2017年第三季度清楚地表明使用中文的威胁攻击者并没有“消失”,而是仍然在积极活动,针对多个国家和垂直行业实施网络间谍攻击行动。
2017年第三季度清楚地表明使用中文的威胁攻击者并没有“消失”,而是仍然在积极活动,针对多个国家和垂直行业实施网络间谍攻击行动。第三季度,卡巴斯基实验室进行的全部24个针对高级针对性攻击的研究项目中,有10个都是来自中国地区的不同攻击者。卡巴斯基实验室最新的季度威胁情报报告中介绍了这些情况以及其他趋势。
2017年7月至9月进行的研究显示,针对性攻击领域出现了一些变化,其中涉及使用中文、俄语、英语和韩语的攻击者。期间,使用中文的网络罪犯尤其活跃。他们的复兴不仅影响了各种组织和机构,还影响了政府以及政治机构,并且对区域协议造成了巨大的影响,将国际关系带进了高级针对性攻击业务。
2017年第三季度的重点发现包括:
- 使用中文的攻击者发起的网络间谍攻击日益猖獗。 其中最有趣的攻击为Netsarang/ShadowPad攻击和CCleaner攻击。这两种攻击都涉及将后门程序嵌入合法软件的安装包中。仅CCleaner攻击就造成了200万台计算机感染,使得其成为2017年规模最大的攻击之一。
- 使用中文的攻击者对攻击战略设施和经济部门的兴趣加大。至少有两起不同的报道证实了这一点:
- 针对俄罗斯和蒙古航空公司和研究机构的IronHusky攻击。这起攻击于7月份被发现,当时这两个国家同时受到使用中文的攻击者利用Poison Ivy的变种进行的攻击。这次袭击与蒙古的防空前景有关,这是今年早些时候与俄罗斯谈判的一个重要议题。
- 针对印度和俄罗斯能源行业的H2ODecomposition攻击。这两个国家的能源行业都遭受到一种被称为“H2ODecomposition”的恶意软件的攻击。一些情况下,这种恶意软件会伪装成一种印度常用的反病毒解决方案(QuickHeal)。
此外,卡巴斯基实验室专家在2017年第三季度发表了多个关于使用俄语的攻击者报告。他们大多致力于金融攻击和ATM攻击,但是有一篇报告分析了Sofacy攻击组织在夏季的活动情况,表明该攻击组织仍然处于活动状态。
说到使用英语的攻击者,第三季度还发现了Lambert家族的另一个成员——Red Lambert。Lamberts是一种复杂的攻击工具,从2008年起,就一直被网络攻击者用来针对重要的目标实施攻击。Red Lambert是一种网络驱动的后门程序,是之前对Grey Lambert进行分析时发现的,这种工具会在命令和控制服务器通讯中替代硬编码的SSL证书。
“针对性威胁环境不断演化,网络罪犯不仅更有所准备,在技术上也越来越复杂,在地域方面也更为广泛。这次使用中文的攻击组织的兴起再一次表明了企业和组织投资威胁情报的重要性,让企业和组织对最新的趋势和发展有深入的了解,”卡巴斯基实验室全球研究和分析团队首席安全研究员Brian Bartholomew说。
第三季度APT趋势报告总结了卡巴斯基实验室仅提供给订阅用户的威胁情报报告的主要发现。2017年第三季度,卡巴斯基实验室全球研究和分析团队共为订阅用户提供了24份报告,其中包括可以帮助进行取证分析和追踪恶意软件的感染迹象(IOC)数据和YARA规则。
更多详情,请联系:intelreports@kaspersky.com
