2018年全球十大APT攻击事件盘点

2018年8月15日，网络安全公司趋势科技公开了其在今年7月捕获到的一例在野0day漏洞攻击，经过分析对比发现该0day漏洞和2018年4月360公司首次发现影响IE浏览器并通过Office文档进行攻击的“双杀”漏洞使用了多个相同的攻击技术，极有可能是同一团伙所为。

并且早在2018年2月中旬，360威胁情报中心就跟踪发现了DarkHotel APT团伙使用相同的恶意代码的定向攻击活动，并且结合威胁情报数据挖掘到了该团伙更多的样本，对该团伙近年来使用的多个版本的恶意代码进行了分析对比，梳理了样本演化过程。

9. 疑似APT33使用Shamoon V3针对中东地区能源企业的定向攻击事件

危害程度 ★★★★

攻击频度 ★★

攻击技术 ★★★

事件时间：2018年12月发现

攻击组织：疑似APT33

受害目标：中东和欧洲的石油和天然气公司

相关攻击武器：Shamoon V3

相关漏洞：无

攻击入口：鱼叉邮件攻击

主要攻击战术技术：

使用随机生成的数据覆盖系统上的MBR、分区和文件

恶意文件的文件描述模仿合法的产品名称

安全人员于今年12月在VirusTotal上发现了新版本的Shamoon恶意代码，其使用随机生成的数据覆盖系统上的MBR，分区和文件。本次攻击活动可能主要针对欧洲和中东的石油、天然气公司。

随后，国外安全厂商McAfee对Shamoon攻击所使用的新的工具集进行分析，并认为新的Shamoon版本作为其攻击工具集的一部分，其还包括一个.Net开发的攻击工具。McAfee指出该攻击活动可能与APT33有关。而后续FireEye对 APT33组织近期的攻击活动与Shamoon攻击的联系也进行了分析说明。

10.Slingshot：一个复杂的网络间谍活动

危害程度 ★★★★

攻击频度 ★★

攻击技术 ★★★★★

事件时间：2012至2018年2月

攻击组织：疑似针对伊斯兰国和基地组织成员

受害目标：非洲和中东各国的路由器设备

相关攻击武器：自制的攻击武器

相关漏洞：CVE-2007-5633、CVE-2010-1592、CVE-2009-0824

攻击入口：可能通过Windows漏洞利用或已感染的Mikrotik路由器

主要攻击战术技术：

初始loader程序将合法的Windows库'scesrv.dll'替换为具有完全相同大小的恶意文件

包括内核层的加载器和网络嗅探模块，自定义的文件系统模块

可能通过Windows漏洞利用或已感染的Mikrotik路由器获得受害目标的初始控制权。

Slingshot是由卡巴斯基在今年早些发现和披露的网络间谍活动，并且披露其是一个新的、高度复杂的攻击平台的一部分，其在复杂度上可以与Project Sauron和Regin相媲美。

而后续，外媒对该曝光的活动也进行了报道。其中披露该攻击活动可能与美国联合特种作战司令部(JSOC)进行的一项军事计划有关，用于帮助军方和情报界通过感染受害目标常用的计算机收集有关恐怖分子的信息。

卡巴斯基披露Slingshot至少影响了约100名受害者，主要分布于非洲和中东地区国家(如阿富汗、伊拉克、肯尼亚、苏丹、索马里、土耳其等)。其同时针对Windows和Mikrotik路由器平台实施持久性的攻击植入。

总结

通过360威胁情报中心整理的2018年十大APT攻击事件，我们可以总结出以下一些观点：

工业制造业以及国家基础建设相关的行业和机构越来越多的成为APT组织的直接攻击目标，比如针对乌克兰路由器等IOT设备的VPNFilter恶意代码攻击和针对中东地区能源企业的定向攻击事件

APT组织通过不断变换攻击方式和更多的0day漏洞来尝试突破目标的安全防护。比如被利用的多个IE 0day双杀漏洞、针对小众的InPage文字处理软件漏洞、针对路由器的漏洞攻击、躲避邮件或终端杀毒软件检测的Office模板注入攻击等

多个著名的APT团伙在2018年非常活跃，被国内外多个安全研究机构、安全厂商所披露。比如针对欧洲、北美地区进行频繁攻击的APT28，针对东南亚地区持续进行定向攻击的海莲花、蔓灵花等APT组织

参考链接

[1].https://www.welivesecurity.com/2018/09/27/lojax-first-uefi-rootkit-found-wild-courtesy-sednit-group/

[2].https://www.securityweek.com/russia-hacked-olympics-computers-turned-blame-north-korea-report

[3].https://www.justice.gov/opa/press-release/file/1092091/download

[4].https://www.fireeye.com/blog/threat-research/2018/12/overruled-containing-a-potentially-destructive-adversary.html

[5].https://www.fireeye.com/blog/threat-research/2018/10/apt38-details-on-new-north-korean-regime-backed-threat-group.html

[6].https://www.cyberscoop.com/kaspersky-slingshot-isis-operation-socom-five-eyes/

[7].https://www.bleepingcomputer.com/news/security/ukraine-says-it-stopped-a-vpnfilter-attack-on-a-chlorine-distillation-station/

[8].https://unit42.paloaltonetworks.com/dear-joohn-sofacy-groups-global-campaign/

[9].https://twitter.com/360TIC/status/1078908533125443584

[10].https://ti.360.net/uploads/2018/07/05/5fc9c36b4cb81d4281599f0d3416931a.pdf

[11].https://ti.360.net/blog/articles/oceanlotus-with-cve-2017-8570/

[12].https://ti.360.net/blog/articles/oceanlotus-targets-chinese-university/

[13].https://ti.360.net/blog/articles/latest-sample-and-c2-mechanism-of-apt-c-12/

[14].https://ti.360.net/blog/articles/details-of-apt-c-12-of-operation-nuclearcrisis/

[15].https://ti.360.net/blog/articles/analyzing-attack-of-cve-2018-8373-and-darkhotel/

[16].https://ti.360.net/blog/articles/analysis-of-targeted-attack-against-pakistan-by-exploiting-inpage-vulnerability-and-related-apt-groups/

[17].https://ti.360.net/blog/articles/analysis-of-darkhotel/

[18].https://ti.360.net/blog/articles/analysis-of-apt-campaign-bitter/

[19].https://securityaffairs.co/wordpress/72851/apt/vpnfilter-botnet-doj.html

[20].https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/shamoon-attackers-employ-new-tool-kit-to-wipe-infected-systems/

[21].https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/malicious-document-targets-pyeongchang-olympics/

[22].https://securelist.com/threats-in-the-netherlands/88185/

[23].https://securelist.com/apt-slingshot/84312/

[24].https://blog.talosintelligence.com/2018/05/VPNFilter.html

（编辑：济源站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!