最后更新于2023年5月12日(星期五)22:21:40 GMT

每天都有新的威胁出现(超过23万种新的恶意软件 每天都被放归野外), 要跟上最新的潮流是很难的, 包括负责他们的演员.

威胁行为者是针对特定目标发动攻击的个人或组织. 这些演员通常有一种他们喜欢专注的特定风格. 在这篇文章中, 我们将深入研究一些顶级威胁演员, 并为您提供如何预防和应对的见解,如果遇到.

几个著名的威胁演员

APT10

APT10是一家成立于2009年初的中国公司. 他们的主要任务似乎是瞄准世界各地的国防承包商. 他们的其他名字还有钾和红色阿波罗.

Turla

Turla是一个受欢迎的俄罗斯组织,以攻击世界各地的政府机构而闻名. Turla可能确实是迄今为止最古老的APT组织之一. 其他别名包括waterbug、氪和wipbot.

Gosya

A popular Russian hacker who seems obsessed with earning his street cred; he can be found in online Russian forums w在这里 he has been spotted selling 的 infamous Nuke Bot.

Darkhotel

这个全面发展的行动者在全球范围内进行恶意行为, 但主要停留在亚洲地区. 他们通过入侵酒店Wifi系统获得了他们的名字, 但最近已经转向了比特流领域. 他们还化名为Tapaoux.

Mr. 阿宝的熊猫

这个演员的主要目标是破坏公司网站. 他有一个Youtube频道,在那里他发布了关于网站被破坏的“如何做”, 从而通过他的知识证明了他的能力.

| | JackSparrow | |

这位演员是黑客组织“土耳其黑客”的成员. 他们试图声称自己是研究人员,但却出人意料地破坏了网站.

战术、技术、工具和目标

APT10

网络间谍不是一件容易的事,因此他被归类为专家级演员. APT10拥有各种技能,包括创建和维护包含恶意软件的恶意工具.

战术

典型的全球网络间谍活动, APT10非常有能力通过侦察收集大量的网络信息. 一旦进入,他们就会非常安静地进行横向移动,并将数据发送到网络之外.

技术

一些用于侦察和初步妥协的技术包括先进的 鱼叉式网络钓鱼 从一个已知的电子邮件域(欺骗),并创建假的电子游戏广告邮件.

工具

APT10常用的工具包括Haymaker后门、Scanbox后门和Bug Juice后门

目标

APT 10的主要目标是任何政府机构、国防承包商、医疗保健和美国企业.S. 游说团体,  包括美国在内的主要国家的机构或团体, 法国和德国是最大的.

Turla

又是一个有名的网络间谍组织, Turla一直是世界各地不同政府机构的大力倡导者.

战术

PDF漏洞和假冒flash播放器下载仍然大量存在针对性的网络钓鱼攻击. 他们甚至曾试图通过社会工程来获取初始侦察信息. 最后,他们将其归因于像CVE-2013-3346这样的零日攻击.

技术

图拉精通卫星劫持技术. 这使得他们可以从地球上的任何地方攻击,并且保持匿名. Turla是第一批真正掌握这项技术的群体之一, 并且变得非常有效率.

工具

臭名昭著的Turla使用的一些更流行的工具包括Snake(一个Urbororos rootkit), 以及用于绕过代理网络中的气隙的未命名工具. 图拉的主要目标是尽可能不被发现.

目标

中东政府机构及其军队一直是他们唯一关注的焦点, 但众所周知,它们排在北美和南美之后, 也. 他们的主要目标似乎是基于情报的目标,这将使他们在与政府机构(例如. 医药、教育、使馆).

Darkhotel

如上所述, 黑暗酒店以破坏酒店网络而闻名,目标是高调的个人.

工具

因为有很多简单的方法可以破坏酒店网络, 当谈到选择使用哪种工具时,Darkhotel有一个field day. 在使用键盘记录器之间, 在客户计算机上安装恶意软件, 打印机后面的USB橡皮鸭, 或者直接连接到室内路由器.

