2018年全球十大APT攻击事件盘点

“蓝宝菇”APT组织在2018年对我国的政府、军工、科研、金融等重点单位和部门都发起了多次针对性攻击，攻击的技术以及手法也有所升级。从以往的PE木马升级到现在的非PE的脚本后门，以及采用云空间、云附件的手法接收回传的资料信息等都反映了蓝宝菇APT组织在攻击技术方面的更新。从近期360威胁情报中心监控到的攻击事件来看，未来蓝宝菇APT组织都会大量的使用PowerShell脚本等非PE后门来替代原有的PE木马数字武器。

5. 海莲花APT组织针对我国和东南亚地区的定向攻击事件

危害程度 ★★★★

攻击频度 ★★★★★

攻击技术 ★★★

事件时间：2018年全年(首次攻击时间为2012年)

攻击组织：海莲花(OceanLotus)

受害目标：东南亚国家、中国及其相关科研院所、海事机构、航运企业等

相关攻击武器：Denis家族木马、Cobalt Strike、CACTUSTORCH框架木马

相关漏洞：微软Office漏洞、MikroTik路由器漏洞、永恒之蓝漏洞

攻击入口：鱼叉邮件和水坑攻击

主要攻击战术技术：

鱼叉邮件投递内嵌恶意宏的Word文件、HTA文件、快捷方式文件、SFX自解压文件、捆绑后的文档图标的可执行文件等

入侵成功后通过一些内网渗透工具扫描渗透内网并横向移动，入侵重要服务器，植入Denis家族木马进行持久化控制

通过横向移动和渗透拿到域控或者重要的服务器权限，通过对这些重要机器的控制来设置水坑、利用第三方工具并辅助渗透

横向移动过程中还会使用一些逃避杀软检测的技术：包括白利用技术、PowerShell混淆技术等

“海莲花”APT 组织在2018年全年频繁的针对我国及东南亚国家进行持续的针对性攻击，比如针对柬埔寨和菲律宾的新的攻击活动，并且疑似利用了路由器的漏洞实施远程渗透。相关漏洞首次公开是由维基解密披露的CIA Vault7项目资料中提及并由国外安全研究人员发布了相关攻击利用代码。并且“海莲花”在2018年的攻击活动中使用了更加多样化的载荷投放形式，并使用多种白利用技术加载其恶意模块。

6. 蔓灵花APT组织针对中国、巴基斯坦的一系列定向攻击事件

危害程度 ★★★

攻击频度 ★★★★

攻击技术 ★★★

事件时间：2018年初

攻击组织： 蔓灵花(BITTER)

受害目标：中国、巴基斯坦

相关攻击武器：“蔓灵花”特有的后门程序

相关漏洞：InPage文字处理软件漏洞CVE-2017-12824、微软公式编辑器漏洞等

攻击入口：鱼叉邮件攻击

主要攻击战术技术：

鱼叉邮件投递内嵌Inpage漏洞利用文档、微软公式编辑器漏洞利用文档、伪造成文档/图片的可执行文件等

触发漏洞后释放/下载执行恶意木马，与C2保持通信，并根据C2返回的命令下载指定插件执行

下载执行多种远控插件进行远程控制

“蔓灵花”APT组织在2018年利用InPage文档处理软件漏洞、微软公式编辑器漏洞、伪造文档图标的可执行文件等攻击手法，针对中国、巴基斯坦重要组织机构和人员多次发起定向攻击。多次攻击活动表明，蔓灵花习惯攻陷巴基斯坦政府网站用于下发后续木马，比如在11月针对巴基斯坦的攻击活动中，后续木马下发地址为：fst.gov.pk/images/winsvc，而fst.gov.pk则是巴基斯坦政府的相关网站。

并且在2018年11月左右针对巴基斯坦的攻击中使用了大量InPage漏洞利用文档进行攻击。而InPage则是一个专门针对乌尔都语使用者(巴基斯坦国语)设计的文字处理软件。

7. APT38针对全球范围金融机构的攻击事件

危害程度 ★★★★★

攻击频度 ★★★★

攻击技术 ★★★★

事件时间：最早于2014年，持续活跃至今

攻击组织：APT38

受害目标：金融机构，银行，ATM，SWIFT

相关攻击武器：多种自制恶意程序

相关漏洞：多种漏洞

攻击入口：鱼叉攻击，水坑攻击

主要攻击战术技术：

利用社交网络，搜索等多种方式对攻击目标进行详细的网络侦查

使用鱼叉攻击或水坑攻击对目标人员实施攻击并获得初始控制权

在目标网络横向移动，最终以获得SWIFT系统终端为目标

伪造或修改交易数据达到窃取资金

通过格式化硬盘或日志等方式清除痕迹。

APT38被认为是朝鲜来源的APT组织，国外安全厂商通常称为LazarusGroup。近年来主要披露的攻击活动涉及全球金融和银行机构、中美洲在线赌场、以及虚拟电子货币相关的交易所和机构。FireEye在今年披露了一份详细的APT组织报告，并将其中以经济牟利为意图的，针对全球金融、银行机构攻击的威胁活动独立归属为一个新的组织名称，APT38以明确区分其与Lazarus之间的一些不同。

美国司法部在今年9月也公开披露了一份非常详细的针对朝鲜黑客PARK JIN HYOK及其相关组织Chosun Expo过去实施的攻击活动的司法指控。在该报告中指出PARK黑客及其相关组织与过去SONY娱乐攻击事件、全球范围多个银行SWIFT系统被攻击事件、 WannaCry、以及韩国、美国军事人员和机构被攻击的相关事件有关。

APT38，作为目前以经济利益为动机的最为活跃的APT组织，我们也应该持续关注其使用的攻击技术和工具。

8. 疑似DarkHotel APT组织利用多个IE 0day“双杀”漏洞的定向攻击事件

危害程度 ★★★

攻击频度 ★★

攻击技术 ★★★★

事件时间：首次发现于2018年5月，相同Payload在2月中旬被发现

攻击组织：DarkHotel

受害目标：中国

相关攻击武器：劫持操作系统DLL文件(msfte.dll、NTWDBLIB.DLL)的插件式木马后门

相关漏洞：CVE-2018-8174、CVE-2018-8373等

攻击入口：鱼叉邮件攻击

主要攻击战术技术：

鱼叉邮件投递包含IE 0day双杀漏洞的Word文档

漏洞利用成功后释放白利用文件执行恶意PowerShell下载下一阶段PowerShell脚本

下载回来的PowerShell脚本进行Bypass UAC，并通过劫持系统DLL文件下载核心木马模块

核心木马模块与C2地址通信下载执行更多的木马插件实现持久化控制

（编辑：青岛站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!