黑客组织APT27网站(2020重大网络安全事件盘点 · 疫情篇)

导读 2020 年,网络安全挑战再度升级,各行业数据泄露事件层出不穷。Risk Based Security(风险基础安全)数据显示,2020 年全球数据泄露总数高达 360 亿,达到历史新高。 微步在线持续密切关...

导读

2020 年,网络安全挑战再度升级,各行业数据泄露事件层出不穷。Risk Based Security(风险基础安全)数据显示,2020 年全球数据泄露总数高达 360 亿,达到历史新高。

微步在线持续密切关注全球网络安全态势,并对 2020 年全球重大安全事件进行了梳理,精选出金融、能源、互联网、工控、政府、医疗、教育等行业的代表性事件,以及疫情相关的重大攻击事件,以便大家了解全球最新安全威胁,及时做好安全加固,防患于未然。

2020重大网络安全事件盘点 · 疫情篇

2020年,新冠疫情爆发,重创全球经济、政治、医疗和社会体系的同时,也为网络犯罪提供了可乘之机,不少黑客和 APT 组织瞄准这一热点,纷纷利用疫情相关话题进行网络攻击。疫情期间,利用新冠病毒相关信息作为诱饵的网络钓鱼攻击和勒索攻击激增。在疫情爆发初期,白象、响尾蛇、蔓灵花、海莲花、绿斑等境外 APT 组织借机对我国有关部门和机构实施了猛烈的攻击活动;随着疫情的全球大流行,APT29、Silence、Lazarus、Kimsuky 等组织将视线瞄准了疫苗研发,试图窃取疫苗研发和实验有关的信息和知识产权;直至目前,利用新冠疫情进行的网络攻击仍在持续。

2020年1月 | 大量黑客利用新冠病毒话题传播恶意软件

微步在线发现大量不同背景的黑客组织利用“新冠病毒”为话题诱饵传播恶意软件,其传播方式主要为通过钓鱼网站和垃圾邮件等,传播 Emotet、Trickbot、远控、后门、DDoS 和挖矿等木马。主要分布在中国、日本、美国、英国和韩国等地,攻击者冒充疾病预防控制中心、病毒学家和公共卫生中心等,通过警告所在地区出现新的感染案例、声称提供安全措施、提供感染列表等话术诱导打开钓鱼附件进行攻击。

微步在线点评:

黑产黑客逐利,多深谙人性并紧跟时事,攻击手段无所不用其极。建议在遵从官方指导共防疫情的同时,提高对此类攻击的警惕。疫情环境下的远程办公同样面临各类网络威胁,微步在线 OneDNS 能够有效防护勒索软件、钓鱼、木马、病毒、蠕虫和 APT 攻击等多种网络威胁,从而保障远程办公中员工个人设备和企业数据的安全。

参考链接:

https://x.threatbook.cn/nodev4/vb4/article?threatInfoID=2454

2020年2月 |“白象三代”APT组织攻击活动披露

2020年2月1日,微步在线监测发现境外攻击者借“新冠肺炎”疫情对我国发起定向攻击,其攻击目标涉及我国西藏地区政府机构、航空航天相关企业、科技机构、高等院校、医疗机构等,其中主要攻击目标为声光技术等相关的科技机构或实验室。

通过对攻击发起者的手法、木马特点及攻击资产的深入分析,发现攻击活动幕后组织为新阶段的白象 APT 组织,即“白象三代”。该组织至少从2019年3月起开始针对我国科研人员发起钓鱼攻击,并在下半年开始投递 Windows 平台、Android 平台远控木马,其在攻击活动中使用了大量仿冒我国政府、科研、媒体等机构的域名,是一个具有多平台网络攻击能力、网络武器库储备的黑客组织。

微步在线点评:

“白象三代”组织在网络攻击能力方面存在较大提升,该组织已经兼具多平台攻击能力(覆盖 Windows 和 Android),但其最大的转变在于攻击活动数量明显下降,每次攻击活动都是在特定时政事件背景下发起的精准化网络打击,体现出了出于政治目的的网军攻击特性。

参考链接:

https://x.threatbook.cn/nodev4/vb4/article?threatInfoID=2519

2020年2月 | 台湾地区政府 APT 组织借新型肺炎为诱饵发起攻击

2020年2月6日,微步在线发布威胁情报通报《台湾地区政府APT组织借新型肺炎为诱饵发起攻击》,披露了疫情期间台湾政府 APT 组织 GreenSpot 针对大陆的网络钓鱼攻击。

