2018年下半年和2019年上半年黑客团体不断活跃

一年又一年，APT威胁领域的进步很明显。自去年以来，安全研究人员看到了新的对手以及妥协和更公开的网络攻击的方法。

总部位于新加坡的网络安全公司Group-IB在今天发布的一份报告中描述了自2018年下半年和2019年上半年以来记录的高科技威胁范围的主要变化。

RedCurl，一个新的对手

在2019年，一个名为RedCurl的新组织被发现针对间谍活动和金融盗窃，针对保险，咨询，采矿，铁工厂，零售和建筑公司的攻击。

IB集团说，这种威胁因素非常有能力并且很难被发现。允许RedCurl逃脱的原因是使用合法服务与其命令和控制（C2）服务器进行通信。

威胁执行者依靠自定义木马来进行恶意操作，首先集中于从受害者那里窃取重要文档，然后在基础结构上安装XMRIG矿工用于Monero加密货币。

至于从受害者那里窃取的数据，RedCurl似乎对协议以及有关付款和合同的信息感兴趣。

该攻击者的一个特殊特征是其网络钓鱼攻击的高质量。他们正在针对他们所针对的每个受害者定制消息，以确保更高的成功率。

目前，还不清楚RedCurl是网络犯罪组织还是国家资助的组织。不过，BleepingComputer获悉，Group-IB试图通过查看工具，技术和实践来建立其隶属关系。

大多数受害者都在东欧，而一家受损害的公司位于北美。IB集团告诉我们，从诱饵文件中使用的语言和用于设置电子邮件服务器的服务来看，至少在该小组的成员中，他们说的是俄语。

金钱驱动的攻击者

IB集团列出了五个积极参与针对金融机构的攻击的网络犯罪组织，其中三个是说俄语的人（Cobalt，Silent，MoneyTaker），并且是唯一与控制ATM来随意分配现金的木马公司一起工作的。

另外两个是Lazarus和SilentCard，这是一个来自肯尼亚的新集团，针对非洲的银行并且在非洲取得了成功，尽管其技术技能不及同一行业的其他参与者。

尽管还有其他行为者威胁着金融部门，但IB集团的报告认为这五个因素可能造成严重损害。

这些小组通常在受感染的网络上花费大量时间来学习绳索，以便他们可以运行财务运作以及所监控的员工。

攻击成功与失败的地图都显示，自2018年下半年以来，他们一直很忙，几乎每个月都在尝试自己的运气。

目前，SilentCard上的详细信息很少。但是研究人员确定该小组在当地开展活动，并参与了两次成功的抢劫。

仅提供了一个恶意软件样本，Group-IB假设SilentCard使用“组织内的受控设备，使他们能够攻击企业网络”。

国家支持的黑客团体

为政府工作的攻击者（也称为APT小组）也很忙，在IB小组观察到的时间内有38个小组处于活动状态。其中，今年发现了七个进行网络间谍活动。

即使只是在过去一年才发现新的小组，它们的运作时间也更长了，有些早在2011年。

其中之一是Windshift， DarkMatter于2018年8月对它的工具和策略进行了分析。但是，自2017年以来，它一直在网络间谍游戏中，目标客户

是中东的政府机构和关键基础设施。

蓝蘑菇（又名蓝宝石蘑菇和APT-C-12）自2011年以来一直在运行，但直到2018年中才出现在雷达上。根据奇虎360 的一份报告，其目标是在核工业和科学研究中。

Gallmaker是另一个APT组发现在2018年，但由于至少2017年12月运行，赛门铁克发现。它依靠陆地上的工具对政府和军事目标发动攻击。

Qiho360在今年年初发布的研究报告中披露了APT-C-36  或Blind Eagle的活动，这是一个来自南美的威胁组织，从事从重要公司和政府机构窃取商业秘密的活动。

Whitefly主要针对医疗保健，媒体，电信和工程领域的新加坡实体。它的活动可以追溯到2017年，尽管它是在2018年7月对新加坡最大的公共卫生组织的袭击使它出现在地图上的；150万患者的记录被盗。

己烷或Lyceum对中东的关键基础设施组织感兴趣 ，尽管它的活动在该日期之前很久就已受到审查，但在八月首次向公众披露。SecureWorks发布了  有关其操作方式的技术细节。

第七届APT小组仍然身份不明，因为对其了解不多，因此所使用的攻击框架还很少。卡巴斯基（Kaspersky）称这套工具为TajMahal，其中包含约80个模块，被用来破坏中亚的一个外交实体。

网络战升级

网络安全已成为政治领导人的共同话题，也是军事行动的中流砥柱。公共记录中描述的攻击表明，它们正在逐渐失去秘密。

政府转向使用数字工具来破坏对手的活动不再是一种预测，而是真实的。多家能源厂遭受了网络攻击，黑客没有任何经济利益。

为打击利用网络攻击的敌人而进行的报复行动已经发生，最突出的是美国在夏季  对伊朗武器系统的行动，以击落美国的监控无人机并袭击油轮。

IB集团首席技术官兼威胁情报负责人德米特里·沃尔科夫（Dmitry Volkov）表示，2018年显示出网络世界对与微处理器相关的边道攻击和漏洞的准备不足，而2019年则表明了网络空间的秘密军事行动。

“为国家利益而行动的团体已经躲藏了很多年。只有少数几起此类事件为人所知，但大多数事件表明许多国家的关键基础设施已经受到损害”-德米特里·沃尔科夫