APT41
疑似来源:中国
目标行业:APT41 最早可追溯至 2012 年,直接针对至少 14 个国家/地区的组织。该团体的间谍活动以医疗保健、电信和高科技行业为目标,并且历来包括窃取知识产权。他们的网络犯罪入侵在视频游戏行业攻击中最为明显,包括操纵虚拟货币和试图部署勒索软件。APT41 针对高等教育、旅游服务和新闻/媒体公司的行动表明,该团体还跟踪个人并进行监视。
概述:APT41 是一个多产的网络威胁团体,除了可能不受国家控制的有经济利益动机的活动外,还会开展中国国家支持的间谍活动。
关联的恶意软件:已观察到 APT41 使用至少 46 种不同的代码系列和工具。
攻击途径:APT41 通常依靠带有附件(如已编译的 HTML [.chm] 文件)的鱼叉式网络钓鱼电子邮件来首先入侵其受害者。进入受害组织后,APT41 可以利用更复杂的 TTP 部署其他恶意软件。例如,在将近一年的运动中,APT41 入侵了数百个系统并使用近 150 种独特的恶意软件,包括后门程序、凭证窃取程序、键盘记录器和 rootkit。APT41 还在有限范围内部署了 rootkit 和主启动记录 (MBR) 启动套件,以隐藏其恶意软件并维护特定受害者系统的存续。
APT40
疑似来源:中国
目标行业:APT40 是一个中国网络间谍团体,通常针对对“一带一路”计划具有战略意义的国家/地区。尽管该团体的目标是全球组织,尤其是那些专注于工程和防御的组织,但它过去也在东南亚等地区对地区实体开展活动。至少从 2013 年 1 月开始,该团体已经针对一系列行业开展了活动,包括海事目标、国防、航空、化学品、研究/教育、政府和技术组织。
概述:Mandiant Intelligence 认为,APT40 的行动与中国的海军能力现代化努力相称;针对高校的大规模研究项目以及获取海洋设备和车辆的设计也体现了这一点。该团体的运营往往针对政府赞助的项目,并收集大量特定于此类项目的信息,包括提案、会议、财务数据、运输信息、计划和图纸以及原始数据。
关联的恶意软件:已观察到 APT40 使用至少 51 个不同的代码系列。其中,有 37 个是非公开的。这些非公开工具中至少有 7 个(BADSIGN、FIELDGOAL、FINDLOCK、PHOTO、SCANBOX、SOGU 和 WIDETONE)与其他可疑的中国实体存在运营商共享。
攻击途径:APT40 通常伪装成知名人士,可能对目标发送鱼叉式网络钓鱼电子邮件感兴趣。这包括假装是记者、贸易出版物人员,或相关军事组织或非政府组织 (NGO) 的人员。在某些情况下,该团体利用之前被盗用的电子邮件地址发送鱼叉式网络钓鱼电子邮件。
APT31
疑似来源:中国
目标行业:多个行业,包括政府、国际金融组织、航空航天和国防组织,以及高科技、建筑与工程、电信、媒体和保险。
概述:APT31 是中国关系网络间谍活动行为者,专注于获取可为中国政府和国有企业提供政治、经济和军事优势的信息。
关联的恶意软件:SOGU、LUCKYBIRD、SLOWGYRO、DUCKFAT
攻击途径:APT31 利用 Java 和 Adobe Flash 等应用中的漏洞破坏受害者环境。
APT30
疑似来源:中国
目标行业:东南亚国家协会 (ASEAN) 的成员
概述:APT30 不仅因长时间持续活动而著称,还因成功修改和调整源代码以维持至少 2005 年以来的相同工具、策略和基础设施而闻名。证据表明,该团体优先考虑目标,很可能在协作环境中轮班工作,并通过连贯的开发计划构建恶意软件。该团体自 2005 年起就已经有能力感染经过网闸隔离的网络。
关联的恶意软件:SHIPSHAPE、SPACESHIP、FLASHFLOOD
攻击途径:APT30 使用一套工具,包括下载程序、后门、中央控制器和若干组件,旨在感染可移动驱动器和经过网闸隔离网络窃取数据。APT30 经常为自己的 DNS 域注册恶意软件 CnC 活动。
APT27
疑似来源:中国
目标行业:APT27 瞄准了总部位于全球的多个组织,包括北美和南美、欧洲和中东。这些组织分属不同的行业,包括商业服务、高科技、政府和能源;不过,航空航天、运输或旅游等行业中也存在大量组织。
概述:APT27 从事网络操作,目标是窃取知识产权,通常专注于使特定组织在其领域内具有竞争力的数据和项目。
关联的恶意软件:PANDORA、SOGU、ZXSHELL、GHOST、WIDEBERTH、QUICKPULSE、FLOWERPOT
攻击途径:APT27 通常使用鱼叉式网络钓鱼作为初始入侵方法。APT27 威胁行为者并不以使用原始零日攻击漏洞而闻名,但他们可能会在这些漏洞公开后加以利用。至少在一个案例中,APT27 行为者利用一个受害组织中的受损账户向类似行业的其他目标受害者发送鱼叉式网络钓鱼电子邮件。此外,APT27 可能会入侵易受攻击的 Web 应用,以获取初步立足点。
