zoukankan      html  css  js  c++  java
  • APT28最新活动动向—开始使用新的后门程序

    最近,ESET公司发布了APT28最新的活动动向

    1.简介

    APT28组织(又被称作:奇幻熊,Sednit,Sofacy,Pawn Storm,Group 74,Fancy Bear,STRONTIUM,Tsar Team,Threat Group-4127,TG-4127,Swallowtail,SIG40)自2004年以来一直在运营,并且在过去几年中经常成为头条新闻:它背后是一个高调的攻击组织。该组织对多个行业、多个国家的政府、公益组织机构进行攻击。例如,美国司法部将该组织命名为在2016年美国大选之前对民主党全国委员会(DNC)进行黑客攻击。该组织还被认为是全球电视网,世界反兴奋剂机构(WADA)电子邮件泄密以及许多其他人的黑客攻击。该小组在其武器库中拥有多种多样的恶意软件工具。

    APT28近几年活动轨迹

    在2018年8月,APT28的运营商部署了两个新的Zebrocy组件,从那时起我们看到了Zebrocy部署的增长。Zebrocy是一套下载器和后门; 当下载者正在进行侦察时,后门会对目标实施持久性和间谍活动。这些新组件使用一种不寻常的方式,通过使用与SMTP和POP3等邮件服务相关的协议来收集收集的信息。

    2.受害者信息

    这些新组件所针对的受害者类似于我们之前的Zebrocy帖子和卡巴斯基中提到的受害者。这种袭击的目标是中亚,以及中欧和东欧国家,特别是大使馆,外交部和外交官。

    3.攻击途径

    两年来,APT28组织主要使用网络钓鱼电子邮件作为活动的感染媒介。一旦目标受到损害,他们就会使用不同的第一阶段下载程序收集有关受害者的信息,如果受害者遭受感染,经过一段时间,APT28组织会部署一个二级后门。

    Zebrocy活动的经典作案手法是让受害者收到附在电子邮件中的档案。该存档包含两个文件,一个是良性文档,另一个是恶意可执行文件。操作员试图通过模拟真实邮件的可执行文件来欺骗受害者。

    4.总结

    近年来APT28活动越来越频繁。而且APT组织的IP地址、域名和所使用的样本文件的更新也越来越频繁。如何有效的预防和检测APT,越来越困难。
    针对已知威胁的攻击,传统的入侵检测系统仅能检测已知威胁,但现实网络环境面临的威胁往往过于复杂,譬如现在越来越多的APT攻击威胁,传统的防火墙设备、入侵检测系统都无法进行内容级和行为级别的检测,这就是我们常说的对未知威胁的防护。未知威胁包括未知安全漏洞与缺陷、未知木马行为与特征、未知攻击行为、加密内容、社会工程等攻击行为,其攻击的高级程度,不是通过编辑规则库所能完成,这也是基本上是大部分APT组织使用的攻击技术和手段。
    目前我们的威胁确实越来越严峻,这就要求企业具备面对未知威胁与攻击的检测、发现的能力,可以通过文件威胁检测、大数据安全分析、漏洞攻击检测等恶意代码检测手段多管齐下,采用组合攻击检测手段,有效 降低关键业务系统敏感信息、资料文档被APT组织窃取。避免导致通过APT拿的关键数据,导致国与国直接对抗出现短板。

  • 相关阅读:
    chrome——关于chrome浏览器的奇葩问题
    vscode——配置终端集成bash和cmd
    AndroidStudio——Android SDK
    Navicat——如何导出所有的查询数据
    mpvue——实现点击数组内的某一元素进行置顶(排序第一)操作
    TP5.x——开启跨域访问
    TP5.x——聊天列表查询
    MarkDowm——语法篇
    写一个整数四则运算的解析器——语法分析部分
    写一个整数四则运算的解析器——词法分析部分
  • 原文地址:https://www.cnblogs.com/bravexz/p/10026209.html
Copyright © 2011-2022 走看看