高级长期威胁(简称:APT),又称高级持续性威胁、先进持续性威胁等,是指隐匿而持久的电脑入侵过程,通常由某些人员精心策划,针对特定的目标。其通常是出于商业或政治动机,针对特定组织或国家,并要求在长时间内保持高隐蔽性。
高级长期威胁包含三个要素:高级、长期、威胁。高级强调的是使用复杂精密的恶意软件及技术以利用系统中的漏洞。长期暗指某个外部力量会持续监控特定目标,并从其获取数据。威胁则指人为参与策划的攻击。
海莲花黑客组织是近些年来频繁针对东南亚地区进行攻击的活跃APT组织之一,自从被友商披露后逐渐进入大家的视野,但该组织的攻击活动并没有因为被披露而进入“睡眠期”,而是一直处于“活跃期”。
海莲花黑客组织是非常灵活的黑客组织,擅长使用开源工具或商业工具并将其定制化开发使其变为私有工具,例如知名的商业木马CobaltStrike和开源木马gh0st。擅于利用多层shellcode内存加载技术和脚本语言来逃避终端威胁检测。
组织来源:疑为越南或越南周边区域
攻击地域:中国、柬埔寨、老挝、菲律宾、以及其他东南亚国家
攻击目标:能源、高校、海事、金融、政府、科研
TA505黑客组织是最早由国外的网络安全公司追踪的网络犯罪组织,主要针对全球金融机构进行攻击活动,进行以窃密或窃取资金为目的经济犯罪活动,该组织近些年活动异常频繁。虽然该组织不属于地缘政治背景的APT组织,但该组织的攻击手法与使用的技术其实已然达到APT的标准,只是针对的目标不同。
TA505黑客组织比较喜欢采用的攻击方式为:鱼叉式钓鱼邮件,并且擅长使用Office的新特性或冷门功能进行宏攻击,如Excel4.0等。
组织来源:以俄语为主要语言的国家
攻击地域:东欧地区
攻击目标:银行,学校,商业机构,金融机构
蓝宝菇黑客组织,自2011年开始活跃并持续8年针对我国进行网络间谍活动,就公开数据表明目前该组织的攻击目标主要集中在中国大陆境内,并且该组织偏向攻击教育科研机构,不过该组织被国内友商披露后似乎进入了“休眠期”,就2019年公开资料显示并没有相关攻击活动被披露。
蓝宝菇黑客组织所采用的攻击形式主要是使用鱼叉邮件携带二进制可执行文件并以RAR压缩包的形式打包发送,并善于使用脚本类型语言的木马,从攻击形式上来说该组织还会使用一些较为冷门的方式启动后门如(lNK文件)。
组织来源:亚太地缘政治背景
攻击地域:中国
攻击目标:科研、教育、政府、贸易、军工、海洋
本文作者:埃文科技
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/144825.html