APT26
疑似来源:中国
目标行业:航空、国防和能源行业等
概述:APT26 从事网络操作,目标是窃取知识产权,通常专注于使特定组织在其领域内具有竞争力的数据和项目。
关联的恶意软件:SOGU、HTRAN、POSTSIZE、TWOCHAINS、BEACON
攻击途径:该团体经常利用战略性网络破坏,一旦目标网络和自定义后门进入受害者环境,获取访问。
APT25
又称:Uncool、Vixen Panda、Ke3chang、Sushi Roll、Tor
疑似来源:中国
目标行业:美国和欧洲的国防工业基地、媒体、金融服务和交通行业。
概述:APT25 从事网络操作,目标是窃取数据。
关联的恶意软件:LINGBO、PLAYWORK、MADWOFL、MIRAGE、TOUGHROW、TOYSNAKE、SABERTOOTH
攻击途径:APT25 过去在操作中使用鱼叉式网络钓鱼,包括包含恶意附件和恶意超链接的消息。APT25 威胁行为者通常不使用零日漏洞攻击,但可能会在这些漏洞被公开后利用。
APT24
又称:PittyTiger
疑似来源:中国
目标行业:APT24 针对各种各样的行业,包括政府、医疗保健、建筑和工程、采矿、非营利以及电信行业的组织。
概述:据悉,该团体以美国和台湾等国家/地区的组织为目标。APT24 过去使用 RAR 归档实用程序对窃取的数据进行加密和压缩,然后再将其移出网络。该行为者窃取的数据主要侧重于具有政治重要意义的文件,这表明其意图是监控各个民族国家在中国正在进行的领土或主权争端问题上的立场。
关联的恶意软件:PITTYTIGER、ENFAL、TAIDOOR
攻击途径:APT24 利用军事、可再生能源或商业策略主题作为诱饵的钓鱼邮件。此外,APT24 参与网络操作,目标是窃取知识产权,通常专注于使特定组织在其领域内具有竞争力的数据和项目。
APT23
疑似来源:中国
目标行业:美国和菲律宾的媒体和政府
概述:APT23 窃取了具有政治和军事意义的信息,而不是知识产权。这表明 APT23 可能执行数据盗窃以支持更传统的间谍活动。
关联的恶意软件:NONGMIN
攻击媒介:APT23 使用鱼叉式网络钓鱼消息来入侵受害者网络,包括与教育相关的网络钓鱼诱饵。APT23 行为者并非以使用零日攻击漏洞而闻名,但该团体会在这些漏洞公开后对它们加以利用。
APT22
又称:Barista
疑似来源:中国
目标行业:东亚、欧洲和美国的众多政治、军事和经济实体
概览:我们认为 APT22 与中国有关联,并且至少从 2014 年初就开始运作,对公共和私营部门实体(包括持不同政见者)实施入侵和攻击活动。
关联的恶意软件:PISCES、SOGU、FLATNOTE、ANGRYBELL、BASELESS、SEAWOLF、LOGJAM
攻击途径:APT22 威胁行为者利用战略性网络漏洞,以便被动利用相应的目标。APT22 行为者还在受害者网络上识别了易受攻击的公共网络服务器,并上传 webshell 以获得对受害者网络的访问权限。
APT21
又称:Zhenbao
疑似来源:中国
目标行业:政府
概览:APT21 在诱饵文档中利用以国家安全问题为主题的俄语附件进行战略性攻击。从历史上看,社会工程学内容表明存在网络间谍活动,试图未经授权访问与俄罗斯国家安全有关的机密信息。对 APT21 技术的分析表明,他们的另一个焦点是反对派团体,后者寻求在中国获得更大自主权或独立性,例如来自西藏或新疆的反对派团体。
关联的恶意软件:SOGU、TEMPFUN、Gh0st、TRAVELNET、HOMEUNIX、ZEROTWO
攻击途径:APT21 利用带有恶意附件、指向恶意文件或网页的链接的鱼叉式网络钓鱼电子邮件。他们还利用战略性网络漏洞 (SWC) 攻击潜在受害者。APT21 经常使用两个后门程序,分别称为 TRAVELNET 和 TEMPFUN。值得注意的是,APT21 通常主要使用自定义后门程序,很少使用公开提供的工具。
APT20
又称:Twivy
疑似来源:中国
目标行业:建筑和工程、医疗保健、非营利组织、国防工业基地,以及化学研究和生产公司。
概览:APT20 从事网络操作,目标是窃取数据。APT20 不仅盗窃知识产权,但似乎也有意盗取特定政治利益人士的数据或监控其活动。根据可用数据,我们评估此组织是一个在中国提供一些国家赞助的自由职业者团体。
关联的恶意软件:QIAC、SOGU、Gh0st、ZXSHELL、Poison Ivy、BEACON、HOMEUNIX、STEW
攻击途径:APT20 利用战略性网络漏洞,深入了解另一组可能的目标。APT20 的许多 SWC 都托管在涉及民主、人权、新闻自由、中国少数民族等问题的网站(包括中文网站)上。