通过微步威胁情报云监测发现,2020年1月下旬开始,有台湾背景 APT 组织“绿斑”借新型肺炎话题发起网络攻击。攻击者以新型肺炎相关的“疫情防控日报表”、“社会维稳”和“献药方”等主题为诱饵,利用仿冒 QQ 和 163邮箱的域名针对我国政府部门和医疗机构等目标进行攻击,旨在窃取邮箱账密和进行情报收集;攻击者的社工手法娴熟,受害者收到托管在 QQ 邮箱中转站的看似正常文档下载链接,点击后要求对邮箱进行安全验证,之后下载文档。这一切看似“正常”,实则若进行下载则邮箱账密会被窃取;部分诱饵文档看似属于内部文件,这表明可能已经存在账密被窃和其他形式的数据被窃的情况,建议有关部门引起重视。

微步在线点评:

“绿斑”即 GreenSpot,是疑似隶属于台湾情治机构的 APT 组织,该组织至少自2007年开始活跃,持续针对大陆政府、军事、科技、教育和海事机构等部门进行攻击,其攻击目的是窃取各种机密数据和进行情报活动。

2020年2月 | APT 组织 Hades 利用 COVID-19 对乌克兰展开攻击

2020年2月20日前后,APT 组织 Hades 利用新冠状病毒肺炎("Коронавірусна інфекція COVID-19.doc")作为诱饵,对乌克兰境内目标发起网络钓鱼攻击。在受害目标打开诱饵文档并启用宏之后,恶意文档会释放并执行远控后门,后门会收集用户名、机器名、网络适配器等信息,获取系统进程远程管理权限、键盘记录和远程桌面控制并将采集的情报信息回传,以此实现对攻击目标的远程控制和情报窃取目的。

此前,还曾发生数起 Hades 的攻击活动,攻击目标包括俄罗斯金融部门、欧洲和乌克兰的生物和化学威胁预防实验室等都是其瞄准的对象。综合关联历史攻击目标分析,Hades 攻击目标以金融、政府、科研为主,且具有较高的针对性。

微步在线点评:

Hades 组织目前尚未归因到具体国家,但结合对其历史攻击目标和本次攻击的情报信息的分析,判断本次目标很有可能还是乌克兰的生化科研机构。疫情期间,不少黑产和 APT 组织也借用疫情社会舆情展开攻击,微步在线建议用户提高安全防护意识,警惕来源不明或存在异常的文件。

参考链接:

https://www.anquanke.com/post/id/199621

2020年2月 | Kimsuky 组织借助“新型冠状病毒”话题传播木马文件

2020年2月28日,韩国安全厂商称发现了使用借助“2019新型冠状病毒”为话题的恶意邮件。分析发现,该恶意邮件于2020年2月26日发送至韩国基金会(Korea Foundation)华盛顿特区办公室的 KIM Min-Jeong,诱饵话题为“冠状病毒说明”,附件文档带有恶意宏,启动后会从一个被入侵的网站下载后续恶意代码,以实现对目标主机的信息收集、文件上传下载以及键盘记录等功能。通过比较恶意宏代码及后续下载脚本判断,此次攻击活动的发起者为 Kimsuky 组织。

微步在线点评:

Kimsuky 团伙最早于2013年由卡巴斯基曝光,是一个长期针对朝鲜政府发动网络间谍活动的黑客团伙。

参考链接:

https://blog.alyac.co.kr/2779

2020年3月 | “海莲花”利用疫情话题攻击我国政府机构

2020年3月5日,微步在线发布《越南国家背景APT组织“海莲花”利用疫情话题攻击我国政府机构》披露了“海莲花”利用疫情话题攻击我国政府的攻击活动。攻击者以“湖南省家禽 H5N1 亚型高致病性禽流感疫情情况”、“冠状病毒实时更新:中国正在追踪来自湖北的旅行者”等时事热点为诱饵进行鱼叉攻击,攻击活动或发生于今年2月;攻击者利用带数字签名的 WPS 文件,通过社会工程学诱导受害者点击执行,运行以后会通过侧加载方式装载恶意 DLL,释放诱饵文档并且在内存中加载 DenesRAT 木马;DenesRAT 木马具备文件操作、注册表读写、设置环境变量和远程执行代码等功能的后门,该后门被插入大量花指令用于对抗分析。此外,通过 C2 域名关联发现,“海莲花”此次攻击活动的目标或涉及我国某部委及武汉市多家政府机构,性质极为恶劣。

