作者:360威脅情報中心
公眾號:https://mp.weixin.qq.com/s/sSuTHTLfqAGfaBbopU8yEQ
PDF下載:https://ti.360.net/uploads/2019/01/02/56e5630023fe905b2a8f511e24d9b84a.pdf
序 言
Threat Actor(即攻擊者),在威脅情報中用於描述實施網絡攻擊威脅的個人、團伙或組織以達到其惡意的動機和意圖。
攻擊者,是為了標記對實施網絡威脅攻擊的人、團伙或者組織而建立的虛擬實體。通常將攻擊者或其實施的攻擊行動賦予獨有的代號,以便於從廣泛的攻擊活動中識別、區分歸屬於該攻擊來源相關的並進行持續性的威脅活動跟蹤。以攻擊者的維度持續跟蹤威脅活動,持續完善攻擊者畫像的拼圖,能夠更好的完成挖掘威脅攻擊背後的動機,追溯攻擊真實的來源,研究攻擊技術的演變,提供更有效的安全防禦策略。
結合2018年全年國內外各個安全研究機構、安全廠商披露的威脅活動,以及近幾年來歷史披露的高級持續性威脅活動,通常APT組織和網絡犯罪組織的威脅尤為關注,其往往能夠對行業、企業和機構造成更嚴重的影響,並且更加難於發現和防禦。
APT組織,通常具有國家或情報機構背景,或者專門實施網絡間諜活動,其攻擊動機主要是長久性的情報刺探、收集和監控,也會實施如牟利和破壞為意圖的攻擊威脅。APT組織主要攻擊的目標包括政府、軍隊、外交、國防外,也覆蓋科研、能源以及國家基礎設施性質的行業和產業。
網絡犯罪組織主要以牟取經濟利益而實施攻擊活動,近年來,數個活躍的網絡犯罪組織也呈現出明確的組織化特點,並且使用其自身特色的攻擊工具和戰術技術。網絡犯罪組織對於如金融、銀行、電子商務、餐飲零售等行業帶來了巨大的資金損失和業務安全風險。
本報告是360威脅情報中心基於收集的公開威脅情報和內部產生的威脅情報數據,對2018年全年高級持續性威脅相關研究的總結報告,主要內容分成三個部分:
-
高級持續性威脅背後的攻擊者
結合全年國內外各個安全研究機構、安全廠商披露的高級威脅活動報告內容的統計分析,對2018年高級威脅類攻擊態勢進行總結。
-
針對中國境內的APT組織和威脅
基於360威脅情報中心內部對多個針對中國境內的APT組織持續跟蹤,包括海蓮花、摩訶草、Darkhotel、藍寶菇、毒雲藤等組織都在2018年對中國境內目標機構和人員頻繁實施攻擊活動,這裡對上述組織相關攻擊活動進行回顧。
-
APT威脅的現狀和挑戰
最後總結APT威脅的現狀和應對APT威脅所面臨的挑戰,並對APT威脅的變化趨勢進行合理的預測。
主要觀點
網絡間諜活動變得更加普遍化,這對高級持續性威脅活動的持續跟蹤帶來一些挑戰。我們需要更加明確的區分和識別高級持續性威脅攻擊,以及能夠明確來源歸屬的攻擊組織。而對於不能明確歸屬的APT威脅,需要依賴於持續的威脅跟蹤和更多的數據證據佐證。
APT威脅的歸屬問題正在變得更加明顯,其原因可能包括攻擊者不斷變化的攻擊武器和使用更加匿名化的控制基礎設施,以及引入的false flag或刻意模仿的攻擊戰術技術,一些成熟而完善的公開滲透工具給攻擊者帶來了更好的選擇。
2018年,360公開披露了兩個新的針對中國境內的APT組織,以及多個針對中國境內頻繁的APT威脅活動,可以看到隨着我國在國際形勢中的日益發展,地緣政治、外交形勢等立場下高級持續性威脅將變得更加嚴峻。
2018年多次曝光的在野0 day攻擊的發現,展現了APT攻擊者的技術能力儲備和提升,威脅的攻擊和防禦變得更加白熱化,APT威脅的防禦和響應的時效性變得尤為重要。
威脅攻擊者也在發掘一些新的攻擊方式,也包括使用了部分“陳舊而古老”的技術特性,繞過或逃避威脅檢測機制從而實施攻擊,結合目標人員的安全意識弱點往往也能夠取得不錯的攻擊效果。
摘要
360威脅情報中心在2018年監測到的高級持續性威脅相關公開報告總共478篇,其中下半年報告披露的頻次和數量明顯高於上半年。從公開報告的發布渠道統計來看,2018年國內安全廠商加大了對高級威脅攻擊事件及相關攻擊者的披露頻率,其中360來源披露的高級威脅類報告數量處於首位,並且明顯超過其他安全廠商。
在對APT威脅攻擊的持續跟蹤過程中,通常會將明確的 APT 攻擊行動或攻擊組織進行命名,用於對攻擊背後實際的攻擊組織映射成一個虛擬的代號,以便更好的區分和識別具體來源的攻擊活動。歷史披露的明確的APT攻擊組織至少有80個。
截至目前,360威脅情報中心明確的針對中國境內實施攻擊活動的,並且依舊活躍的 公開APT 組織,包括海蓮花,摩訶草,蔓靈花,Darkhotel,Group 123,毒雲藤和藍寶菇,其中毒雲藤和藍寶菇是360在2018年下半年公開披露並命名的 APT 組織。
APT威脅也不再是APT組織與安全廠商之間獨有的“貓和老鼠”的遊戲,還作為國家與國家之間博弈以及外交輿論層面的手段。例如美國司法部在2018年就多次公開指控了被認為是他國黑客成員對其本土的網絡威脅活動,最為詳細的就是指控朝鮮黑客PARK JIN HYOK 歷史涉及的攻擊活動,而過去影子經紀人曝光的NSA網絡武器庫資料,維基解密曝光的Vault 7項目以及卡巴斯基披露的Slingshot攻擊行動都被認為與美國本土情報機構有關。
