信息来源:mottoin
一转眼,2019年只剩下最后一个月了。过去11个月里,威胁领域的变化十分明显。从2018年下半年到2019年上半年,研究人员发现了新的对手以及更公开的网络攻击方法。
新的对手——RedCurl
2019 年,一个名为RedCurl的新晋黑客组织开始崭露头角,这个组织既当间谍又搞金融盗窃,而且攻击范围很广,保险、咨询、采矿、炼钢、零售与建筑公司一个都不放过。Group-IB表示,RedCurl 背后的黑客技术超群,非常难追踪。RedCurl 能一直成功隐藏自己主要还是因为其用合法服务与自己的命令与控制(C2)服务器进行通信。
为了干坏事,黑客非常依赖自定义的木马。得手后的第一个任务就是窃取受害者的重要文档,随后安装 XMRIG 来进行门罗币挖矿活动。大佬总是挑剔的,这么厉害的组织也不是什么都要的,RedCurl组织主要针对协议、付款与合同等信息。
与以往粗狂的攻击方式不同,RedCurl组织的钓鱼攻击方法可是相当专业。它们会针对不同的受害者定制专门的钓鱼邮件,这样成功率更高。
RedCurl的大部分受害者都分布在东欧,但北美也有一家公司中招。从钓鱼邮件中所用的语言以及黑客组织使用的电邮服务来看,该组织中至少有一个人是说俄语的。
但是目前RedCurl组织的真面目还不清楚,没人知道它们到底是网络犯罪组织,还是某个国家的APT组织。
向钱看的组织
Group-IB列出了五个针对金融机构的活跃的网络犯罪组织,其中有三个组织(Cobalt、 Silence以及MoneyTaker)都说俄语,可以熟练的利用木马控制自动取款机。
其余两个组织(Lazarus和SilentCard)都是来自肯尼亚的新兴组织,主要针对非洲的银行。虽然技术不怎么样,但也足够他们在非洲大陆上横行霸道了。
虽然网络上针对金融机构犯罪组织远不止这五个,可是这五个能带来非常严重的破坏。
这些组织通常会在被攻破的网络上花费大量时间,以便它们能像被监控的受害者一样管理金融业务。Group-IB 绘制的网络攻击地图显示,不管成功与否,这些组织从2018 年下半年开始就进入了活跃期,几乎每个月都有大动作。
目前,研究人员还没有有关SilentCard组织的详细信息,但确信该组织在肯尼亚运行并且成功发起过两次攻击。借助仅有的恶意软件样本,Group-IB 猜测 SilentCard 攻击公司网络时使用了一种自行研发的控制设备。
背后有国家撑腰的黑客
2018年下半年到2019年上半年,背后有国家撑腰的黑客(APT组织)依然很忙。在Group-IB 列出的38个组织中,有7个是今年新冒头的组织。虽然这些组织今年才被发现,但他们有的最早从2011年就开始运行了。
其中的典型例子就是 Windshift,网络安全公司DarkMatter去年8月份还专门对其工具与策略进行了分析。不过,它们在2017年就开始当网络间谍,针对中东地区政府雇员和关键基础设施刺探情报了。
Blue Mushroom(又名Sapphire Mushroom和APT-C-12)则是个 2011 年就开始正式运行的黑客组织,但去年年中Blue Mushroom才被发现。这个组织主要针对核工业与科学研究机构。
Gallmaker也是2018年才被发现的APT组织,赛门铁克认为2017年年末Gallmaker组织就正式成立了。据悉,Gallmaker主要依靠自制工具对政府和军事目标发动攻击。
今年年初奇虎360的一份报告则显示,名为APT-C-36(又名Blind Eagle)的南美黑客组织多次对重要公司与政府机构的商业机密进行盗窃。
名为Whitefly的黑客组织则盯上了新加坡的医疗、媒体、通讯与工程公司,Whitefly组织从2017年就开始活动,去年7月因为攻击新加坡最大的公共卫生机构而一战成名,当时大约150万名病人的资料被窃取。
Hexane与Lyceum则主要针对中东地区的关键基础设施,今年8月份它们才被发现。
第七家APT组织TajMahal到现在才只是小荷才露尖尖角,关于它的资料还很少。卡巴斯基发现它们的攻击框架相当高级,单是一个套件就包含了80个模组,TajMahal正是用它攻破了中亚某外交机构的防御。
网络战升级
对国家来说,网络安全已经成了最重要的一环。从现有形势来看,黑客们已经不屑于隐藏自己,反正不承认就行了。此外,黑客也不再为了钱发起攻击,毕竟今年有许多能源厂遭受了黑客攻击,这可不能为黑客带来利润。为此,政府机构也不得不加紧数字工具的升级,以防出现不测。
借网络攻击对敌人进行报复最近更是成了日常手段,比如今年夏天美国对伊朗武器系统的攻击(报复伊朗击落美军无人机)。
2018年让我们认识到,网络世界是多么的脆弱,而2019 年则让我们看见了网络空间上的秘密军事行动。真可谓是,长江后浪推前浪,前浪也老当益壮。