2018年全球十大APT攻击事件盘点

前言

APT攻击(Advanced Persistent Threat，高级持续性威胁)是利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。

360威胁情报中心结合2018年全年国内外各个安全研究机构、安全厂商披露的重大APT攻击事件，以及近几年来披露的高级持续性威胁活动信息，并基于这些重大APT攻击事件的危害程度、攻击频度、攻击技术等，评选出2018年全球十大APT攻击事件。

2018年全球十大APT攻击事件

360威胁情报中心将基于每个APT攻击事件的背景信息、攻击组织、相关TTP(战术、技术、过程)进行描述，带你一起回顾这些重大攻击事件。

1. 韩国平昌冬奥会APT攻击事件

危害程度 ★★★

攻击频度 ★★

攻击技术 ★★★

事件时间：韩国平昌奥运会期间，首次活动于2017年12月22日

攻击组织：Hades

受害目标：韩国平昌奥运会举办方

相关攻击武器：Olympic Destroyer

相关漏洞：无

攻击入口：鱼叉邮件攻击

主要攻击战术技术：

鱼叉邮件投递内嵌恶意宏的Word文档

利用PowerShell实现的图片隐写技术，其使用开源工具Invoke-PSImage实现

利用失陷网站用于攻击载荷的分发和控制回传

伪装成韩国国家反恐中心(NCTC)的电子邮件地址发送鱼叉邮件，以及注册伪装成韩国农业和林业部的恶意域名

韩国平昌冬奥会APT攻击事件是由McAfee在今年伊始公开披露的APT事件，据相关新闻报道，其导致了奥运会网站的宕机和网络中断。卡巴斯基将该事件背后的攻击组织命名为Hades。

韩国冬奥会攻击事件最为疑惑的是其攻击者的归属问题，并至今仍未有定论。在事件中使用的植入载荷Olympic Destroyer，其用于破坏文件数据的相关代码与过去Lazarus使用的载荷有部分相似，而美国部份媒体则声称该事件为俄罗斯情报机构实施并嫁祸给朝鲜。

该事件再一次展现了APT攻击者利用和模仿其他组织的攻击技术和手法特点，制造false flag以迷惑安全人员并误导其做出错误的攻击来源归属的判断，而似乎制造false flag是Hades组织惯用的攻击手法。

2. VPNFilter：针对乌克兰IOT设备的恶意代码攻击事件

危害程度 ★★★★★

攻击频度 ★★★★

攻击技术 ★★★★

事件时间：最早从2016年开始，2018年5月首次披露

攻击组织：疑似APT28

受害目标：主要为乌克兰

相关攻击武器：VPNFilter

相关漏洞：针对IOT设备的多种漏洞

攻击入口：利用IOT设备漏洞远程获得初始控制权

主要攻击战术技术：

使用多阶段的载荷植入，不同阶段载荷功能模块实现不同

使用针对多种型号IOT设备的公开漏洞利用技术和默认访问凭据获得对设备的控制权

实现包括：数据包嗅探、窃取网站登录凭据、以及监控Modbus SCADA工控协议

针对多种CPU架构编译和执行

使用Tor或SSL加密协议进行C2通信

VPNFilter事件是2018年最为严重的针对IOT设备的攻击事件之一，并且实施该事件的攻击者疑似具有国家背景。美国司法部在后续也声称该事件与APT28组织有关。

通过Cisco Talos的披露，该事件影响了至少全球54个国家和地区的50W设备，包括常用的小型路由器型号(例如Linksys，MikroTik，NETGEAR和TP-Link)、NAS设备等。

VPNFilter恶意代码被制作成包含复杂而丰富的功能模块，实现多阶段的攻击利用，并被编译成支持多种CPU架构，使用已知公开的漏洞利用技术获得控制权。

乌克兰特勤局(SBU)后续也公开披露其发现VPNFilter对其国内的氯气蒸馏站的攻击。

3. APT28针对欧洲、北美地区的一系列定向攻击事件

危害程度 ★★★★

攻击频度 ★★★★

攻击技术 ★★★★★

事件时间：贯穿整个2018年

攻击组织：APT28

受害目标：北美、欧洲、前苏联国家的政府组织

相关攻击武器：Cannon、Zebrocy等

相关漏洞：Office文档模板注入、疑似Lojack软件缺陷或0day漏洞

攻击入口：鱼叉邮件、Office模板注入

主要攻击战术技术：

鱼叉邮件发送使用了Office模板注入攻击技术的恶意文档

远程注入恶意宏代码并执行

释放Delphi版的Cannon和.Net和C#等多个语言版本的Zebrocy木马进行远程控制

以及针对LoJack计算机防盗软件植入UEFI rootkit木马程序，实现重装系统及更换硬盘都无法消除的持久化远程控制

APT28组织在整个2018年频繁利用Office模板注入远程宏文档的攻击技术对包括北美国家的外交事务组织、欧洲国家的外交事务组织以及前苏联国家的政府实体进行定向攻击。这些攻击的攻击媒介都是通过鱼叉式网络钓鱼，使用注册到免费电子邮件提供商Seznam的电子邮件帐户，Seznam是一家位于捷克共和国的热门网络服务提供商，并且该攻击大部分文档都包含作者名Joohn。

在2018年9月，ESET还发现APT28组织使用UEFI rootkit针对巴尔干半岛及中欧和东欧的政府组织进行定向攻击的活动。

4. 蓝宝菇APT组织针对中国的一系列定向攻击事件

危害程度 ★★★★

攻击频度 ★★★

攻击技术 ★★★

事件时间：2018年4月(首次攻击时间为2011年)

攻击组织： 蓝宝菇(BlueMushroom)

受害目标：中国政府、军工、科研、金融等重点单位和部门

相关攻击武器：PowerShell后门

相关漏洞：无

攻击入口：鱼叉邮件和水坑攻击

主要攻击战术技术：

鱼叉邮件投递内嵌PowerShell脚本的LNK文件，并利用邮件服务器的云附件方式进行投递

当受害者被诱导点击恶意LNK文件后，会执行LNK文件所指向的PowerShell命令，进而提取出LNK文件中的其他诱导文件、持久化后门和PowerShell后门脚本。PowerShell后门会通过对受害者的电脑中的特定格式文件进行打包并上传到第三方云空间(如：亚马逊云，新浪云等)

从网络上接受新的PowerShell后门代码执行，从而躲避了一些杀软的查杀

（编辑：济源站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!