作者:360 A-TEAM
公眾號:360安全監測與響應中心
APT37
目標:日韓/中東/越南 =》航空航天/教育/金融/政務/醫療等機構.
描述:
- 從2012年開始活動,針對日韓/中東/越南進行滲透。
- 前期釣魚:
- 黑掉一個知名機構,然後以該機構郵箱作為發送方投遞釣魚郵件.
- 郵件中使用office或hwp中的0day和剛公開不久的nday.
- 數據提取:
- 通過dropbox的api上傳敏感數據,過流控設備的檢查.
APT34
目標:中東地區金融 能源 政務 化工行業
描述:
- 從14年開始活動,常用魚叉式釣魚方案進行前期打點.
- 樣本使用最新的office nday.
- 通過powershell寫計劃任務做權限維持.
- 通過DGA域名與c2通訊.
APT33
目標:美國/沙特阿拉伯/韓國等國家的航空航天及能源行業
描述:
- 從13年開始活動
- 採取郵件釣魚的方案獲取初次訪問權限.
- 樣本採用hta + powershell等技術.
- 上線域名根據目標行業定製.
- 樣本里未去除pdb路徑,泄漏木馬開發者id,根據id關聯到伊朗網軍.
APT32
目標:越南境內外資企業. 包括但不局限於銀行/媒體/製造業
描述:
- 常用魚叉式釣魚方案獲取初次訪問權限。
- 郵件內用社會工程學的方式誘導用戶啟用word宏.
- 以計劃任務的方式實現權限維持.
- 以msf+cs進行后滲透.
APT30
目標:東南亞
描述:
- 從2004年開始活動
- 05年開始嘗試感染可移動設備突破隔離網.
APT29
目標:西歐政府外交部
描述:
- 初次權限獲取方案:
- 郵件釣魚,內嵌lnk或宏
- C2通訊:
- 利用攻陷的web站當前置機,ssl加密
- 持久化方案:
- Wmi事件訂閱
- 計劃任務
- 數據提取方案:
- 將數據加密放在圖片里
- 將圖片上傳到社交媒體或者雲廠商
APT28
目標:高加索/ 東歐 / 美國
描述:
- 採用flash或者windows的0day獲取初次訪問權限
- C2通訊:https
APT19
目標:投資和法務相關的機構
描述:
- 採用釣魚郵件方式獲取初次訪問權限:
- CVE 2017-0199.
- 宏
- C2 :cobalt strike
- 通訊:http
APT18
目標: 航空/國防/建築/教育/健康/生物/高科技/運營商/交通等行業
描述:
- 遠控:Gh0st
- 採用HackingTeam泄漏的flash 0day獲取初次訪問權限。
APT17
目標:美國政府/國際律師事務所/信息技術公司
描述:
- C2通信:用微軟的TechNet blog通訊.
APT16
目標:日本和台灣的高科技/政務服務/媒體和金融行業
描述:
- 採取釣魚郵件的方案獲取初次訪問權限。
- 階段性的payload放置在被攻陷的高信譽域名服務器上。
- 寫入用戶啟動目錄做權限維持。
APT12
目標:新聞/政府/國防工業
描述:
- 採用被攻陷的郵箱發送釣魚郵件獲取初次訪問權限.
- c2通信:http協議.
APT10
目標:美國歐洲日本的的建築工程/航空/運營商/政府行業
描述:
- 通過釣魚郵件獲取初次訪問權限:
- 宏/exe
- 附件加密過郵件網關.
- C2通信:http協議
APT3
目標:航空航天/國防/建築工程/高科技/運營商/交通等行業.
描述:
- 初次權限獲取:
- 瀏覽器0day . 如firefox/ie
- 釣魚郵件
- 通過添加計劃任務做權限維持
- 木馬走socks與c2通訊
APT1
目標: 信息技術/航空航天/公共管理/衛星通訊/科學研究及諮詢/能源/交通/建築製造/高科技電子/媒體/廣告娛樂/導航/化學/金融服務/農業食品/健康/教育等行業.
描述:
- 有語言學家/開源研究人員/惡意軟件作者/目標行業的業界專家的支持.
- 常用魚叉攻擊的方式獲取初次訪問權限.
- 初期採用http方式與c2通訊.
海蓮花
目標:中國政府/科研所/海事機構/海域建設/航運等企業
描述:
- 通過釣魚郵件和水坑攻擊獲得初次訪問權限.
- C2是cs,採用http協議上線。
- 偽造http頭裡的host欺騙ids,通過cookie字段進行指令傳輸.
