2018年全球十大APT攻击事件盘点

发布时间：2019-01-29 17:11:15 所属栏目：评论来源：360威胁情报中心

导读：前言 APT攻击(Advanced Persistent Threat，高级持续性威胁)是利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。 360威胁情报中心结合2018年全年国内外各个安全研究机构、安全厂商披露的重大APT攻击事件，以及近几年来披露的高级持续性威胁

“蓝宝菇”APT组织在2018年对我国的政府、军工、科研、金融等重点单位和部门都发起了多次针对性攻击，攻击的技术以及手法也有所升级。从以往的PE木马升级到现在的非PE的脚本后门，以及采用云空间、云附件的手法接收回传的资料信息等都反映了蓝宝菇APT组织在攻击技术方面的更新。从近期360威胁情报中心监控到的攻击事件来看，未来蓝宝菇APT组织都会大量的使用PowerShell脚本等非PE后门来替代原有的PE木马数字武器。

2018年全球十大APT攻击事件盘点

5. 海莲花APT组织针对我国和东南亚地区的定向攻击事件

危害程度 ★★★★

攻击频度 ★★★★★

攻击技术 ★★★

事件时间：2018年全年(首次攻击时间为2012年)

攻击组织：海莲花(OceanLotus)

受害目标：东南亚国家、中国及其相关科研院所、海事机构、航运企业等

相关攻击武器：Denis家族木马、Cobalt Strike、CACTUSTORCH框架木马

相关漏洞：微软Office漏洞、MikroTik路由器漏洞、永恒之蓝漏洞

攻击入口：鱼叉邮件和水坑攻击

主要攻击战术技术：

鱼叉邮件投递内嵌恶意宏的Word文件、HTA文件、快捷方式文件、SFX自解压文件、捆绑后的文档图标的可执行文件等

入侵成功后通过一些内网渗透工具扫描渗透内网并横向移动，入侵重要服务器，植入Denis家族木马进行持久化控制

通过横向移动和渗透拿到域控或者重要的服务器权限，通过对这些重要机器的控制来设置水坑、利用第三方工具并辅助渗透

横向移动过程中还会使用一些逃避杀软检测的技术：包括白利用技术、PowerShell混淆技术等

“海莲花”APT 组织在2018年全年频繁的针对我国及东南亚国家进行持续的针对性攻击，比如针对柬埔寨和菲律宾的新的攻击活动，并且疑似利用了路由器的漏洞实施远程渗透。相关漏洞首次公开是由维基解密披露的CIA Vault7项目资料中提及并由国外安全研究人员发布了相关攻击利用代码。并且“海莲花”在2018年的攻击活动中使用了更加多样化的载荷投放形式，并使用多种白利用技术加载其恶意模块。

6. 蔓灵花APT组织针对中国、巴基斯坦的一系列定向攻击事件

危害程度 ★★★

攻击频度 ★★★★

攻击技术 ★★★

事件时间：2018年初

攻击组织：蔓灵花(BITTER)

受害目标：中国、巴基斯坦

相关攻击武器：“蔓灵花”特有的后门程序

相关漏洞：InPage文字处理软件漏洞CVE-2017-12824、微软公式编辑器漏洞等

攻击入口：鱼叉邮件攻击

主要攻击战术技术：

鱼叉邮件投递内嵌Inpage漏洞利用文档、微软公式编辑器漏洞利用文档、伪造成文档/图片的可执行文件等

触发漏洞后释放/下载执行恶意木马，与C2保持通信，并根据C2返回的命令下载指定插件执行

下载执行多种远控插件进行远程控制

“蔓灵花”APT组织在2018年利用InPage文档处理软件漏洞、微软公式编辑器漏洞、伪造文档图标的可执行文件等攻击手法，针对中国、巴基斯坦重要组织机构和人员多次发起定向攻击。多次攻击活动表明，蔓灵花习惯攻陷巴基斯坦政府网站用于下发后续木马，比如在11月针对巴基斯坦的攻击活动中，后续木马下发地址为：fst.gov.pk/images/winsvc，而fst.gov.pk则是巴基斯坦政府的相关网站。

并且在2018年11月左右针对巴基斯坦的攻击中使用了大量InPage漏洞利用文档进行攻击。而InPage则是一个专门针对乌尔都语使用者(巴基斯坦国语)设计的文字处理软件。

2018年全球十大APT攻击事件盘点

7. APT38针对全球范围金融机构的攻击事件

危害程度 ★★★★★

攻击频度 ★★★★

攻击技术 ★★★★

事件时间：最早于2014年，持续活跃至今

攻击组织：APT38

受害目标：金融机构，银行，ATM，SWIFT

相关攻击武器：多种自制恶意程序