APT19
别名:Codoso 团队
疑似来源:中国
目标行业:法律和投资
概述:该团体可能由自由职业者组成,并受到中国政府的一定程度的赞助。
关联的恶意软件:BEACON、COBALTSTRIKE
攻击途径:2017 年,APT19 使用了三种不同的技术试图入侵目标。5 月初,钓鱼式攻击诱饵利用 RTF 附件,这些附件利用了 CVE 2017-0199 中所述的 Microsoft Windows 漏洞。5 月底,APT19 改为使用启用了宏的 Microsoft Excel (XLSM) 文档。在最新版本中,APT19 在 XLSM 文档中添加了应用安全名单绕过功能。至少有一种观察到的钓鱼式攻击诱饵传递了 Cobalt Strike 载荷。
APT18
别名:Wekby
疑似来源:中国
目标行业:航空航天和国防、建筑和工程、教育、健康和生物技术、高科技、电信、交通运输
概述:关于此团体的信息很少。
关联的恶意软件:Gh0st RAT
攻击途径:经常为攻击行动开发或调整零日漏洞利用,这些攻击行动很可能事先计划好。使用来自 Hacking Team 泄露的数据,这些数据展示了该团体如何转移资源(例如选择目标、准备基础架构、制作消息、更新工具),以利用意外的机会,例如新泄露的漏洞。
其他资源:博客 - 演示强攻、中国 APT 团体快速使用零日漏洞 (CVE-2015-5119),继 Hacking Team 泄露之后
APT17
别名:Tailgator 团队、Deputy Dog
疑似来源:中国
目标行业:美国政府、国际律师事务所和信息技术公司
概述:对目标组织进行网络入侵。
关联的恶意软件:BLACKCOFFEE
攻击途径:威胁团体利用创建配置文件并在论坛上发帖的功能,以嵌入已编码的命令与控制 (CnC) 以与其使用的恶意软件变体配合使用。这种技术会让网络安全专业人员难以确定 CnC 的真实位置,并让 CnC 基础设施保持更长时间的活跃状态。
APT16
疑似来源:中国
目标行业:日本和台湾的高科技、政府服务、媒体和金融服务行业组织
概览:关注台湾政治和新闻事务的中国团体。
关联的恶意软件:IRONHALO、EMER
攻击途径:向台湾媒体组织和网络邮件地址发送的鱼叉式网络钓鱼电子邮件。诱饵文档包含在台湾拍卖网站上注册和随后上架商品的说明。
APT15
疑似来源:中国
目标行业:支持中国政府利益的全球贸易目标、经济和金融、能源和军事部门。
概览:APT15 瞄准了总部位于多个位置的组织,包括多个欧洲国家/地区、美国和南非。APT15 操作者与其他中国 APT 团体共享资源,包括后门程序和基础设施。
关联的恶意软件:ENFAL、BALDEAGLE、NOISEMAKER、MIRAGE
攻击途径:APT15 通常使用特别设计的鱼叉式网络钓鱼电子邮件,对中国政府感兴趣的各个行业的全球目标进行初始攻击。值得注意的是,APT15 使用了该团体独有的后门和基础设施,增加了归因难度。
APT14
疑似来源:中国
目标行业:政府、电信、建筑和工程
概览:APT14 从事网络操作,目标是窃取数据,可能专注于军事和海事设备、运营和政策。我们认为,被盗数据(尤其是加密和卫星通信设备规格)可能用于增强军事行动,例如拦截信号或以其他方式干扰军事卫星通信网络。
关联的恶意软件:Gh0st、POISONIVY、CLUBSEAT、GROOVY
攻击途径:APT14 威胁行为者不倾向于使用零日漏洞攻击,但可能会在这些漏洞被公开后加以利用。他们可能会利用自定义 SMTP 邮件工具发送鱼叉式网络钓鱼邮件。APT14 钓鱼式攻击邮件通常会特别设计成来自受信任的组织。
APT12
又称:Calc 团队
疑似来源:中国
目标部门:记者、政府、国防工业基地
概述:APT12 被认为是一个网络间谍团体,被认为与中国人民解放军有关联。APT12 的目标与中华人民共和国 (PRC) 更大的目标一致。该团体的入侵和活动符合中华人民共和国在台湾的目标和自身利益。
关联的恶意软件:RIPTIDE、HIGHTIDE、THREBYTE、WATERSPOUT
攻击途径:Mandiant 观察到 APT12 借助有效但被盗用的账户,通过网络钓鱼电子邮件传递这些漏洞文档。根据过去的 APT12 活动,我们预计该威胁团体会继续利用网络钓鱼作为恶意软件传递方法。
APT10
又称:Menupass 团队
疑似来源:中国
目标行业:建筑与工程、航空航天和电信公司,以及美国、欧洲和日本的政府
概述:APT10 是一个中国网络间谍团体,Mandiant 自 2009 年以来一直跟踪该团体。他们过去瞄准的是建筑和工程、航空航天、电信公司,以及美国、欧洲和日本的政府。我们认为,针对这些行业的攻击一直是为了支持中国的国家安全目标,包括获取有价值的军事和情报信息,以及窃取机密商业数据以支持中国企业。
