- 1、本文档共25页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
用户上传 更多免费报告请查看研报客
盘旋在中亚上空的阴影-黄金雕(APT-C-34)
组织攻击活动揭露
用户上传 更多免费报告请查看研报客
背景
Hacking Team 是为数不多的几家在全世界范围出售商业网络武器的公司之一。2015 年 7 月 5 日,
Hacking Team 遭遇了大型数据攻击泄漏事件,该公司已经工程化的漏洞和后门产品代码几乎被全部
公开。该事件泄露包括了 Flash、Windows 字体、IE、Chrome、Word 、PPT、Excel、Android 的未公
开 0day 漏洞,覆盖了大部分的桌面电脑和超过一半的智能手机。泄露的网络武器被黑客大肆利用,
随后 Hacking Team 公司也宣布破产被并购。2015 年后,有关 HackingTeam 的活动突然肖声觅迹。
2018 年在乌俄两国突发“刻赤海峡”事件的危机时刻,360 高级威胁应对团队在全球范围内率先发
现 了一起针对俄罗斯的 APT 攻击行动,攻击者精心准备了一份俄文内容的员工问卷的诱饵文档,根
据文档内容推测,攻击所指向的是俄罗斯总统办公室所属的医疗机构 ,结合被攻击目标医疗机构的职
能特色,我们将 APT 攻击命名为 了“毒针”行动。我们无法确定“毒针”行动的动机和攻击身份,但攻击
所指向的医疗机构特殊背景 ,使攻击表现出了明确的定向性 ,同时攻击发生在“刻赤海峡”危机的敏感
时段,也为攻击带上了一些未知的政治意图。
我们发现“毒针”行动使用了 Flash 0day 漏洞 cve-2018-15982 ,后门程序疑似自于意大利网络武
器军火商 HackingTeam,所以不难推测其背后的 APT 组织可能经常采购商业网络武器。种种迹象表
明 HackingTeam 的生意并没有消失,这引发了我们对 HackingTeam 网络武器再次追踪的兴趣,我们
尝试针对 HackingTeam 网络武器进行关联追踪,意料之外地发现了一支未被披露过的俄语系 APT 组
织,该组织的活动主要影响中亚地区,大部分集中在哈萨克坦国境内。因为是全球首次发现披露,我
们参照中亚地区擅长驯养猎鹰进行狩猎的习俗特性,将该组织命名为黄金雕(APT-C-34)。
概要
在针对 HackingTeam 后门程序研究过程中,我们从 360 的大数据中找到了更多的在野攻击中使
用的 HackingTeam 后门程序,通过对程序的同源性进行分析,关联扩展发现了大量不同种类的后门
程序。通过持续一年的观察和一步一步的深入调查分析,我们挖掘了更多的细节信息,逐渐整合形成
用户上传 更多免费报告请查看研报客
了黄金雕(APT-C-34)组织的全貌。
黄金雕(APT-C-34)组织的受害者广泛分布中亚地区,主要活跃在哈萨克斯坦国境内,涉及各
行各业,包括教育 、航空航天 、政府机关、媒体工作人员等 ,其中部分受害者有中国背景,涉及我方
与哈萨克合作项目,而极少数的人位于西北部地区。该组织背后疑似有政府实体机构支持其行动。
在技术手段上 ,除了传统的后门程序,黄金雕 (APT-C-34)组织还采购了 HackingTeam 和 NSO
的商业间谍软件。我们发现该组织的 HackingTeam 后门版本号为 10.3.0,与“毒针”行动的后门版本号
相同 。在攻击方式上 ,除了使用了传统的社会工程学等手段外,该组织也大量使用了物理接触的方式
投递恶意程序(例如 U 盘等);除此之外,其也有使用特殊侦查设备对目标直接进行窃听和信号获取
的迹象。
用户上传 更多免费报告请查看研报客
攻击影响范围
对受害者进行分析统计 ,绝大部分受害者都集中在哈萨克斯坦国境内,涉及各行各业,从相关数
据中看,包括教育行业 、政府机关人员、科研人员 、媒体工作人员 、部分商务工业 、军方人员、宗教
人员、政府异见人士和外交人员。
波及我国的主要人员绝大部分也集中在哈萨克斯坦国境内,包括留学生群体 、驻哈萨克斯坦教育
机构、驻哈萨克斯坦相关工程项目组,极少数的受害者分布在我国西北部地区,涉及政府工作人员。
在该组织的 CC 服务器上,我们发现了大量的根据哈萨克斯坦城市命名的文件夹,包含了大部
分哈萨克斯坦的主要城市。
文件夹名称 城市名
Aktay 阿克套
您可能关注的文档
- 2019中国工业软件产业白皮书(征求意见稿).pdf
- 2019中国网络安全与功能安全人才白皮书.pdf
- 2019中国养老产业发展白皮书.pdf
- 2020年医药行业投资策略_医保支付结构持续优化带来行业分化_布局黄金赛道稀缺标的 (2).pdf
- 2020年医药行业投资策略_医保支付结构持续优化带来行业分化_布局黄金赛道稀缺标的.pdf
- 2020年资本市场峰会——分论坛行业策略报告_拥抱新动能_把握产业新趋势—5G时代的新机遇.pdf
- BIS国际清算银行-Spread-the-Word_-International-Spillovers-from-Central-Bank-Communication.pdf
- NBER美国国民经济研究局-NBER-Building-Emergency-Savings-Through-Employer.pdf
- NBER美国国民经济研究局-NBER-Cognitive-Uncertainty.pdf
- NBER美国国民经济研究局-NBER-Decision.pdf
文档评论(0)