01
(,锌)
国家支持的黑客组织因历史上最大的网络抢劫而闻名。2016年2月,他们袭击了孟加拉国的银行,窃取了超过1亿美元。然而,本组织所做的远不止这些。
在过去的十年中,有无数次秘密行动,从韩国网站的DDoS攻击开始,然后转向该国的金融组织和基础设施,然后在2014年攻击索尼影业,在2017年发起勒索软件。
近年来,Lazarus开始研究勒索软件和加密货币,它还将安全研究人员作为目标,以获取正在进行的漏洞研究的信息。卡巴斯基安全研究员德米特里加洛夫(DmitryGalov)表示,这个团队拥有无限的资源和出色的社会工程技能。
这些社会工程技能在持续的新冠肺炎病毒疫情期间发挥了作用,包括疫苗制造商在内的制药公司成为了当时拉扎勒斯最关注的目标之一。据微软称,黑客发送包含“虚构工作描述”的鱼叉式钓鱼电子邮件,引诱他们的目标点击恶意链接。
“这个团体与其他团体不同,因为虽然是国家资助的团体,但他们的目标不是州政府,而是企业,有时可能拥有某个国家的间谍可能希望获得的信息或访问权限的个人。”MalwarebytesLabs的主管亚当库贾瓦(Adam Kujawa)说。
Lazarus使用各种定制恶意软件系列,包括后门程序、隧道程序、数据挖掘程序和破坏性恶意软件,有时是内部开发的。它不遗余力地不懈运动。
MandiantThreatIntelligence表示:“APT38的独特之处在于,他们不害怕在行动中主动销毁证据或受害者网络。这个组织是谨慎的,经过深思熟虑的,表明它希望保持对时间,受害者环境的访问,这需要了解网络布局、所需的权限和系统技术,以实现其目标。”
02
UNC2452
UNC2452(又名黑晕、锘、银鱼、星状粒子)
2020年,数以千计的组织下载了被恶意注入的SolarWindwsOrion的软件,为攻击者进入他们的系统提供了入口。五角大楼、英国政府、欧洲议会以及全球多个政府机构和公司都是此次供应链攻击的受害者。
网络间谍活动被忽视了至少九个月,直到2020年12月8日被发现,当时安全公司FireEye宣布,它是一个国家支持的攻击者的受害者,该攻击者窃取了它的几个红队工具。事实证明,这次黑客攻击比最初想象的要广泛得多。SolarWindsOrion软件的供应链攻击只是攻击者利用的一个入口通道。研究人员发现了另一种供应链攻击,这次是针对微软云服务的。他们还注意到微软和VMware产品中的几个缺陷被利用了。
MandiantThreatIntelligence高级副总裁兼首席技术官CharlesCarmakal表示:“UNC2452是我们追踪的最先进、最有纪律、最难以捉摸的威胁行为者之一。他们的手艺非常出色,他们精通进攻和防守技巧,并利用这些知识改进了他们的入侵技术,以隐藏在显眼的地方。他补充说,UNC2452表现出“罕见的操作安全性”,能够在政府机构和公司花费足够的时间而不被抓住。
美国国家安全局、联邦调查局和其他一些美国机构表示,此次行动由俄罗斯赞助,美国实施了制裁。他们认为,这次黑客攻击很可能是俄罗斯联邦对外情报局(SVR)所为。其他线索指向CozyBear/APT29组。
然而,故事似乎更加曲折。卡巴斯基的研究人员注意到几个代码片段,这些代码片段将这次攻击与讲俄语的团伙Turla (Snake,Uroboros)联系起来,该团伙的目标是欧洲和美国的政府和外交官。
本文链接:http://www.slxf119.com/17123.html 转载需授权!
网友评论