暗黑勢力地圖：哪些黑客團伙路子最野？

世界上哪些黑客團伙路子最野？

這裡有一份世界著名黑客團伙「勢力地圖」，這些黑客團伙不是即興作案，相反，他們非常有耐心地針對一個特定目標，以各種匪夷所思地手段入侵，有時他們默默地潛伏著，收集關於目標對象的一切，只待需要發動時「引爆炸彈」。

問題是，被攻擊的對象也不是什麼「軟柿子」，它們可能是重要的政治、軍事、金融機構，甚至還有不弱的防守力量。那麼，這麼「暗黑」的黑客組織到底有哪些？和雷鋒網一起來看看，今年這些APT（高級可持續攻擊）黑客組織的「榜單」。

圍繞東亞一直是全球 APT 威脅活動最為活躍的地域之一，最早在 2011 年曝光的 Lazarus Group 是歷史上少數幾個最為活躍的 APT 組織之一。

Lazarus Group，據公開披露被認為是朝鮮 Bureau 121 背景下的APT組織，歷史曾攻擊索尼娛樂，全球多家銀行SWIFT系統以及和Wannacry勒索病毒有關。2018 年 9 月，美國 DoJ 和 FBI 聯合公開指控朝鮮黑客PARK JIN HYOK及Chosun Expo機構與上述攻擊事件有關，並指出其背後為朝鮮政府。

近年來針對 Lazarus 活動的披露有所減少，其攻擊目標主要為金融和加密貨幣相關，推測其動機更傾向於獲得經濟利益。

Lazarus組織在近半年的主要攻擊活動，如圖所示：

Lazarus使用的攻擊工具如下：

除了 Lazarus，在近兩年來，另外兩個朝鮮語系的 APT 團伙表現出了異常的活躍，分別是 Group 123 和Kimsuky 。近年來，朝鮮半島的政治局勢日益趨向於緩和的局勢，朝鮮政府也積極就朝核問題、朝韓雙方關係與美國、韓國展開對話，但緩和的政治外交局勢下，並不能掩蓋東亞區域依然頻繁的網路情報活動。

結合兩個組織歷史攻擊活動，我們推測 Kimsuky 更關注於朝鮮半島的政治外交問題，並通常結合相關熱點事件用於誘餌文檔內容；而 Group 123則針對更廣泛的網路情報獲取。

Group 123和Kimsuky通常都利用向目標投遞魚叉郵件和誘餌文檔，包括Office文檔和HWP文檔，誘導目標人員觸發惡意宏代碼或漏洞文檔來建立攻擊立足點。其也通過滲透韓國網站作為載荷分發和控制回傳通道。

Group 123 還偏好使用雲服務作為其竊取目標主機信息和資料的重要途徑，其常用的ROKRAT後門就是基於雲服務的實現，利用包括 Dropbox，Yandex，pCloud等雲服務。

海蓮花組織是東南亞地區最為活躍的 APT 組織。

海蓮花組織最初主要以中國政府、科研院所、海事機構等行業領域實施攻擊，這也與當時的南海局勢有關。但在近年來的攻擊活動中，其目標地域延伸至柬埔寨、菲律賓、越南等東南亞其他國家，而其針對中國境內的 APT 攻擊中，也出現了針對境內高校和金融投資機構的攻擊活動。

海蓮花組織是一個快速變化的 APT 組織，其擅長與將定製化的公開攻擊工具和技術和自定製惡意代碼相結合，例如 Cobalt Strike 和 fingerprintjs2 是其常用的攻擊武器之一。

海蓮花組織經過多年的發展，形成了非常成熟的攻擊戰術技術特徵，並擅長於利用多層 shellcode 和腳本化語言混淆其攻擊載荷來逃避終端威脅檢測，往往能夠達到比較好的攻擊效果。

我們總結了海蓮花組織的常用 TTP 以便於更好的跟蹤其技術特點的變化。

［ 海蓮花近半年攻擊目標］

南亞次大陸是另一個 APT 組織活動的熱點區域，從 2013 年 5 月 Norman 安全公司披露 Hangover 行動（即摩訶草組織）以來，出現了多個不同命名的APT組織在該地域持續性的活躍，並且延伸出錯綜複雜的關聯性，包括摩訶草、蔓靈花、肚腦蟲、Confucius，以及其他命名的攻擊活動和攻擊工具，包括Sidewinder、Urpage、Bahamut、WindShift。

造成歸屬問題的主要因素是上述APT活動大多使用非特定的攻擊載荷和工具，腳本化和多種語言開發的載荷往往干擾著歸屬分析判斷，包括使用.Net、Delphi、AutoIt、Python等。但從歷史攻擊活動來看，其也出現了一些共性：

同時具備攻擊PC和智能手機平台能力；

巴基斯坦是主要的攻擊目標，部分組織也會攻擊中國境內；

政府、軍事目標是其攻擊的主要目標，並且投放的誘餌文檔大多也圍繞該類熱點新聞，如克什米爾問題；

以下是結合歷史公開報告的披露時間製作的相關 APT 組織的活躍時間線，推測這些 APT 組織可能從 2015-2016 甚至更早出現了分化，並且趨向於形成多個規模不大的小型攻擊團伙的趨勢。

APT28、APT29、Turla作為東歐地區最為知名的 APT 組織一直廣泛活躍。

美國 DHS 曾在 2016 年 12 月對 APT28、APT29 組織在同年針對DNC的攻擊事件以及干擾美國大選活動發布了相關調查報告，並將其惡意攻擊活動稱為 GRIZZLY STEPPE，並直指俄羅斯情報部門。

