今年前三个月,卡巴斯基实验室研究人员发现一波主要基于亚洲的最新APT活动,第一季度的威胁报告中超过30%的内容描述的都是该地区的威胁行动。
今年前三个月,卡巴斯基实验室研究人员发现一波主要基于亚洲的最新APT活动,第一季度的威胁报告中超过30%的内容描述的都是该地区的威胁行动。同样的威胁行动高峰在中东地区也出现,而且威胁攻击者还是用了多种最新的攻击技巧。卡巴斯基实验室最新的威胁情报总结介绍了这些趋势以及其它最新趋势。
2018年第一季度,卡巴斯基实验室研究人员继续检测使用各种语言(包括俄语、中文、英语和韩语)的高级持续性威胁(APT)组织进行的网络行为。虽然有些知名的威胁组织并没有表现出值得注意的行为,但是在亚洲地区检测到数量不断增多的APT行动和新的威胁攻击者。攻击数量增加的原因部分是针对平昌冬奥会的Olympic Destroyer 恶意软件攻击。
2018年第一季度的重点趋势包括:
- 使用中文的威胁攻击者的行动继续增加,包括主要针对中国台湾和马来西亚政府机构实施攻击的ShaggyPanther活动集群,还有从2018年开始对马来西亚感兴趣的CardinalLizard威胁组织,其同时关注的重点还包括菲律宾、俄罗斯和蒙古。
- 在南亚记录到APT攻击行动。巴基斯坦的军事机构遭受到最新发现的Sidewinder攻击组织的攻击。
- IronHusky高级可持续性威胁显然停止了对俄罗斯军事机构的攻击,而将所有注意力转移到蒙古。2018年1月底,这个使用中文的威胁攻击组织在蒙古与国际货币基金组织(IMF)会晤之前,对蒙古政府机构实施了攻击。
- 朝鲜半岛仍然是关注的焦点。针对韩国智库和政治活动进行攻击的Kimsuky高级可持续性威胁更新了自己的武器,采用了完全新的架构用于实施网络间谍行动和鱼叉式钓鱼攻击。此外,臭名昭著的Lazarus组织的下属子组织Bluenoroff也转移了攻击目标,目前的攻击对象包括加密货币公司和销售终端(PoS)。
卡巴斯基实验室还在中东地区检测到威胁活动高峰。例如,StrongPity高级可持续性威胁针对互联网服务提供商(ISP)网络发动了大量中间人(MiTM)攻击。另一个技术高超的网络犯罪组织Desert Falcons重新回归,并利用之前在2014年使用过的恶意软件对安卓设备进行攻击。
此外,第一季度,卡巴斯基实验室研究人员还发现了多个攻击组织经常在攻击行动中队路由器和网络硬件进行攻击,这种攻击手段在多年前就被攻击者如Regin和CloudAtlas使用过。安全专家表示,路由器将继续成为攻击者的目标,是网络罪犯在受害者基础设施中站稳脚跟的一种方式。
“今年前三个月,我们发现了一些不同复杂程度的最新威胁组织,但总体而言,他们使用的都是常见的和现成的恶意软件攻击。另一方面,我们发现一些知名的威胁组织没有进行值得特别关注的行动。这不禁会让我们认为他们正在重新考虑自己的策略,重组团队实施未来攻击。”卡巴斯基实验室全球研究和分析团队首席安全研究员Vicente Diaz说。
最新发布了第一季度高级可持续性威胁趋势报告总结了只可通过订阅服务获取到的卡巴斯基实验室威胁情报报告的主要发现。2018年第一季度,卡巴斯基实验室的全球研究和分析团队为订阅者提供了27分专用报告,其中包括感染迹象(IOC)数据和YARA规则,可以帮助订阅者进行取证分析和恶意软件追踪。
更多详情,请联系:intelreports@kaspersky.com