关联的恶意软件:HAYMAKER、SNUGRIDE、BUGJUICE、QUASARRAT
攻击途径:最近的 APT10 活动包括传统的鱼叉式网络钓鱼和通过托管服务提供商访问受害者网络。(有关通过服务提供商感染病毒的详细信息,请参阅 M-Trends 2016。)APT10 鱼叉式网络钓鱼一直相对简单,利用归档数据中的 .lnk 文件、双扩展名的文件(例如,[Redacted]_Group_Meeting_Document_20170222_doc_.exe)和在某些情况下简单命名的诱饵文档和恶意启动器。除了鱼叉式网络钓鱼之外,Mandiant Threat Intelligence 还观察到 APT10 通过全球服务提供商接触受害者。
APT9
疑似来源:根据可用数据,我们评估这是一个享有国家资助的自由职业者团体,这个国家可能是中国。
目标行业:总部设在多个国家/地区,行业涉及医疗保健和制药、建筑与工程、航空航天和国防等的组织。
概述:APT9 从事网络操作,目标是窃取数据,通常专注于使特定组织在其领域内具有竞争力的数据和项目。
关联的恶意软件:SOGU、HOMEUNIX、PHOTO、FUNRUN、Gh0st、ZXSHEL
攻击途径:APT9 一直以来在制药和生物技术行业非常活跃。我们观察到该行为者使用鱼叉式网络钓鱼、有效账号以及远程服务进行初始访问。至少一次,Mandiant 在生物技术行业的两家公司观察到 APT9,并怀疑 APT9 行为者可能通过两家公司之间的信任关系获得了其中一家公司的初步接触。APT9 使用很多后门程序,包括公开提供的后门程序,以及被认为是自定义但被多个 APT 团体使用的后门程序。
APT 8
疑似来源:中国
目标行业:众多行业,包括媒体和娱乐、建筑与工程以及航空航天与国防。
概述:APT8 从事网络操作,目标是窃取知识产权,通常专注于使组织在其领域内具有竞争力的数据和项目。经我们评估,这是一个位于中国的自由职业者团体,并获得国家资助。APT8 瞄准了总部位于多个国家/地区的组织,包括美国、德国、英国、印度和日本。
关联的恶意软件:HASH、FLYZAP、GOLFPRO、SAFEPUTT
攻击途径:APT8 行为者通常使用带有恶意附件或链接的鱼叉式网络钓鱼电子邮件,或者利用易受攻击的面向互联网的网络服务器来入侵目标组织。此外,在多次入侵中,APT8 行为者通过聊天或即时通讯程序向潜在受害者发送恶意链接。
APT 7
疑似来源:中国
目标行业:建筑、工程、航空航天和国防工业基地
概述:APT7 从事网络操作,目标是窃取知识产权,通常专注于使组织在其领域内具有竞争力的数据和项目。据悉,该团体以总部位于美国和英国的组织为目标。
关联的恶意软件:DIGDUG、TRACKS
攻击途径:APT7 威胁行为者利用对一个组织的访问权限,渗透同一企业母公司下的另一个组织。这是一种横向移动形式,但在本示例中也是第二组织的初始入侵方法。
APT6
疑似来源:中国
目标行业:交通运输、汽车、建筑和工程、电信、电子、建筑和材料
概述:APT6 从事网络操作,其目标是窃取数据,最有可能是使组织在其领域内具有竞争力的数据和项目。APT6 以总部位于美国和英国的组织为目标。
关联的恶意软件:BELUGA、EXCHAIN、PUPTENT
攻击途径:APT6 利用多个自定义后门,包括其他 APT 团体以及该团体所独有的一些后门。
APT 5
疑似来源:中国
目标行业:区域性电信提供商、全球电信和科技公司的亚洲员工、高科技制造,以及美国、欧洲和亚洲的军事应用技术。
概述:APT5 至少从 2007 年就开始活跃。APT5 瞄准或破坏了多个行业的组织,但其重点似乎是电信和技术公司,特别是有关卫星通信的信息。早在 2014 年,Mandiant Incident Response 发现 APT5 对另一个技术平台的嵌入式操作系统中的文件进行未经授权的代码修改。2015 年,APT5 入侵了一家为私人和政府实体提供服务和技术的美国电信组织。在这次入侵中,行为者下载并修改了一些与公司网络路由器相关的路由器图像。同样在此期间,APT5 窃取了南亚国防组织提供的军事技术相关文件。观察到的文件名表明行为者对产品规格、技术产品相关电子邮件、采购出价和提案,以及无人机 (UAV) 文档感兴趣。