目標:中國政務/科研/海事機構
描述:
- 通過釣魚郵件獲取初次訪問權限.
- 附加包含nday. 觸發流程:
- 釋放sct和shellcode -》加載遠端vbs -〉解密shellcode文件並執行-》釋放pe文件並加載 -〉 從資源里釋放通訊模塊.
- 木馬通過dns協議與c2通訊.
描述:
- 通過釣魚郵件獲取初次訪問權限
- 郵件內樣本採用0day執行命令.
- 遍歷system32目錄,搜索vmGuestLibJava文件,判斷是否為虛擬機
- 寫入計劃任務做權限維持
- 利用McAfee mcods.exe加載惡意dll執行shellcode
- 橫向移動中通過msbuild執行命令
Operation Oceansalt
目標:
韓國公共基礎設施/合作基金/高等教育.
北美金融/醫療/電信/農業/工業/政府
描述:
- 採取釣魚郵件方案獲取初次訪問權限. 附件為xsl內嵌宏
dark hotel
目標:中國政務/科研
描述:
- 採用釣魚歐郵件獲取初次訪問權限.
- 誘餌格式 xxx.jpg.scr
- 釋放兩張正常圖片到temp目錄
- mspain打開A圖片
- 讀取B圖片里的隱寫數據,生成lnk文件到temp目錄
- 執行lnk -> powershell ->下載exe執行
- 清理lnk及隱寫圖片
- 木馬通訊採用OpenSSL協議
- Api動態調用
- 殺軟/沙箱/虛擬機檢測
目標 :中日韓俄的國防/電子等機構
描述:
- doc釋放chrome組件和惡意dll
- 執行chrome加載惡意dll
- 解密並執行poweershell->下載惡意dll2
- 通過cliconfg.exe執行惡意dll2
- bypassuac寫服務做權限維持
描述:
- 通過office 0day獲取初次訪問權限.
- 樣本流程:
- office觸發漏洞
- 釋放惡意dll文件
- 通過mmc.exe bypass uac.
- mmc進程啟動後會加載惡意dll文件.
- 從遠端下載shellcode並執行
美人魚
目標:丹麥
描述:
- 採取水坑/魚叉攻擊獲取初次訪問權限
- ppt內嵌ole
- 水坑攻擊中的樣本為自解壓文件
- 寫註冊表做權限維持
人面獅
目標:以色列國防軍/海軍
描述:
- 採用社交網絡水坑攻擊獲取初次訪問權限.
- 木馬以dll形式存在,注入到explorer.exe
- 通訊模塊注入到瀏覽器進程,採用http協議與c2通訊
- 竊取文件模塊注入到殺毒軟件進程
摩訶草
目標:中國/巴基斯坦的軍事/科研/政務/商業機構
描述:
- 主要採取水坑/魚叉攻擊獲取初次訪問權限.
- 附件包含0day
- 附件為exe/scr/dll (dll文件通過正常帶簽名的exe程序啟動)
- 瀏覽器nday /釣魚網址
- 通過入侵第三方論壇,寫入c2通訊ip
- 通過寫註冊表啟動項做權限維持
目標:中國/巴基斯坦的教育/軍工/科研/政務
描述:
- 採取郵件釣魚獲得初次訪問權限.
- dropper js -》 解密並生成新的js -〉 執行ps -》 bypassuac – 〉釋放dll並加載.
- 通過http協議與c2通訊
目標: 中國/巴基斯坦的政務/教育機構
描述:
-
通過釣魚郵件獲取初次訪問權限.
- :: doc(cve-2017-8570) – 》 sct -〉c# dropper ->釋放Microsoft.Win32.TaskScheduler.dll -》添加計劃任務
雙尾蠍
目標:巴基斯坦教育機構/軍事機構
描述:
- 通過魚叉和水坑攻擊獲取初次訪問權限
- 魚叉郵件附件為exe/scr
- 通過註冊表啟動項做權限維持
Fub7
目標: 美國金融機構
描述:
- 通過魚叉攻擊採取初次訪問權限.
- 釣魚文檔中, 插入模糊圖片,將OLE對象透明放置在模糊圖片之上,用戶雙擊放大圖片則觸發.
- pe格式的文件採用ads數據流隱藏保存
- 木馬編碼后寫入到註冊表,啟動時由powershell讀出動態執行.
- 64個c2隨機選擇
- 採用dns協議與c2通訊.
- 通過計劃任務與註冊表啟動項做權限維持.
Gaza cybergang
描述:
- 通過郵件釣魚方式獲取初次訪問權限.
- 附件用office nday執行命令.
