APT年度盤點——2018年黑客組織百花齊放

原標題：APT年度盤點——2018年黑客組織百花齊放

　　2018年安全界目睹了若干個技術黑客組織開展的多次大規模攻擊行動。在過去一年中，出現了許多新黑客組織，而一些老牌的黑客組織也在短暫蟄伏後捲土重來。

但是，很少有黑客脅組織使用一成不變的複雜的攻擊技巧和惡意軟體，這些威脅行為者通常使用不同的方法進行攻擊。下面我們就來羅列一下過去一年中在網路安全方面產生重大負面影響的一些著名的黑客組織。

大型黑客組織——國家「撐腰」

Sofacy、Turla和CozyBear開展的惡意活動是今年的主要「亮點」。在2018年，安全研究人員發現這些與俄羅斯相關的黑客組織改進了他們的工具和攻擊方式，以逃避監測，並在目標計算機上部署惡意軟體。

據卡巴斯基實驗室稱，Sofacy是三大黑客組織中最活躍的。該組織也被稱為Fancy Bear或APT28，被發現在2018年將其攻擊重心轉移到遠東地區。它以世界各地政府和軍事機構為目標，使用了三種著名的惡意軟體變體：SPLM，GAMEFISH和Zebrocy。

SPLM是一種後門惡意軟體，被認為是Sofacy的主要作案工具，而Zebrocy則被用於大容量攻擊。2018年初，Sofacy攜SPLM工具瞄準了中國的大型防空商業公司;另外它還以Zebrocy工具攻擊亞美尼亞、土耳其、哈薩克、塔吉克、阿富汗、蒙古、中國和日本等國的多個目標。Sofacy也因在韓國平昌冬奧會上部署一款名為「OlympicDestroyer」的惡意軟體而聲名大噪。

除俄羅斯外，安全研究人員還觀察到朝鮮黑客組織Lazarus(HIDDEN COBRA)針對土耳其、亞洲和拉丁美洲等不同地區的幾個目標機構。該組織的目標包括但不限於加密貨幣和金融機構。在最近的活動中，Lazarus開始部署名為「ThreatNeedle」的新惡意軟體。

與此同時，Turla組織通過更全面的技術和黑客工具也完成自我進化。安全研究人員指出，該組織使用一些特別的注入程序，如LightNeuron來攻擊Exchange伺服器，以及利用一個新的後門惡意軟體來攻擊2017年德國聯邦外交部。另外，它還使用新的Carbon惡意軟體變種來攻擊大使館和外交事務機構。

後起之秀——新威脅組織

今年又陸續湧現了許多黑客組織，主要關注的是中東和東南亞的目標。這其中包括了新的亞洲黑客組織，如ShaggyPanther、Sidewinder、CardinalLizard、TropicTrooper、DroppingElephant、Rancor、Tick group、NineBlog、Flyfox和CactusPete——所有這些組織全年都處於活躍狀態。雖然這些團組織並沒有多麼高超的黑客技術與先進的黑客工具，但他們能夠通過各種方法實現其目標。

在中東地區，LazyMerkaats、FruityArmor、OpParliament、DarkHydrus和DomesticKitten是近來聲名顯赫的新黑客組織，它們以政府和軍事機構為攻擊目標。與此同時，在東歐國家和前蘇聯國家監測到了DustSquad、ParkingBear和Gallmaker等新黑客組織的攻擊活動。

國王回歸——老牌黑客組織不甘落後

經過漫長的蟄伏期後，幾個老牌黑客組織攜新黑客工具重新出現，發現了新的攻擊活動。

Kimsuky APT繼續專註於韓國智庫和政治活動。該組織更新了其攻擊框架，以進行網路間諜活動。其他團體如DarkHotel、LuckyMouse和APT10也在2018年的不同攻擊活動中捲土重來。

DarkHotel帶來了新的0-day攻擊，以瞄準他們的常規受害者——政府、企業高管。這些0-day攻擊被部署到入侵Internet Explorer的腳本引擎中。

與此同時，黑客組織LuckyMouse全年也十分活躍。它部署了水坑攻擊來攻擊中亞的國家數據中心，並被懷疑是針對阿曼攻擊的幕後操縱者。

APT10使用其惡意軟體的新版本OceanLotus對日本受害者極為「青睞」。另外，研究人員還觀察到ScarCruft組織使用名為PoorWeb的新後門在年初部署了0-day攻擊。這一組織還被高度懷疑使用了專為三星設備設計的Android惡意軟體。

據卡巴斯基報道，在世界不同地區也發現了MuddyWater、GazaTeam、DesertFalcons和StrongPity等組織的新惡意活動。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！