微步在线点评:

“海莲花”,又名 APT32 、OceanLotus,是越南背景的黑客组织。该组织至少自2012年开始活跃,长期针对中国能源相关行业、海事机构、海域建设部门、科研院所和航运企业等进行网络攻击。除中国外,“海莲花”的目标还包含全球的政府、军事机构和大型企业,以及本国的媒体、人权和公民社会等相关的组织和个人。

参考链接:

https://x.threatbook.cn/nodev4/vb4/article?threatInfoID=2527

2020年4月 | PoetRAT 以疫情话题为诱饵攻击阿塞拜疆公共和私营部门

Talos 披露了一起通过网络钓鱼电子邮件发起的网络间谍活动,邮件附带相关的恶意文档通过宏代码释放Python语言编写的后门程序,研究人员将其命名为 PoetRAT。早期的攻击活动使用模糊图片作为诱饵,图片中存在一个模糊后的印度国防部国防研究与开发组织 DRDO 徽标,目前没有任何证据表明攻击活动与印度有关系。在最新的攻击活动中,使用伪装成阿塞拜疆政府文件的俄文文档,并使用冠状病毒相关主题。研究表明,恶意软件是使用模仿阿塞拜疆某些政府域名的 URL 进行分发的,多次将阿塞拜疆的公共和私营部门作为攻击目标,尤其对能源部门与风力涡轮机相关的 SCADA 系统感兴趣。

PoetRAT 后门具备反沙箱能力,具备文件操作、信息收集、屏幕截图、注册表操作、命令执行等功能,窃密功能支持使用实时下发的FTP信息进行回传。此外,研究人员还发现了攻击人员使用的内网工具,包括 Dog(文件泄露工具)、Bewmac(摄像头采集工具)、Klog(键盘记录)、Browdec(浏览器凭证窃取)、voStro(Python Mimikatz)、Tre(用于使用文件/目录树创建文件的脚本)、WinPwnage(提权工具)、Nmap等。

微步在线点评:

此次攻击活动暂未和已知的 APT 组织关联起来,但攻击人员使用的内网工具主要是以窃取阿塞拜疆政府和能源机构的敏感信息为主,特别是能源行业中的 ICS 和 SCADA 系统,这值得警惕。

参考链接:https://blog.talosintelligence.com/2020/04/poetrat-covid-19-lures.html

2020年4月 | Gorgon 组织利用 COVID-19 对加拿大发动攻击

2020年4月,可疑的 Gorgon 组织样本被发现,经分析发现最新的 Payload 托管在 Gitlab 中。披露的钓鱼邮件内容取自加拿大政府官方网站上的有关 COVID-19 信贷政策,因此推测受害者主要分布在加拿大。恶意邮件附件是一个嵌入 Excel 对象的 RTF 文档,Excel 对象包含恶意宏代码,成功运行后,将执行注释中的内容并下载一个 PowerShell 加载程序。该程序运行后能够下载攻击者存储在 Gitlab 的恶意模块,包括远控软件、Lokibot 窃密软件、AZORult 窃密软件、Cryptojacking 木马等。Gorgon 是起源于南亚某国的黑客组织,长期从事针对各国政府,贸易和个人的攻击和秘密盗窃活动,自2018年被发现以来,对该组织的攻击一直非常活跃。

微步在线点评:

由于 COVID-19 疫情在全球爆发,越来越多的黑客团伙利用此热点作为网络攻击的突破点,政府及企业人员应提高对该类邮件的警惕性,切勿打开来源不可信的邮件附件。

参考链接:

https://blog.360totalsecurity.com/en/gorgon-uses-covid-19-outbreak-to-launch-cyber-attacks-on-canada-and-other-regions/

