2018年第二季度,卡巴斯基实验室研究人员观察到活跃的高级可持续威胁(APT)活动状况,这些活动主要在亚洲,涉及知名和不知名的威胁组织。许多威胁组织围绕敏感的地缘政治事件实施攻击或定时开展攻击。卡巴斯基实验室最新的季度威胁情报报告涵盖了这些和其他趋势。
2018年第二季度,卡巴斯基实验室研究人员继续揭示高级可持续性威胁(APT)组织使用的工具、技巧以及发动的攻击行动。其中有些威胁组织已经沉默多年。亚洲仍然是APT最感兴趣的中心:一些区域威胁组织如说韩语的Lazarus和Scarcruft尤其繁忙,研究人员还发现说英语的威胁组织Turla使用一种名为LightNeuron的植入物对中亚和中东地区实施攻击。
2018年第二季度的亮点包括:
- Olympic Destroyer幕后的威胁组织回归。在2018年1月对平昌冬季奥运会实施攻击后,研究人员发现该攻击组织有了新的活动,针对俄罗斯的金融机构以及欧洲和乌克兰的生化威胁预防实验室进行攻击。一些迹象表明Olympic Destroyer和说俄语的威胁组织Sofacy可能有关,但可能性是低到中等。
- Lazarus/BlueNoroff。有迹象表明这种高调的APT组织曾经对土耳其的金融组织实施过攻击,而且这些攻击是一次规模更大的网络间谍攻击行动的一部分。此外,还对拉丁美洲的赌场进行攻击。尽管朝鲜和平谈判正在进行,但这些行动表明该威胁组织仍然为了获取经济利益而采取行动。
- 研究人员观察到Scarcruft APT出现相对较活跃的活动,该威胁组织使用安卓恶意软件,并且启动了一项利用最新的后门程序的攻击行动,研究人员将这种后门命名为POORWEB。
- LuckyMouse高级可持续性威胁,一个说中文的威胁组织,又被成为APT 27。该威胁之前被发现通过高调的网站滥用亚洲的ISP进行水坑式攻击,还被发现在哈萨克斯坦和蒙古政府在中国举办会议时,对其政府机构实施攻击。
- 由Cisco Talos发现,并被FBI归因Sofacy或Sandworm的VPNFilter活动揭示了国内网络硬件和存储解决方案遭受攻击的巨大漏洞。这种威胁甚至能够在流量中注入恶意软件,从而感染受感染网络设备后的计算机。卡巴斯基实验室的分析证实,几乎所有国家都可以找到此攻击活动的痕迹。
“以APT活动情况来看,2018年第二季度非常有趣,一些非凡的攻击行动提醒我们,过去几年我们所预测的一些威胁是多么真实。尤其是我们曾经多次警告网络硬件很适合针对性攻击,并强调了通过这些设备的高级攻击活动的存在和传播,”卡巴斯基实验室全球研究和分析团队首席安全研究员Vicente Diaz说。
第二季度APT趋势报告总结了卡巴斯基实验室面向订阅用户的威胁情报报告的主要发现,其中还包括感染迹象(IOC)数据以及可辅助进行取证分析和恶意软件追踪的YARA规则。更多详情,请联系:intelreports@kaspersky.com
第二季度APT趋势总结报告请参见Securelist.
