公司一起工作的。
另外两个是Lazarus和SilentCard,这是一个来自肯尼亚的新集团,针对非洲的银行并且在非洲取得了成功,尽管其技术技能不及同一行业的其他参与者。
尽管还有其他行为者威胁着金融部门,但IB集团的报告认为这五个因素可能造成严重损害。
这些小组通常在受感染的网络上花费大量时间来学习绳索,以便他们可以运行财务运作以及所监控的员工。
攻击成功与失败的地图都显示,自2018年下半年以来,他们一直很忙,几乎每个月都在尝试自己的运气。
目前,SilentCard上的详细信息很少。但是研究人员确定该小组在当地开展活动,并参与了两次成功的抢劫。
仅提供了一个恶意软件样本,Group-IB假设SilentCard使用“组织内的受控设备,使他们能够攻击企业网络”。
国家支持的黑客团体
为政府工作的攻击者(也称为APT小组)也很忙,在IB小组观察到的时间内有38个小组处于活动状态。其中,今年发现了七个进行网络间谍活动。
即使只是在过去一年才发现新的小组,它们的运作时间也更长了,有些早在2011年。
其中之一是Windshift, DarkMatter于2018年8月对它的工具和策略进行了分析。但是,自2017年以来,它一直在网络间谍游戏中,目标客户
是中东的政府机构和关键基础设施。
蓝蘑菇(又名蓝宝石蘑菇和APT-C-12)自2011年以来一直在运行,但直到2018年中才出现在雷达上。根据奇虎360 的一份报告,其目标是在核工业和科学研究中。
Gallmaker是另一个APT组发现在2018年,但由于至少2017年12月运行,赛门铁克发现。它依靠陆地上的工具对政府和军事目标发动攻击。
Qiho360在今年年初发布的研究报告中披露了APT-C-36 或Blind Eagle的活动,这是一个来自南美的威胁组织,从事从重要公司和政府机构窃取商业秘密的活动。
Whitefly主要针对医疗保健,媒体,电信和工程领域的新加坡实体。它的活动可以追溯到2017年,尽管它是在2018年7月对新加坡最大的公共卫生组织的袭击使它出现在地图上的;150万患者的记录被盗。
己烷或Lyceum对中东的关键基础设施组织感兴趣 ,尽管它的活动在该日期之前很久就已受到审查,但在八月首次向公众披露。SecureWorks发布了 有关其操作方式的技术细节。
第七届APT小组仍然身份不明,因为对其了解不多,因此所使用的攻击框架还很少。卡巴斯基(Kaspersky)称这套工具为TajMahal,其中包含约80个模块,被用来破坏中亚的一个外交实体。
网络战升级
网络安全已成为政治领导人的共同话题,也是军事行动的中流砥柱。公共记录中描述的攻击表明,它们正在逐渐失去秘密。
政府转向使用数字工具来破坏对手的活动不再是一种预测,而是真实的。多家能源厂遭受了网络攻击,黑客没有任何经济利益。
为打击利用网络攻击的敌人而进行的报复行动已经发生,最突出的是美国在夏季 对伊朗武器系统的行动,以击落美国的监控无人机并袭击油轮。
IB集团首席技术官兼威胁情报负责人德米特里·沃尔科夫(Dmitry Volkov)表示,2018年显示出网络世界对与微处理器相关的边道攻击和漏洞的准备不足,而2019年则表明了网络空间的秘密军事行动。
“为国家利益而行动的团体已经躲藏了很多年。只有少数几起此类事件为人所知,但大多数事件表明许多国家的关键基础设施已经受到损害”-德米特里·沃尔科夫
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...