关联的恶意软件:BRIGHTCREST、SWEETCOLA、SPIRITBOX、PALEJAB、WIDERIM、WINVAULT、HAPPYSAD、BIRDWORLD、FARCRY、CYFREE、FULLSILO、HELLOTHEWORLD、HAZELNUT、GIF89A、SCREENBIND、SHINYFUR、TRUCKBED、LEOUNCIA、FREESWIM、PULLTAB、HIREDHELP、NEDDYHORSE、PITCHFORK、BRIGHTCOMB、ENCORE、TABCTENG、SHORTLEASH、CLEANACT、BRIGHTCYAN、DANCEPARTY、HALFBACK、PUSHBACK、COOLWHIP、LOWBID、TIGHTROPE、DIRTYWORD、AURIGA、KEYFANG、Poison Ivy
攻击途径:它似乎是一个由多个子群组组成的大型威胁团体,通常具有不同的战术和基础设施。该团体使用具有键盘记录功能的恶意软件,专门针对电信公司的企业网络、员工和高管层。APT5 对破坏网络设备以及操纵支持这些设备的底层软件表现出浓厚的兴趣。
APT 4
又称:Maverick Panda、Sykipot Group、Wisp
疑似来源:中国
目标行业:航空航天和国防、工业工程、电子、汽车、政府、电信和交通运输
概述:APT4 攻击国防工业基地 (DIB) 的频率似乎高于其他商业组织。然而,APT4 的针对性入侵历史很广。
关联的恶意软件:GETKYS、LIFESAVER、CCHIP、SHYLILT、SWEETTOOTH、PHOTO、SOGO
攻击途径:APT4 行为者通常利用美国政府、国防部或国防工业基础主题来使用鱼叉式网络钓鱼消息。APT4 行为者可能会在其消息正文中重复使用政府或美国国防部网站的有效内容,以增加其合法性。
APT 3
又称:UPS Team
疑似来源:中国
目标行业:航空航天和国防、建筑与工程、高科技、电信、交通运输
概述:APT3 作为 Mandiant 跟踪的中国威胁团体,是 Mandiant Threat Intelligence 跟踪的更复杂的威胁团体之一,他们过去使用基于浏览器的漏洞展开零日攻击(例如,Internet Explorer、Firefox 和 Adobe Flash Player)。在成功利用目标主机后,该团体将快速转储凭据、横向移至其他主机并安装自定义后门。APT3 的命令与控制 (CnC) 基础设施很难跟踪,因为各活动之间几乎没有重叠。
关联的恶意软件:SHOTPUT、COOKIECUTTER、SOGU
攻击途径:APT3 使用的网络钓鱼电子邮件在本质上通常是通用的,几乎看起来像垃圾邮件。攻击利用了 Adobe Flash Player 解析 Flash 视频 (FLV) 文件的方式上未修补的漏洞。该漏洞利用常见的矢量损坏技术来绕过地址空间布局随机化 (ASLR),并使用面向返回编程 (ROP) 的程序来绕过数据执行保护 (DEP)。他们的 ROP 技术用得很巧妙,更容易被利用,并且能够规避一些 ROP 检测技术。Shellcode 与解密所用的密钥一起存储在打包的 Adobe Flash Player 漏洞文件中。载荷采用 XOR 编码并隐藏在图片内。
APT 2
疑似来源:中国
目标行业:军事和航空航天
概述:该团体在 2010 年首次被观察到。APT2 从事网络操作,目标是窃取知识产权,通常专注于使组织在其领域内具有竞争力的数据和项目。
关联的恶意软件:MOOSE、WARP
攻击途径:利用 CVE-2012-0158 的鱼叉式网络钓鱼电子邮件。
APT 30
疑似来源:中国
目标行业:东南亚国家协会 (ASEAN) 的成员
概述:APT30 不仅因长时间持续活动而著称,还因成功修改和调整源代码以维持至少 2005 年以来的相同工具、策略和基础设施而闻名。证据表明,该团体优先考虑目标,很可能在协作环境中轮班工作,并通过连贯的开发计划构建恶意软件。该团体自 2005 年起就已经有能力感染经过网闸隔离的网络。
关联的恶意软件:SHIPSHAPE、SPACESHIP、FLASHFLOOD
攻击途径:APT30 使用一套工具,包括下载程序、后门、中央控制器和若干组件,旨在感染可移动驱动器和经过网闸隔离网络窃取数据。APT30 经常为自己的 DNS 域注册恶意软件 CnC 活动。
APT 27
疑似来源:中国
目标行业:APT27 瞄准了总部位于全球的多个组织,包括北美和南美、欧洲和中东。这些组织分属不同的行业,包括商业服务、高科技、政府和能源;不过,航空航天、运输或旅游等行业中也存在大量组织。
概述:APT27 从事网络操作,目标是窃取知识产权,通常专注于使特定组织在其领域内具有竞争力的数据和项目。
关联的恶意软件:PANDORA、SOGU、ZXSHELL、GHOST、WIDEBERTH、QUICKPULSE、FLOWERPOT