來自倫敦國王學院的安全研究人員在SAS 2017年會議上介紹了Turla APT組織的前身是90年代著名網路間諜組織 Moonlight Maze 。

國外安全廠商ESET在2018年披露了BlackEnergy的繼任者，命名為GreyEnergy[17]，一個專註於工業系統的APT組織。

從2019年上半年的公開披露情況來看，除了APT28以外，其他三個組織的公開披露活動有所減少。而APT28 組織的主要活動似乎更多旨在干擾其目標國家的選舉活動。

安全廠商披露在 3 月捕獲的一份在野誘餌文檔，其使用的內容以烏克蘭總統競選人Volodymyr Zelenskiy和烏俄問題為誘導，其正值烏克蘭總統競選時機。

國外安全廠商也披露從 2018 年中以來，APT28 組織針對歐洲的網路間諜活動大幅增加，以及針對歐洲民主機構的攻擊，其也可能與 2019 年的歐盟議會選舉有關。

從戰術和技術角度來看，似乎從 2018 年起 APT28 更傾向於使用多種語言開發的 Zebrocy 攻擊組件並用於魚叉攻擊後的第一階段的載荷植入。其模塊可能由 Delphi，C#，Python，AutoIt甚至 Go。卡巴在最新的研究報告中將其作為獨立的組織進行追蹤。而在 ESET 對 Turla 最新的研究報告中，其更傾向於基於定製化的開源項目（如Posh-SecMod）和腳本，並載入其過去的自定義武器庫。

我們並不認為這些改變是其攻擊能力削弱的體現，在 2018 年曝光的 VPNFilter 事件和 Lojax rootkit 都被懷疑與東歐 APT 組織有關。我們推測攻擊組織做出積極的改變旨在提高攻擊的效率和效果，並著力於混淆和隱藏攻擊活動的來源，以及對抗目標網路的防禦機制。

中東地區，其擁有全球最為複雜的政治、外交和軍事局勢，多年以來，充斥著戰亂、恐怖主義、軍事行動以及頻繁的網路間諜活動和情報活動。在此背景下，網路攻擊活動往往作為刺探對手情報，監控人員輿論，配合間諜活動和情報活動甚至製造虛假言論和虛假新聞的最有效方式之一。而在中東地區，公開披露最多的屬據稱為伊朗政府背景的相關網路攻擊活動，這也源於伊朗與以美國為首的西方國家的政治和外交關係相左的原因。

我們在這裡列舉了近半年來中東地區發生的一些重點事件：

多家安全廠商披露大規模的DNS劫持活動，並稱疑似與伊朗有關[26 27 28]；

卡巴多次披露FruityArmor(又稱Stealth Falcon)使用的多個Windows提權0day漏洞(CVE-2019-0797、CVE-2018-8453、CVE-2018-8611、CVE-2018-8589)；

據稱是伊朗背景的多個APT組織發生內部資料和網路武器泄露；

美、伊的外交形式急劇惡化，伊朗政府從情報活動、軍事活動等多方面採取更加強硬的姿態，包括破壞CIA在其情報網路、擊落無人機等，美國回應將對其採取網路軍事行動。

我們在這裡結合上半年泄露的據稱是伊朗黑客組織的資料和網路武器對其近年來主要活躍的APT組織進行總結。

今年上半年發生了多起針對中東地區 APT 組織的相關資料泄露和拍賣事件，通過泄露資料，再一次幫助我們將虛擬的 APT 組織與現實世界的人員、機構及國家聯繫到一起。

APT34，又稱 OilRig ，一個最早從 2014 年起就開始活躍的 APT 組織，其被公開披露聲稱與伊朗情報與國家安全部(Iranian Ministry of Intelligence)有關。在過去，其主要活躍地

區為中東，並針對如金融，政府，能源，化學和電信等多個行業實施攻擊。

泄露的網路武器庫：

另一個被公開認為和伊朗有關的 APT 組織 MuddyWater，最早由 Palo Alto Networks Unit 42 於 2017 年11月發現並命名，並迅速成為中東地區非常活躍的APT組織之一，其主要使用 Powershell 後門 POWERSTATS，以及名為 MuddyC3 的控制後台。

有黑客成員公開聲稱 MuddyWater 和另一個APT組織 APT33 關聯到同一個名為 Nima Nikjoo 的人員，並將其相關資料進行拍賣。

結合公開披露資料，作為網路空間能力的強國，歷史曝光的震網事件，方程式組織都被認為與北美情報機構有關。

從 2013 年以來，相關情報機構的多次泄密事件展示了其完備的網路空間攻擊體系和自動化攻擊武器，並暴露了其將中國作為其實施全球網路間諜活動的重要目標之一的相關證據。

在 2018 和 2019 年的美國國防部網路戰略情報報告中，都將中國和俄羅斯作為其重要的戰略對手。

在 2018 年的網路空間戰略摘要中提到了「Defend forward」概念，旨在從源頭上破壞或制止惡意網路空間活動，並且同年美國政府取消了第 20 號總統政策指令，取消了針對美國對手的進攻性網路攻擊批准程序的一些限制。這些都表明美國作為超級網路強國正在積極進入網路空間的備戰狀態。而在近期紐約時報也報道了美國正在加強針對俄羅斯電網的網路入侵，展示了其在網路空間攻防中採取了更加主動積極的姿態。

從歷史泄露的方程式資料分析，其具備的網路攻擊能力是全方位的，下圖是根據泄露 NSA 資料和公開情報整理的其網路武器及攻擊技術所覆蓋的領域和目標。

雷鋒網註：以上主要內容摘編自《全球高級持續性威脅（APT）活動2019年中報告》，報告出具方：奇安信威脅情報中心。

關注雷鋒網旗下微信公眾號「宅客頻道」，可以獲得更多有趣、有料的安全內容。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！