- 1、本文档共25页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
盘旋在中亚上空的阴影-黄金雕(APT-C-34)
组织攻击活动揭露
1
背景
HackingTeam是为数不多的几家在全世界范围出售商业网络武器的公司之一。2015年7月5日,
HackingTeam遭遇了大型数据攻击泄漏事件,该公司已经工程化的漏洞和后门产品代码几乎被全部
公开。该事件泄露包括了Flash、Windows字体、IE、Chrome、Word、PPT、Excel、Android的未公
开0day漏洞,覆盖了大部分的桌面电脑和超过一半的智能手机。泄露的网络武器被黑客大肆利用,
随后HackingTeam公司也宣布破产被并购。2015年后,有关HackingTeam的活动突然肖声觅迹。
2018年在乌俄两国突发“刻赤海峡”事件的危机时刻,360高级威胁应对团队在全球范围内率先发
现了一起针对俄罗斯的APT攻击行动,攻击者精心准备了一份俄文内容的员工问卷的诱饵文档,根
据文档内容推测,攻击所指向的是俄罗斯总统办公室所属的医疗机构,结合被攻击目标医疗机构的职
能特色,我们将APT攻击命名为了“毒针”行动。我们无法确定“毒针”行动的动机和攻击身份,但攻击
所指向的医疗机构特殊背景,使攻击表现出了明确的定向性,同时攻击发生在“刻赤海峡”危机的敏感
时段,也为攻击带上了一些未知的政治意图。
我们发现“毒针”行动使用了Flash0day漏洞cve-2018-15982,后门程序疑似自于意大利网络武
器军火商HackingTeam,所以不难推测其背后的APT组织可能经常采购商业网络武器。种种迹象表
明HackingTeam的生意并没有消失,这引发了我们对HackingTeam网络武器再次追踪的兴趣,我们
尝试针对HackingTeam网络武器进行关联追踪,意料之外地发现了一支未被披露过的俄语系APT组
织,该组织的活动主要影响中亚地区,大部分集中在哈萨克坦国境内。因为是全球首次发现披露,我
们参照中亚地区擅长驯养猎鹰进行狩猎的习俗特性,将该组织命名为黄金雕(APT-C-34)。
概要
在针对HackingTeam后门程序研究过程中,我们从360的大数据中找到了更多的在野攻击中使
用的HackingTeam后门程序,通过对程序的同源性进行分析,关联扩展发现了大量不同种类的后门
程序。通过持续一年的观察和一步一步的深入调查分析,我们挖掘了更多的细节信息,逐渐整合形成
2
了黄金雕(APT-C-34)组织的全貌。
黄金雕(APT-C-34)组织的受害者广泛分布中亚地区,主要活跃在哈萨克斯坦国境内,涉及各
行各业,包括教育、航空航天、政府机关、媒体工作人员等,其中部分受害者有中国背景,涉及我方
与哈萨克合作项目,而极少数的人位于西北部地区。该组织背后疑似有政府实体机构支持其行动。
在技术手段上,除了传统的后门程序,黄金雕(APT-C-34)组织还采购了HackingTeam和NSO
的商业间谍软件。我们发现该组织的HackingTeam后门版本号为10.3.0,与“毒针”行动的后门版本号
相同。在攻击方式上,除了使用了传统的社会工程学等手段外,该组织也大量使用了物理接触的方式
投递恶意程序(例如U盘等);除此之外,其也有使用特殊侦查设备对目标直接进行窃听和信号获取
的迹象。
3
攻击影响范围
对受害者进行分析统计,绝大部分受害者都集中在哈萨克斯坦国境内,涉及各行各业,从相关数
据中看,包括教育行业、政府机关人员、科研人员、媒体工作人员、部分商务工业、军方人员、宗教
人员、政府异见人士和外交人员。
波及我国的主要人员绝大部分也集中在哈萨克斯坦国境内,包括留学生群体、驻哈萨克斯坦教育
机构、驻哈萨克斯坦相关工程项目组,极少数的受害者分布在我国西北部地区,涉及政府工作人员。
在该组织的CC服务器上,我们发现了大量的根据哈萨克斯坦城市命名的文件夹,包含了大部
分哈萨克斯坦的主要城市。
文件
您可能关注的文档
最近下载
- 一种小鼠结直肠原位癌模型的构建方法.pdf VIP
- 百度地图-北京市购物中心报告-71页.pdf VIP
- 克莱斯勒-Grand Voyager-产品使用说明书-Grand Voyager(3.6L)-Grand Voyager(3.6L)-2013款大捷龙用户手册(产品使用说明书).pdf
- 居住绿地设计标准.pdf VIP
- 沿着塞纳河到翡冷翠.pdf VIP
- 新媒体短视频代运营.pptx VIP
- 人教版(2025)八年级英语上册 Unit 1 Happy Holiday单元检测卷(含答案及听力原文,无听力音频).doc VIP
- 2025人教版英语四年级上册Unit 4 Helping in the community单元测试试卷.docx VIP
- 企业短视频代运营.pptx VIP
- CJJ_T 294-2019 居住绿地设计标准.docx VIP
文档评论(0)