攻击途径:APT27 通常使用鱼叉式网络钓鱼作为初始入侵方法。APT27 威胁行为者并不以使用原始零日攻击漏洞而闻名,但他们可能会在这些漏洞公开后加以利用。至少在一个案例中,APT27 行为者利用一个受害组织中的受损账户向类似行业的其他目标受害者发送鱼叉式网络钓鱼电子邮件。此外,APT27 可能会入侵易受攻击的 Web 应用,以获取初步立足点。
APT 26
疑似来源:中国
目标行业:航空、国防和能源行业等
概述:APT26 从事网络操作,目标是窃取知识产权,通常专注于使特定组织在其领域内具有竞争力的数据和项目。
关联的恶意软件:SOGU、HTRAN、POSTSIZE、TWOCHAINS、BEACON
攻击途径:该团体经常利用战略性网络破坏,一旦目标网络和自定义后门进入受害者环境,获取访问。
APT 25
又称:Uncool、Vixen Panda、Ke3chang、Sushi Roll、Tor
疑似来源:中国
目标行业:美国和欧洲的国防工业基地、媒体、金融服务和交通行业。
概述:APT25 从事网络操作,目标是窃取数据。
关联的恶意软件:LINGBO、PLAYWORK、MADWOFL、MIRAGE、TOUGHROW、TOYSNAKE、SABERTOOTH
攻击途径:APT25 过去在操作中使用鱼叉式网络钓鱼,包括包含恶意附件和恶意超链接的消息。APT25 威胁行为者通常不使用零日漏洞攻击,但可能会在这些漏洞被公开后利用。
APT 24
又称:PittyTiger
疑似来源:中国
目标行业:APT24 针对各种各样的行业,包括政府、医疗保健、建筑和工程、采矿、非营利以及电信行业的组织。
概述:据悉,该团体以美国和台湾等国家/地区的组织为目标。APT24 过去使用 RAR 归档实用程序对窃取的数据进行加密和压缩,然后再将其移出网络。该行为者窃取的数据主要侧重于具有政治重要意义的文件,这表明其意图是监控各个民族国家在中国正在进行的领土或主权争端问题上的立场。
关联的恶意软件:PITTYTIGER、ENFAL、TAIDOOR
攻击途径:APT24 利用军事、可再生能源或商业策略主题作为诱饵的钓鱼邮件。此外,APT24 参与网络操作,目标是窃取知识产权,通常专注于使特定组织在其领域内具有竞争力的数据和项目。
APT 23
疑似来源:中国
目标行业:美国和菲律宾的媒体和政府
概述:APT23 窃取了具有政治和军事意义的信息,而不是知识产权。这表明 APT23 可能执行数据盗窃以支持更传统的间谍活动。
关联的恶意软件:NONGMIN
攻击媒介:APT23 使用鱼叉式网络钓鱼消息来入侵受害者网络,包括与教育相关的网络钓鱼诱饵。APT23 行为者并非以使用零日攻击漏洞而闻名,但该团体会在这些漏洞公开后对它们加以利用。
APT 12
又称:Calc 团队
疑似来源:中国
目标行业:记者、政府、国防工业基地
概述:APT12 被认为是一个网络间谍团体,被认为与中国人民解放军有关联。APT12 的目标与中华人民共和国 (PRC) 更大的目标一致。该团体的入侵和活动符合中华人民共和国在台湾的目标和自身利益。
关联的恶意软件:RIPTIDE、HIGHTIDE、THREBYTE、WATERSPOUT
攻击途径:Mandiant 观察到 APT12 借助有效但被盗用的账号,通过钓鱼邮件传递这些漏洞文档。根据过去的 APT12 活动,我们预计该威胁团体会继续利用网络钓鱼作为恶意软件传递方法。
APT 10
又称:Menupass 团队
疑似来源:中国
目标行业:建筑与工程、航空航天和电信公司,以及美国、欧洲和日本的政府
概述:APT10 是一个中国网络间谍团体,Mandiant 自 2009 年以来一直跟踪该团体。他们过去瞄准的是建筑和工程、航空航天、电信公司,以及美国、欧洲和日本的政府。我们认为,针对这些行业的攻击一直是为了支持中国的国家安全目标,包括获取有价值的军事和情报信息,以及窃取机密商业数据以支持中国企业。
关联的恶意软件:HAYMAKER、SNUGRIDE、BUGJUICE、QUASARRAT
攻击途径:最近的 APT10 活动包括传统的鱼叉式网络钓鱼和通过托管服务提供商访问受害者网络。(如需详细了解通过服务提供商感染病毒,请参阅 M-Trends 2016。)APT10 鱼叉式网络钓鱼一直相对简单,利用归档数据中的 .lnk 文件、双扩展名的文件(例如,[Redacted]_Group_Meeting_Document_20170222_doc_.exe)和在某些情况下简单命名的诱饵文档和恶意启动器。除了鱼叉式网络钓鱼之外,Mandiant Threat Intelligence 还观察到 APT10 通过全球服务提供商接触受害者。
APT 9
疑似来源:根据可用数据,我们评估这是一个享有国家资助的自由职业者团体,这个国家可能是中国。
目标行业:总部设在多个国家/地区,行业涉及医疗保健和制药、建筑与工程、航空航天和国防等的组织。