技术

键盘记录程序主要用于初始妥协, 因为酒店的电脑是对公众开放的. 如果没有任何作用, 可以安装一个简单的恶意软件下载程序来收集系统信息,以进一步补充酒店入侵的侦察阶段.

战术

袭击酒店的主要目的是针对任何可能住在那里或曾经住在那里的知名人士. They were known to be responsible for 的 zero day CVE-2010-0188;  which used a redirect from internet explorer (which could be easily installed on a public computer). 最后, 一旦收集到足够的目标侦察数据, 他们喜欢在目标输入受损酒店数据的基础上进行鱼叉式网络钓鱼攻击.

目标

主要是海外汽车、化工和化妆品公司成为了目标. 他们最近也被认为盯上了执法部门和非政府组织。, 也. 这些公司大多位于日本、台湾、韩国和中国.

监控或缓解建议

APT10

针对APT10和其他类似的参与者, 增加事件搜索和警报将帮助您发现任何潜在的漏洞.

特别是在APT10中,设置一个搜索或警报来显示任何 .执行的DLL文件(事件id: 4688),因为这是传递其主要有效负载的文件. 然后为下面的短语设置RC4加密监视 对不起.i_have_to_do_this. 这是他们选择的RC4字符串. 一旦被发现,你就会受到损害,但越早发现越好.

Turla

Turla可能更难找到和抓住,因为他们利用卫星劫持来保持匿名. 下面是检测Turla可能造成的危害的一个示例.

要查找的IP地址:

  • 82.146.174.58
  • 83.229.75.141
  • 92.62.218.99

常用MD5哈希值:

  • 0328年dedfce54e185ad395ac44aa4223c
  • 18 da7eea4e8a862a19c8c4f10d7341c0

最后,杀毒软件用于检测组的判定:

  • 后门.Win32.Turla.(在这里输入国家,例如. ck)

Turla中流行的源代码的完整列表可以在这里找到 在这里.

Darkhotel

《十大赌博正规信誉网址》将是最难识别的. 你需要在你的电脑或网络上运行某种类型的分析软件来建立趋势,寻找可能与Darkhotel相关的恶意软件. 围绕恶意软件的一些关键因素如下:

  • 的 .Exe名称长度为32个字符
  • 程序以root身份从C驱动器执行
  • 如果文件名以 .MD5在其名称中的任何位置
  • 特定的文件夹 \ EXE \\ SAMROOT \ 这个恶意软件的潜在发布点也是吗.

从这一点开始,您将检查符合上述标准的任何文件. 您正在观察它的行为,以及它正在与哪些其他文件进行交互. 下面是一些选择事件的例子:

  • 恶意软件正在检查模块路径,以寻找可能的沙箱情况,但同时也暴露了自己. 位置如 \沙箱\\杜鹃\ 它会在你的系统中寻找列表上的几个吗.
  • 留意你的杀毒软件 .作为Darkhotel恶意软件的exe文件将这些与它的硬编码列表进行比较,以尝试并确定您是否正在运行任何它无法与之竞争的防病毒软件. 一个例子是寻找 snxhk.dll 如果你正在运行Avast杀毒软件.
  • 该恶意软件还会尝试交叉检查包括windows进程在内的许多其他程序, 导出功能, 用户和文件系统名称. 有关这些示例的完整列表,请访问 在这里 了解更多信息.

无论你是财富500强公司的执行首席安全官,还是当地酒店负责上网特权的前台工作人员, 重要的是不仅要知道当前存在的威胁, 但也要了解哪些可能直接影响你的行业.

作为一名安全专家, 你一天只有那么多时间, 通过将你的关注范围缩小到这些最令人担忧的威胁行为者, 你不仅会在安全方面更有效率, 但是你晚上会睡得更好, 太.

要了解更多安全方面的深入研究,请查看我们的其他一些文章: