本周APT组织动态（7.4-7.10）

Lazarus（朝鲜）

发布时间：2020年7月6日

Sansec威胁研究小组的研究表明，朝鲜政府资助的黑客与拦截美国和欧洲购物者的在线支付活动有关。与Lazarus相关的黑客最早在2019年5月就入侵了美国大型零售商的在线商店并植入了付款掠夺者。

据2019年联合国报告称，此前，朝鲜的黑客活动主要局限在银行和韩国的加密货币市场，这些秘密的网络活动为他们带来了近20亿美元的收入。正如Sansec的最新研究表明，他们现在已经将犯罪活动扩展到了有利可图的数字掠夺中。

Sansec研究人员将本次活动归因于Lazarus组织，是因为重复使用了以前的基础设施（technokain.com；darvishkhan.net；areac-agr.com）。此外，恶意软件代码的独特性也将众多攻击活动归因于同一组织。

Sansec监视数百万在线商店的掠夺活动，每天通常能发现30至100个受感染的商店。许多情况下都具有共同的作案手法，例如共享基础设施或编程风格的显著特征。

Sansec的研究已经确定了最近的掠夺活动与先前记录的朝鲜黑客活动之间存在多个独立的联系。下图绿色部分显示了一小部分的受害者，红色部分表示受Lazarus控制的渗透节点。黄色部分表示唯一标识的操作方式（或TTP）。

来源：https://sansec.io/research/north-korea-magecart

BITTER（印度）

发布时间：2020年7月6日

蔓灵花(Bitter)APT组织是一个针对中国、巴基斯坦等国家的APT组织。最早披露于2016年，主要针对军工、核能、政府等国家重点单位。Bitter擅长利用鱼叉攻击，该组织也一直处于高频率攻击的状态。

近日，启明星辰金睛安全研究团队捕获了一个疑似蔓灵花的攻击样本，经过分析，这个样本使用了Antradownloader木马下载器的新变种。

来源：https://mp.weixin.qq.com/s/IcLGzGJYFx3dPUed0Bgv5w

StrongPity（土耳其）

2020年7月8日

近日，安恒威胁情报中心在日常的高级威胁监测过程中，发现多个冒充合法软件攻击活动。根据攻击特征结合威胁情报中心的分析平台关联其他样本，对样本特征、攻击手法、行为动机、使用技术等综合分析，发现此次攻击方为APT组织Strong Pity。该团伙主要攻击特征为水坑攻击，如将软件下载网站上的合法安装程序替换成木马程序，或者仿冒官方网站的域名进行木马的分发。恶意软件用于定位敏感类型文件，将文件压缩加密后发送到远程服务器。

来源：

Transparent Tribe（巴基斯坦）

发布时间：2020年7月8日

过去的三个月中，与巴基斯坦有关的网络威胁组织APT36的攻击活动有所增加。这次的目标是印度国防组织和其他政府组织的人员。

在最近的攻击浪潮中，APT36使用蜂蜜诱捕技术引诱目标。“蜂蜜陷阱”行动使用诱人的女性虚假资料诱使目标对象打开电子邮件或在消息传递平台上聊天，最终导致他们下载恶意软件。

当目标打开此类附件时，它将释放基于MSIL的Crimson RAT，后者在APT36过去的许多攻击中都已使用过。此RAT用于数据渗漏并将其发送到CnC服务器。

来源：https://www.seqrite.com/blog/operation-honey-trap-apt36-targets-defense-organizations-in-india/

Kimsuky（朝鲜）

发布时间：2020年7月9日

朝鲜半岛局势一直备受关注，无论剑拔弩张还是拨云见日，总被人们津津乐道，而两国之间的网络战也随着政治局势潜滋暗长。韩国有DarkHotel组织，新框架Ramsay就是其手笔；朝鲜有Kimsuky组织，攻防兼备，两者间的博弈随地缘政治起起伏伏。

安恒威胁情报中心监测到KimsukyAPT攻击趋势上升，针对攻击活动进行复盘。

来源：