概述:APT9 从事网络操作,目标是窃取数据,通常专注于使特定组织在其领域内具有竞争力的数据和项目。
关联的恶意软件:SOGU、HOMEUNIX、PHOTO、FUNRUN、Gh0st、ZXSHEL
攻击途径:APT9 一直以来在制药和生物技术行业非常活跃。我们观察到该行为者使用鱼叉式网络钓鱼、有效账号以及远程服务进行初始访问。至少一次,Mandiant 在生物技术行业的两家公司观察到 APT9,并怀疑 APT9 行为者可能通过两家公司之间的信任关系获得了其中一家公司的初步接触。APT9 使用很多后门程序,包括公开提供的后门程序,以及被认为是自定义但被多个 APT 团体使用的后门程序。
APT 8
疑似来源:中国
目标行业:众多行业,包括媒体和娱乐、建筑与工程以及航空航天与国防。
概述:APT8 从事网络操作,目标是窃取知识产权,通常专注于使组织在其领域内具有竞争力的数据和项目。经我们评估,这是一个位于中国的自由职业者团体,并获得国家资助。APT8 瞄准了总部位于多个国家/地区的组织,包括美国、德国、英国、印度和日本。
关联的恶意软件:HASH、FLYZAP、GOLFPRO、SAFEPUTT
攻击途径:APT8 行为者通常使用带有恶意附件或链接的鱼叉式网络钓鱼电子邮件,或者利用易受攻击的面向互联网的网络服务器来入侵目标组织。此外,在多次入侵中,APT8 行为者通过聊天或即时通讯程序向潜在受害者发送恶意链接。
APT 7
疑似来源:中国
目标行业:建筑、工程、航空航天和国防工业基地
概述:APT7 从事网络操作,目标是窃取知识产权,通常专注于使组织在其领域内具有竞争力的数据和项目。据悉,该团体以总部位于美国和英国的组织为目标。
关联的恶意软件:DIGDUG、TRACKS
攻击途径:APT7 威胁行为者利用对一个组织的访问权限,渗透同一企业母公司下的另一个组织。这是一种横向移动形式,但在本示例中也是第二组织的初始入侵方法。
APT 6
疑似来源:中国
目标行业:交通运输、汽车、建筑和工程、电信、电子、建筑和材料
概述:APT6 从事网络操作,其目标是窃取数据,最有可能是使组织在其领域内具有竞争力的数据和项目。APT6 以总部位于美国和英国的组织为目标。
关联的恶意软件:BELUGA、EXCHAIN、PUPTENT
攻击途径:APT6 利用多个自定义后门,包括其他 APT 团体以及该团体所独有的一些后门。
APT 5
疑似来源:中国
目标行业:区域性电信提供商、全球电信和科技公司的亚洲员工、高科技制造,以及美国、欧洲和亚洲的军事应用技术。
概述:APT5 至少从 2007 年就开始活跃。APT5 瞄准或破坏了多个行业的组织,但其重点似乎是电信和技术公司,特别是有关卫星通信的信息。早在 2014 年,Mandiant Incident Response 发现 APT5 对另一个技术平台的嵌入式操作系统中的文件进行未经授权的代码修改。2015 年,APT5 入侵了一家为私人和政府实体提供服务和技术的美国电信组织。在这次入侵中,行为者下载并修改了一些与公司网络路由器相关的路由器图像。同样在此期间,APT5 窃取了南亚国防组织提供的军事技术相关文件。观察到的文件名表明行为者对产品规格、技术产品相关电子邮件、采购出价和提案,以及无人机 (UAV) 文档感兴趣。
关联的恶意软件:BRIGHTCREST、SWEETCOLA、SPIRITBOX、PALEJAB、WIDERIM、WINVAULT、HAPPYSAD、BIRDWORLD、FARCRY、CYFREE、FULLSILO、HELLOTHEWORLD、HAZELNUT、GIF89A、SCREENBIND、SHINYFUR、TRUCKBED、LEOUNCIA、FREESWIM、PULLTAB、HIREDHELP、NEDDYHORSE、PITCHFORK、BRIGHTCOMB、ENCORE、TABCTENG、SHORTLEASH、CLEANACT、BRIGHTCYAN、DANCEPARTY、HALFBACK、PUSHBACK、COOLWHIP、LOWBID、TIGHTROPE、DIRTYWORD、AURIGA、KEYFANG、Poison Ivy
攻击途径:它似乎是一个由多个子群组组成的大型威胁团体,通常具有不同的战术和基础设施。该团体使用具有键盘记录功能的恶意软件,专门针对电信公司的企业网络、员工和高管层。APT5 对破坏网络设备以及操纵支持这些设备的底层软件表现出浓厚的兴趣。
APT 4
又称:Maverick Panda、Sykipot Group、Wisp
疑似来源:中国
目标行业:航空航天和国防、工业工程、电子、汽车、政府、电信和交通运输
概述:APT4 攻击国防工业基地 (DIB) 的频率似乎高于其他商业组织。然而,APT4 的针对性入侵历史很广。