- 執行鏈: office -> ole download hta -> mshta load hta -> powershell download pe – > create thread load pe
- 採用dns/http/smb/tcp等方式與c2通訊
- C2為cobalt strike
黃金鼠
目標: 敘利亞反導彈系統
描述:
- 通過水坑攻擊獲取初次訪問權限.
蔓靈花
描述:
- 偽造域名獲得指定人員賬戶密碼.
- 以該賬戶向其他人發送木馬.
- :: 自解壓程序- > 釋放doc並啟動 -> 打開exe -》 判斷殺軟- > 寫註冊表做權限維持 -> 執行惡意代碼.
- 採用http協議與c2通訊.
描述:
目標:巴基斯坦
- 通過郵件釣魚獲取初次訪問權限
- 郵件內樣本採用文字處理軟件的0day執行任意命令
- 下載exe / 寫註冊表做權限維持
- 釋放dll文件/ dll內釋放正常的文本
- 通過select * from win32_computersystem檢測虛擬機
- 寫用戶啟動目錄,做第二套權限維持方案
APT-C-01
目標:中國政務/科技/教育/國防等機構
描述:
- 通過魚叉攻擊獲取初次訪問權限.
- 附件內doc利用漏洞來執行命令.
- 下載hta
- 執行powershell-》下載pe文件
- pe下載遠程shellcode解密並執行
hacking team 01
目標:卡塔爾地區
樣本流程:
- 含有flash activex對象的excel文件落地
- 加載遠程flash文件
- 從遠程服務器下載aes加密的flash 0day文件
- 獲取密鑰解密flash 0day文件
- 觸發漏洞,獲得執行任意命令的權限
- 獲取shellcode並執行
藍寶菇
目標:中國政務/軍工/科研/金融等機構
描述:
- 採取魚叉攻擊獲取初次訪問權限.
- 雲附件bypass郵件網關
- 感染開始菜單內所有快捷方式,實現權限維持
描述:
- 通過魚叉攻擊獲取初次訪問權限
- 雲附件bypass郵件網關
- 樣本採用lnk執行ps反彈shell
- 從lnk尾部讀取數據.
- 釋放doc並運行
- 執行shellcode
- 感染其他lnk做權限維持
- 用aws雲服務拖文件
描述:
- 採取魚叉攻擊獲取初次訪問權限
- 寫註冊表做互斥
- 用SAE做前置機
APT-C-35
目標:巴基斯坦等南亞地區國家
描述:
- 通過魚叉攻擊獲取初次訪問權限.
- 樣本採用nday漏洞獲得執行命令的權限.
- 釋放setup.exe到臨時目錄
- 執行setup.exe添加計劃任務做權限維持.
- 從goodle docs獲得c2 ip
- 樣本採用http協議於c2通訊.
目標:對在華巴基斯坦商務人士的定向攻擊
描述:
- xsl宏釋放惡意pe文件
- 啟動pe文件->下載bat並執行
- 寫啟動項實現權限維持
- 採用http協議與c2通訊
毒雲藤
目標: 中國國防/政務/軍工/科研/教育/海事等機構
描述:
- 主要通過魚叉攻擊獲取初次訪問權限.
- 郵件攜帶office0day或者二進制可執行文件
- 二進制樣本:
- RIO隱藏文檔擴展名
- 刪除註冊表內office打開的文檔信息
- 通過網盤做文件回傳(利用高信譽域名bypass 流控設備)
- api動態調用bypass殺軟靜態掃描
- 錯誤調用api bypass沙盒
group123
目標:韓國
描述:
- 通過魚叉攻擊獲取初次訪問權限
- 樣本採用hwp 0day獲取命令執行權限.
- 寫bat到用戶啟動目錄實現權限維持.
- 啟動system32/sort.exe,注入shellcode執行
- 反調試
- 檢查沙箱
- 通過dropbox /pcloud之類的網盤迴傳數據
未命名
目標:巴基斯坦
描述:
- 通過釣魚郵件獲取初次訪問權限.
- 附件用office 0day執行命令+windows 0day提權
- 採用http協議與c2通訊.
- 寫註冊表啟動項做權限維持
未知
目標:烏克蘭
- 採用郵件釣魚獲取初次訪問權限
- 附件內觸發0day執行命令
- 釋放惡意pe文件並執行
- 檢測殺軟
- 檢測windows defender ;Select * from Win32_Service WhereName =’WinDefend’AND StateLIKE’Running
- 寫計劃任務做權限維持
- 走http協議與c2通訊
转载请注明:IAMCOOL » APT 相關活動思路和技術提煉