总部位于摩纳哥的国际田联发布公告称,黑客组织“APT28”对国际田联的系统进行了攻击。国际田联2017年1月联系到一家英国网络安全公司,对国际田联系统进行技术性调查,这家公司随后发现国际田联的系统遭到攻击,黑客组织从文件服务器中取出关于运动员“治疗用药豁免”的元数据,并将这些元数据存储到另一个新建文件中。国际田联表示,尚不确定有经常盗取相关信息的行为,但黑客组织的兴趣和目的显而易见,并拥有��意获取文件内相关内容的途径和手段。此前APT28攻击世界反兴奋剂机构的数据库,后者相继披露多批享有“治疗用药豁免”的运动员名单。世界反兴奋剂机构发表声明,称该黑客组织来自俄罗斯的一家网络间谍机构,俄罗斯方面则否认与此攻击之间具有某种联系。
8、FIN7 的网络攻击扩展到一些零售企业
FIN7(也被称为Anunak或银行大盗Carbanak)是目前为止组织最为严密的复杂网络犯罪组织,主要对美国金融机构渗透攻击。自2017年初起开始活跃,因攻击美国公司窃取支付卡数据而广为人知。2017年3月,FireEye发布了一篇名黑客组织FIN7的APT攻击简报,报告称FIN7组织以钓鱼邮件为攻击渠道,在整个攻击过程中,没有使用到PE文件,这在一定程度上躲避了安全软件的查杀。落地的文件也进行了技术上的隐藏,而真正的后门程序却以加密的方式存储在注册表中。组织的攻击利用DNS协议的TXT字段进行C&C通信。2017年6月FIN7利用新的无文件多段式攻击瞄准美国连锁餐厅,表明FIN7的网络攻击已经扩展到零售企业。
9、伊朗APT组织CopyKittens大规模间谍活动
2017年7月25日,以色列安全公司ClearSky研究人员发布一份详细报告,指出伊朗APT组织CopyKittens针对以色列、沙特阿拉伯、土耳其、美国、约旦与德国等国家与地区的政府、国防与学术机构展开新一轮大规模网络间谍活动。APT 组织CopyKittens(又名:Rocket Kittens)至少从2013年以来就一直处于活跃状态,曾于2015年面向中东地区55个目标展开攻击。据悉该报告详细介绍CopyKittens在新网络间谍活动中采取的主要攻击手段:
(1)水坑攻击:通过植入JavaScript至受害网站分发恶意软件,其主要针对新闻媒体与政府机构网站。
(2)Web 入侵:利用精心构造的电子邮件诱导受害者连接恶意网站,从而控制目标系统。
(3)恶意文件:利用漏洞(CVE-2017-0199)传播恶意Microsoft Office文档。
(4)服务器漏洞利用:利用漏洞扫描程序与SQLi工具Havij、sqlmap与Acunetix有效规避Web服务器检测。
(5)冒充社交媒体用户:通过与目标系统建立信任传播恶意链接。
ClearSky公司威胁情报负责人伊雅·瑟拉表示,“他们在网络间谍组织当中处于较低水平线,且未使用零日漏洞,他们自主开发的工具在多个层面都要逊于其它同类恶意组织。”
总体而言,该组织的战术、技术与程序(TTP),主要包括恶意邮件附件、钓鱼攻击、Web应用程序攻击,这些并无亮眼之处,而且直到2016年开始才着手利用水坑式攻击。然而,他们获得的持续成功证明,技术水平相对较低但坚持不懈的威胁方仍然能够成功完成目标。
10、Lazarus APT魔爪伸向加密货币
安全公司Proofpoint近日发现Lazarus APT组织对加密货币极为关注,并试图利用公众、媒体对加密货币价格暴涨的浓厚兴趣展开攻击。因此Proofpoint推断Lazarus的攻击行动可能与经济利益挂钩。Lazarus(音译“拉撒路”)堪称全球金融机构首要威胁。该组织自2009年以来一直处于活跃状态,据推测早在2007年就已涉足摧毁数据及破坏系统的网络间谍活动。由于美国经济制裁的压力,且朝鲜国内军事投入成本需求不断增加,故而,原先以获取政府、军事信息、破坏网络正常运行的大规模的朝鲜黑客组织,如Lazarus等,近来已经将视线转向金融机构、赌场、参与金融贸易软件开发的公司、虚拟货币等更为经济型的目标,将窃取到资金转移到朝鲜国内。
四、趋势展望 (一)勒索病毒技术手段愈加复杂