關鍵詞:APT、海蓮花、毒雲藤、藍寶菇
第一章 公開披露的全球高級持續性威脅
360威脅情報中心在2018年持續對高級持續性威脅相關的公開報告進行收集,其中包括但不限於以下類型。
APT攻擊團伙報告、APT攻擊行動報告、疑似APT的定向攻擊事件、和APT攻擊相關的惡意代碼和漏洞分析,以及我們認為需要關注的網絡犯罪團伙及其相關活動。
國內外安全廠商、安全研究人員通常會對高級持續性威脅活動涉及的攻擊團伙、攻擊活動進行命名,並以”Actor / Group / Gang”等對威脅背後的攻擊者進行稱謂,其中包括了明確的APT組織,明確的網絡犯罪團伙,以及暫時不太明確攻擊者信息的攻擊活動命名。
不同的安全廠商有時候會對同一背景來源的威脅進行不同的別名命名,這取決於其內部在最早跟蹤威脅活動時的命名約定,所以往往需要根據威脅攻擊的同一來源進行歸類。
我們結合上述說明對自身收集渠道收集的公開報告內容進行分析,並從公開披露的信息中公布全球高級持續性威脅的態勢情況。
一、數量和來源
360威脅情報中心在2018年監測到的高級持續性威脅相關公開報告總共478篇,其中下半年報告披露的頻次和數量明顯高於上半年。
微信公眾號:360追日團隊
掃描二維碼關微信公眾號
附錄3 360高級威脅應對團隊
360高級威脅應對團隊(360 Advanced Threat Response Team)專註於0day漏洞等高級威脅攻擊的應急響應團隊,研究領域涵蓋高級威脅沙箱檢測技術,0day漏洞探針技術以及高級威脅攻擊追蹤還原等。代表中國安全廠商在全球範圍內率先捕獲並應急響應了多個在野0day攻擊,填補了國內在0day漏洞在野攻擊應急響應方面的空白,保護了大量的用戶和企事業單位免受高級威脅攻擊。
附錄 參考鏈接
-
https://github.com/MISP/misp-galaxy/blob/master/clusters/threat-actor.json
-
https://asert.arbornetworks.com/donot-team-leverages-new-modular-malware-framework-south-asia/
-
https://ti.360.net/blog/articles/latest-activity-of-apt-c-35/
-
https://ti.360.net/blog/articles/donot-group-is-targeting-pakistani-businessman-working-in-china/
-
https://www.justice.gov/opa/press-release/file/1092091/download
-
https://ti.360.net/blog/articles/analysis-of-donot-andriod-sample/
-
https://www2.fireeye.com/rs/848-DID-242/images/rpt_APT37.pdf
-
https://ti.360.net/blog/articles/analysis-of-group123-sample-with-hwp-exploitkit/
-
https://securelist.com/olympic-destroyer-is-still-alive/86169/
-
https://research.checkpoint.com/new-strain-of-olympic-destroyer-droppers/
-
https://securelist.com/kaspersky-security-bulletin-2018-top-security-stories/89118/
-
https://ti.360.net/blog/articles/oceanlotus-targets-chinese-university/
-
https://ti.360.net/blog/articles/analyzing-attack-of-cve-2018-8373-and-darkhotel/
-
https://www.cyberscoop.com/kaspersky-slingshot-isis-operation-socom-five-eyes/
-
https://www.forcepoint.com/blog/security-labs/autocad-malware-computer-aided-theft
-
https://ti.360.net/blog/articles/details-of-apt-c-12-of-operation-nuclearcrisis/
-
https://blog.yoroi.company/research/new-cozy-bear-campaign-old-habits/
-
https://ti.360.net/blog/articles/analysis-of-settingcontent-ms-file/
-
https://ti.360.net/blog/articles/excel-macro-technology-to-evade-detection/
-
https://securelist.com/cve-2018-8453-used-in-targeted-attacks/88151/
-
https://securelist.com/zero-day-in-windows-kernel-transaction-manager-cve-2018-8611/89253/
-
https://www.welivesecurity.com/2018/09/05/powerpool-malware-exploits-zero-day-vulnerability/
-
https://ti.360.net/blog/articles/analysis-of-targeted-attacks-suspected-of-patchover/
-
https://blog.talosintelligence.com/2018/01/korea-in-crosshairs.html
-
https://www.fireeye.com/blog/threat-research/2018/02/apt37-overlooked-north-korean-actor.html
-
https://blog.talosintelligence.com/2018/04/fake-av-investigation-unearths-kevdroid.html
-
https://unit42.paloaltonetworks.com/unit42-reaper-groups-updated-mobile-arsenal/
-
https://www.securityweek.com/russia-hacked-olympics-computers-turned-blame-north-korea-report
-
https://blog.talosintelligence.com/2018/02/who-wasnt-responsible-for-olympic.html
-
https://securelist.com/olympicdestroyer-is-here-to-trick-the-industry/84295/
-
https://securelist.com/olympic-destroyer-is-still-alive/86169/
-
https://research.checkpoint.com/new-strain-of-olympic-destroyer-droppers/
-
https://www.clearskysec.com/muddywater-operations-in-lebanon-and-oman/
-
https://www.symantec.com/blogs/threat-intelligence/seedworm-espionage-group
-
https://securityaffairs.co/wordpress/74843/cyber-warfare-2/apt28-targeted-senator-mccaskill.html
-
https://www.welivesecurity.com/2018/09/27/lojax-first-uefi-rootkit-found-wild-courtesy-sednit-group/
-
https://www.symantec.com/blogs/election-security/apt28-espionage-military-government
-
https://www.welivesecurity.com/2018/11/20/sednit-whats-going-zebrocy/
-
https://www.accenture.com/us-en/blogs/blogs-snakemackerel-delivers-zekapab-malware
-
https://unit42.paloaltonetworks.com/dear-joohn-sofacy-groups-global-campaign/
-
https://www.zdnet.com/article/russian-apt-comes-back-to-life-with-new-us-spear-phishing-campaign/
-
https://blog.yoroi.company/research/new-cozy-bear-campaign-old-habits/
-
https://research.checkpoint.com/ryuk-ransomware-targeted-campaign-break/
转载请注明:IAMCOOL » 全球高級持續性威脅(APT)2018年總結報告