行業(yè)動態(tài)

新的黑客組織不斷涌現(xiàn),舊的黑客組織不斷發(fā)展

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2019-12-05    瀏覽次數(shù):
 

信息來源:mottoin

一轉(zhuǎn)眼,2019年只剩下最后一個月了。過去11個月里,威脅領(lǐng)域的變化十分明顯。從2018年下半年到2019年上半年,研究人員發(fā)現(xiàn)了新的對手以及更公開的網(wǎng)絡(luò)攻擊方法。

 

新的對手——RedCurl

2019 年,一個名為RedCurl的新晉黑客組織開始嶄露頭角,這個組織既當(dāng)間諜又搞金融盜竊,而且攻擊范圍很廣,保險、咨詢、采礦、煉鋼、零售與建筑公司一個都不放過。Group-IB表示,RedCurl 背后的黑客技術(shù)超群,非常難追蹤。RedCurl 能一直成功隱藏自己主要還是因為其用合法服務(wù)與自己的命令與控制(C2)服務(wù)器進(jìn)行通信。

為了干壞事,黑客非常依賴自定義的木馬。得手后的第一個任務(wù)就是竊取受害者的重要文檔,隨后安裝 XMRIG 來進(jìn)行門羅幣挖礦活動。大佬總是挑剔的,這么厲害的組織也不是什么都要的,RedCurl組織主要針對協(xié)議、付款與合同等信息。

與以往粗狂的攻擊方式不同,RedCurl組織的釣魚攻擊方法可是相當(dāng)專業(yè)。它們會針對不同的受害者定制專門的釣魚郵件,這樣成功率更高。

RedCurl的大部分受害者都分布在東歐,但北美也有一家公司中招。從釣魚郵件中所用的語言以及黑客組織使用的電郵服務(wù)來看,該組織中至少有一個人是說俄語的。

但是目前RedCurl組織的真面目還不清楚,沒人知道它們到底是網(wǎng)絡(luò)犯罪組織,還是某個國家的APT組織。

向錢看的組織

Group-IB列出了五個針對金融機構(gòu)的活躍的網(wǎng)絡(luò)犯罪組織,其中有三個組織(Cobalt、 Silence以及MoneyTaker)都說俄語,可以熟練的利用木馬控制自動取款機。

其余兩個組織(Lazarus和SilentCard)都是來自肯尼亞的新興組織,主要針對非洲的銀行。雖然技術(shù)不怎么樣,但也足夠他們在非洲大陸上橫行霸道了。

 

雖然網(wǎng)絡(luò)上針對金融機構(gòu)犯罪組織遠(yuǎn)不止這五個,可是這五個能帶來非常嚴(yán)重的破壞。

這些組織通常會在被攻破的網(wǎng)絡(luò)上花費大量時間,以便它們能像被監(jiān)控的受害者一樣管理金融業(yè)務(wù)。Group-IB 繪制的網(wǎng)絡(luò)攻擊地圖顯示,不管成功與否,這些組織從2018 年下半年開始就進(jìn)入了活躍期,幾乎每個月都有大動作。

 

目前,研究人員還沒有有關(guān)SilentCard組織的詳細(xì)信息,但確信該組織在肯尼亞運行并且成功發(fā)起過兩次攻擊。借助僅有的惡意軟件樣本,Group-IB 猜測 SilentCard 攻擊公司網(wǎng)絡(luò)時使用了一種自行研發(fā)的控制設(shè)備。

背后有國家撐腰的黑客

2018年下半年到2019年上半年,背后有國家撐腰的黑客(APT組織)依然很忙。在Group-IB 列出的38個組織中,有7個是今年新冒頭的組織。雖然這些組織今年才被發(fā)現(xiàn),但他們有的最早從2011年就開始運行了。

 

其中的典型例子就是 Windshift,網(wǎng)絡(luò)安全公司DarkMatter去年8月份還專門對其工具與策略進(jìn)行了分析。不過,它們在2017年就開始當(dāng)網(wǎng)絡(luò)間諜,針對中東地區(qū)政府雇員和關(guān)鍵基礎(chǔ)設(shè)施刺探情報了。

Blue Mushroom(又名Sapphire Mushroom和APT-C-12)則是個 2011 年就開始正式運行的黑客組織,但去年年中Blue Mushroom才被發(fā)現(xiàn)。這個組織主要針對核工業(yè)與科學(xué)研究機構(gòu)。

Gallmaker也是2018年才被發(fā)現(xiàn)的APT組織,賽門鐵克認(rèn)為2017年年末Gallmaker組織就正式成立了。據(jù)悉,Gallmaker主要依靠自制工具對政府和軍事目標(biāo)發(fā)動攻擊。

今年年初奇虎360的一份報告則顯示,名為APT-C-36(又名Blind Eagle)的南美黑客組織多次對重要公司與政府機構(gòu)的商業(yè)機密進(jìn)行盜竊。

名為Whitefly的黑客組織則盯上了新加坡的醫(yī)療、媒體、通訊與工程公司,Whitefly組織從2017年就開始活動,去年7月因為攻擊新加坡最大的公共衛(wèi)生機構(gòu)而一戰(zhàn)成名,當(dāng)時大約150萬名病人的資料被竊取。

Hexane與Lyceum則主要針對中東地區(qū)的關(guān)鍵基礎(chǔ)設(shè)施,今年8月份它們才被發(fā)現(xiàn)。

第七家APT組織TajMahal到現(xiàn)在才只是小荷才露尖尖角,關(guān)于它的資料還很少??ò退够l(fā)現(xiàn)它們的攻擊框架相當(dāng)高級,單是一個套件就包含了80個模組,TajMahal正是用它攻破了中亞某外交機構(gòu)的防御。

網(wǎng)絡(luò)戰(zhàn)升級

對國家來說,網(wǎng)絡(luò)安全已經(jīng)成了最重要的一環(huán)。從現(xiàn)有形勢來看,黑客們已經(jīng)不屑于隱藏自己,反正不承認(rèn)就行了。此外,黑客也不再為了錢發(fā)起攻擊,畢竟今年有許多能源廠遭受了黑客攻擊,這可不能為黑客帶來利潤。為此,政府機構(gòu)也不得不加緊數(shù)字工具的升級,以防出現(xiàn)不測。

借網(wǎng)絡(luò)攻擊對敵人進(jìn)行報復(fù)最近更是成了日常手段,比如今年夏天美國對伊朗武器系統(tǒng)的攻擊(報復(fù)伊朗擊落美軍無人機)。

2018年讓我們認(rèn)識到,網(wǎng)絡(luò)世界是多么的脆弱,而2019 年則讓我們看見了網(wǎng)絡(luò)空間上的秘密軍事行動。真可謂是,長江后浪推前浪,前浪也老當(dāng)益壯。

 
 

上一篇:網(wǎng)絡(luò)安全:三大創(chuàng)新型技術(shù)來推動

下一篇:卡巴斯基安全軟件被發(fā)現(xiàn)漏洞 可為黑客提供簽名代碼執(zhí)行