盘旋在中亚上空的阴影-黄金雕(APT-C-34)攻击活动揭秘.pdfVIP

盘旋在中亚上空的阴影-黄金雕(APT-C-34)攻击活动揭秘.pdf

  1. 1、本文档共25页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多

盘旋在中亚上空的阴影-黄金雕(APT-C-34)

组织攻击活动揭露

1

背景

HackingTeam是为数不多的几家在全世界范围出售商业网络武器的公司之一。2015年7月5日,

HackingTeam遭遇了大型数据攻击泄漏事件,该公司已经工程化的漏洞和后门产品代码几乎被全部

公开。该事件泄露包括了Flash、Windows字体、IE、Chrome、Word、PPT、Excel、Android的未公

开0day漏洞,覆盖了大部分的桌面电脑和超过一半的智能手机。泄露的网络武器被黑客大肆利用,

随后HackingTeam公司也宣布破产被并购。2015年后,有关HackingTeam的活动突然肖声觅迹。

2018年在乌俄两国突发“刻赤海峡”事件的危机时刻,360高级威胁应对团队在全球范围内率先发

现了一起针对俄罗斯的APT攻击行动,攻击者精心准备了一份俄文内容的员工问卷的诱饵文档,根

据文档内容推测,攻击所指向的是俄罗斯总统办公室所属的医疗机构,结合被攻击目标医疗机构的职

能特色,我们将APT攻击命名为了“毒针”行动。我们无法确定“毒针”行动的动机和攻击身份,但攻击

所指向的医疗机构特殊背景,使攻击表现出了明确的定向性,同时攻击发生在“刻赤海峡”危机的敏感

时段,也为攻击带上了一些未知的政治意图。

我们发现“毒针”行动使用了Flash0day漏洞cve-2018-15982,后门程序疑似自于意大利网络武

器军火商HackingTeam,所以不难推测其背后的APT组织可能经常采购商业网络武器。种种迹象表

明HackingTeam的生意并没有消失,这引发了我们对HackingTeam网络武器再次追踪的兴趣,我们

尝试针对HackingTeam网络武器进行关联追踪,意料之外地发现了一支未被披露过的俄语系APT组

织,该组织的活动主要影响中亚地区,大部分集中在哈萨克坦国境内。因为是全球首次发现披露,我

们参照中亚地区擅长驯养猎鹰进行狩猎的习俗特性,将该组织命名为黄金雕(APT-C-34)。

概要

在针对HackingTeam后门程序研究过程中,我们从360的大数据中找到了更多的在野攻击中使

用的HackingTeam后门程序,通过对程序的同源性进行分析,关联扩展发现了大量不同种类的后门

程序。通过持续一年的观察和一步一步的深入调查分析,我们挖掘了更多的细节信息,逐渐整合形成

2

了黄金雕(APT-C-34)组织的全貌。

黄金雕(APT-C-34)组织的受害者广泛分布中亚地区,主要活跃在哈萨克斯坦国境内,涉及各

行各业,包括教育、航空航天、政府机关、媒体工作人员等,其中部分受害者有中国背景,涉及我方

与哈萨克合作项目,而极少数的人位于西北部地区。该组织背后疑似有政府实体机构支持其行动。

在技术手段上,除了传统的后门程序,黄金雕(APT-C-34)组织还采购了HackingTeam和NSO

的商业间谍软件。我们发现该组织的HackingTeam后门版本号为10.3.0,与“毒针”行动的后门版本号

相同。在攻击方式上,除了使用了传统的社会工程学等手段外,该组织也大量使用了物理接触的方式

投递恶意程序(例如U盘等);除此之外,其也有使用特殊侦查设备对目标直接进行窃听和信号获取

的迹象。

3

攻击影响范围

对受害者进行分析统计,绝大部分受害者都集中在哈萨克斯坦国境内,涉及各行各业,从相关数

据中看,包括教育行业、政府机关人员、科研人员、媒体工作人员、部分商务工业、军方人员、宗教

人员、政府异见人士和外交人员。

波及我国的主要人员绝大部分也集中在哈萨克斯坦国境内,包括留学生群体、驻哈萨克斯坦教育

机构、驻哈萨克斯坦相关工程项目组,极少数的受害者分布在我国西北部地区,涉及政府工作人员。

在该组织的CC服务器上,我们发现了大量的根据哈萨克斯坦城市命名的文件夹,包含了大部

分哈萨克斯坦的主要城市。

文件

文档评论(0)

qd002 + 关注
实名认证
文档贡献者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档