APT攻击盘点及实战(上)(3)
时间:2023-03-25 16:01 来源:网络整理 作者:默认发布 点击:次
攻击流程: 鱼叉式邮件投递内嵌恶意宏的word文件,HTA文件,快捷方式文件,SFX自解压文件,捆绑后的文档图 入侵后,通过内网渗透攻击CS(Cobalt Strike)扫描并渗透内网并横向移动,入侵服务器,植入Denis家族木马 并获得域控或者重要的服务器权限,通过重要机器来设置水坑,利用第三方工具渗透 并对杀软进行逃避检测技术(免杀) 第五:蔓灵花APT组织针对中国、巴基斯坦的一系列定向攻击事件攻击组织:BITTER(蔓灵花) 相关攻击武器:该组织的后门程序 相关漏洞:CVE-2017-12824,微软公式编辑器漏洞 攻击方式:鱼叉邮件攻击 攻击流程: 鱼叉邮件投递内嵌Inpage漏洞利用文档,微软公式编辑器漏洞利用文档,伪造成文档/图片的可执行文件 触发漏洞后释放/下载执行恶意木马,与C2保持通信,并更具C2返回的命令下载指定的插件执行 下载执行多种远控插件进行远程控制 第六:APT38针对全球范围金融机构的攻击事件攻击组织:APT38 相关攻击武器:自制恶意程序 相关漏洞:多种漏洞 攻击方式:鱼叉和水坑攻击 攻击流程: 利用社交网站,搜索多种方式对目标进行网络侦查,信息收集 使用鱼叉攻击或水坑攻击对目标人员实施攻击并获得初始控制权 在目标网络横向移动,最终以获得SWIFT系统终端为目的 伪造或修改交易数据窃取资金 通过格式化硬盘或者篡改日志的方式清除痕迹 第七:疑似DarkHotel APT组织利用多个IE 0day“双杀”漏洞的定向攻击事件攻击组织:DarkHotel 相关攻击武器:劫持操作系统DLL文件的插件式木马后门 相关漏洞:CVE-2018-8174,CVE-2018-8373 攻击方式:鱼叉邮件攻击 攻击流程: 鱼叉邮件投递包含IE 0day双杀漏洞的word文档 漏洞利用成功后释放恶意Powershell下载下一阶段的Powershell脚本 下载后的脚本进行Bypass UAC,并通过劫持系统DLL文件下载核心木马模块 再与C2地址通信下载并执行更多的木马 第八:疑似APT33使用Shamoon V3针对中东地区能源企业的定向攻击事件攻击组织:APT33 相关攻击武器:shamoon V3 攻击方式:鱼叉邮件攻击 攻击流程: 使用随机声称的数据覆盖系统上的MBR,分区和文件 恶意文件的文件描述模仿合法的产品名称 第九:Slingshot:一个复杂的网络间谍活动攻击组织,IS(伊斯兰国)和基地组织成员 相关漏洞:CVE-2007-5633,CVE-2010-1592,CVE-2009-0824 攻击方式:通过windows漏洞或已感染的Mikrotik路由器进行攻击 攻击流程: 初始Loader程序将合法的windows库,‘scesrv.dll‘替换为具有完全相同大小的恶意文件 包括内核层的加载器和网络嗅探模块,自定义的文件系统模块 可通过windows漏洞利用或已感染的路由器获得受害者目标的初始控制权end 0x06 盘点各大APT组织APT28组织 APT28组织(奇幻熊Fancy Bear),奇幻熊这个名字大家可能很陌生,但是提到APT28组织,大家可能都会认识。该组织成立于2007年,是由俄罗斯境内的黑客组成的一只队伍,攻击对象多为政府,军队及安全机构,是APT攻击的典型代表。 BlueMushroom组织 蓝宝菇组织,具备地缘政治背景,自2011年开始活跃,长期针对中国政府,教育,海洋,贸易,军工,科研和金融等重点单位和部门开展持续的网络间谍活动。 OceanLotus组织 海莲花组织,高度组织化的,专业化的境外国家级黑客组织,自2012年4月起针对中国政府的海军机构,海域建设部门,科研院所和航运企业,展开了静谧组织的网络攻击。并且是由国外政府支持的APT行动。 BITTER组织 蔓莲花组织,是一个长期针对于中国,巴基斯坦等国家进行攻击活动的APT组织,该APT组织为目前货源的针对境内目标进行攻击的境外APT组织之一,该组织主要针对政府,军工业,电力,核等单位进行攻击,窃取敏感信息,具有强烈的政治背景。 APT38组织 APT38组织,Fireeye公布了朝鲜APT组织38的详细信息,他们认为该组织代表朝鲜政权实施金融犯罪,从全球银行窃取美元。2014年来,APT38已入侵盗取至少11个国家,超过16个金融机构的机密资料 DarkHotel组织 (责任编辑:admin) |
- 上一篇:Python 如何从facebook获得更多评论?
- 下一篇:全球竞相发展AI技术