2020年5月 | 响尾蛇 APT 组织针对周边国家和地区的攻击活动

2020年4、5月间,微步在线威胁狩猎系统捕获到多个属于响尾蛇 APT 组织的定向攻击样本,原始投递载荷采用 LNK 文件形式。此类样本伪装为受害国家的军方抗击疫情战略、空军大学疫情期间网络在线课程政策等热点开展攻击。其攻击手法与微步在线2019年披露的“响尾蛇 APT 组织攻击他国驻华使馆”报告基本一致。C2 控制阶段均采用内存木马实现窃密监控的恶意目的。

微步在线点评:

响尾蛇组织(SideWinder)组织疑似来自印度,最早活跃可追溯到2012年,SideWinder 主要针对中国,以及巴基斯坦等南亚国家的军事目标进行定向攻击。

参考链接:

https://mp.weixin.qq.com/s/9LfElDbKCrQX1QzGFISFPw

2020年11月 | 巴西1600多万 COVID-19 患者的个人信息在网上曝光

2020年11月,巴西圣保罗阿尔伯特·爱因斯坦医院的一名员工在 GitHub 上传了一份包含用户名、密码和政府敏感系统访问密钥的电子表格,随后1600多万名巴西 COVID-19 患者的个人及健康信息被泄露到了网上。在被曝光的凭据系统中,有两个用于存储 COVID-19 患者数据的政府数据库 E-SUS-VE 和 Sivep-Gripe。E-SUS-VE 用于记录轻度症状的 COVID-19 患者,而 Sivep-Gripe 用于跟踪住院病例。这两个数据库包含患者姓名、地址、身份信息等敏感信息,还包含医疗记录,如病史和用药方案。一名 GitHub 用户发现了包含该医院员工个人 GitHub 账户密码的电子表格后,这起泄露事件曝光。巴西 Estadao 报的记者表示 ,巴西27个州的数据都包含在这两个数据库中,巴西总统雅伊尔·博索纳罗及其家人、7名政府部长和17位州长都受到泄露事件的影响。

微步在线点评:

近年来,数据泄漏问题越来越多。很多企业员工为了工作方便,使用一些开放的存储平台进行信息共享,安全意识匮乏。这为网络攻击提供了很多便利,导致了多起信息泄漏事件的发生。企业在保证工作便利的同时也要加强网络安全管理及员工安全意识培训,同时引入威胁情报和外部威胁监控技术,加强企业的网络安全。

参考链接:

https://www.zdnet.com/article/personal-data-of-16-million-brazilian-covid-19-patients-exposed-online/

2020年12月 | 黑客瞄准 COVID-19 疫苗冷链组织发起网络钓鱼攻击

IBM 网络安全部门表示,黑客针对 COVID-19 疫苗冷链相关的存储和运输公司展开鱼叉式钓鱼邮件攻击,试图收集攻击目标的内部电子邮件和应用程序的凭据。攻击目标覆盖各种企业、部门和政府组织,包括欧盟委员会的税务与关税联盟总局、一家生产太阳能疫苗运输冰箱太阳能电池板的公司和一家生产干冰(也用于疫苗运输)的石化公司。此外,黑客还攻击了一家为疫苗供应链企业制作网站的德国 IT 公司。IBM 称,攻击者专门针对每家公司的特定高管,通常是从事疫苗冷链支持工作的销售、采购、IT 和财务人员。

微步在线点评:

疫情仍困扰着全世界的人们,部分国家使用了各种攻击手段来获取疫苗研发的各种信息和资料。医疗和科研部门在这种特殊时期尤其应该加强自身的网络安全防御能力,可以引入威胁情报技术等多种手段进行防御,并且还应提醒员工,在预防新冠病毒的同时也要注意防止来自网络的攻击。

参考链接:

https://www.zdnet.com/article/mysterious-phishing-campaign-targets-organizations-in-covid-19-vaccine-cold-chain/

更多推荐:2020重大网络安全事件盘点 · 金融篇 2020重大网络安全事件盘点 · 能源篇 2020重大网络安全事件盘点 · 互联网篇 2020重大网络安全事件盘点 · 工控篇 2020重大网络安全事件盘点 · 政府篇 2020重大网络安全事件盘点 · 医疗&教育篇

  • 发表于 2022-12-14 12:24:50
  • 阅读 ( 253 )
  • 分类:科技

0 条评论

请先 登录 后评论
李额
李额

536 篇文章

你可能感兴趣的文章

相关问题