关联的恶意软件:GETKYS、LIFESAVER、CCHIP、SHYLILT、SWEETTOOTH、PHOTO、SOGO
攻击途径:APT4 行为者通常利用美国政府、国防部或国防工业基础主题来使用鱼叉式网络钓鱼消息。APT4 行为者可能会在其消息正文中重复使用政府或美国国防部网站的有效内容,以增加其合法性。
APT 3
又称:UPS Team
疑似来源:中国
目标行业:航空航天和国防、建筑与工程、高科技、电信、交通运输
概述:APT3 作为 Mandiant 跟踪的中国威胁团体,是 Mandiant Threat Intelligence 跟踪的更复杂的威胁团体之一,他们过去使用基于浏览器的漏洞展开零日攻击(例如,Internet Explorer、Firefox 和 Adobe Flash Player)。在成功利用目标主机后,该团体将快速转储凭据、横向移至其他主机并安装自定义后门。APT3 的命令与控制 (CnC) 基础设施很难跟踪,因为各活动之间几乎没有重叠。
关联的恶意软件:SHOTPUT、COOKIECUTTER、SOGU
攻击途径:APT3 使用的网络钓鱼电子邮件在本质上通常是通用的,几乎看起来像垃圾邮件。攻击利用了 Adobe Flash Player 解析 Flash 视频 (FLV) 文件的方式上未修补的漏洞。该漏洞利用常见的矢量损坏技术来绕过地址空间布局随机化 (ASLR),并使用面向返回编程 (ROP) 的程序来绕过数据执行保护 (DEP)。他们的 ROP 技术用得很巧妙,更容易被利用,并且能够规避一些 ROP 检测技术。Shellcode 与解密所用的密钥一起存储在打包的 Adobe Flash Player 漏洞文件中。载荷采用 XOR 编码并隐藏在图片内。
APT 2
疑似来源:中国
目标行业:军事和航空航天
概述:该团体在 2010 年首次被观察到。APT2 从事网络操作,目标是窃取知识产权,通常专注于使组织在其领域内具有竞争力的数据和项目。
关联的恶意软件:MOOSE、WARP
攻击途径:利用 CVE-2012-0158 的鱼叉式网络钓鱼电子邮件。
APT 1
又称:Unit 61398、Comment Crew
疑似来源:中国人民解放军 (PLA) 总参务部 (GSD) 第三部(总参三部二局),其中最常见的军事单位封面指定员 (MUCD) 称为 61398 部队(61398 部队)。
目标行业:信息技术、航空航天、公共管理、卫星和电信、科学研究与咨询、能源、交通运输、建筑和制造、工程服务、高科技电子产品、国际组织、法律服务、媒体、广告和娱乐、导航、化学、金融服务、食品和农业、医疗保健、金属和采矿、教育
概述:APT1 系统地从至少 141 个组织窃取了数百 TB 数据,已经证明了同时从数十个组织窃取的能力和意图。该团体专注于危害英语国家/地区各行各业的组织。APT1 基础设施的规模意味着这是一个大型组织,至少有数十名、甚至数百名人工操作员。
关联的恶意软件:TROJAN.ECLTYS、BACKDOOR.BARKIOFORK、BACKDOOR.WAKEMINAP、TROJAN.DOWNBOT、BACKDOOR.DALBOT、BACKDOOR.REVIRD、TROJAN.BADNAME、BACKDOOR.WUALESS
攻击途径:最常见的初始入侵方法是鱼叉式网络钓鱼。鱼叉式网络钓鱼电子邮件包含恶意附件或指向恶意文件的超链接。邮件的主题行和正文通常与收件人相关。APT1 还使用真实的人名创建网络邮件账号。虽然 APT1 入侵者偶尔会使用公共后门程序,如 Poison Ivy 和 Gh0st RAT,但绝大多数时间他们使用看起来像是自己的定制后门程序。在他们潜伏于网络期间(可能是数年),APT1 通常会安装新的后门,因为它们在环境中声明了更多系统。这样,如果一个后门被发现并删除,他们仍然有其他可用的后门。当 APT1 存在数周后,我们通常会检测分散在受害者网络中的多个 APT1 后门程序家族。
APT43
疑似来源:朝鲜
目标行业:APT43 的行动紧扣着国家利益,并且与影响金正恩的地缘政治发展密切相关。APT43 持续针对韩国和美国组织展开间谍活动。2021 年,为应对新型冠状病毒感染 (COVID-19) 疫情,关注焦点转向了医疗保健行业。
概览:APT43 为朝鲜政权利益效力的网络威胁团体,已发起众多攻击。该团体将中等精密的技术能力与激进的社会工程学策略相结合,尤其是攻击韩国和美国政府组织、学者,以及聚焦于朝鲜半岛地缘政治问题的智库。我们认为,除了间谍活动之外,APT43 还通过网络犯罪活动为自己筹集资金,以支持其收集战略情报的主要任务。APT43 曾与其他朝鲜间谍行动者在多个行动中展开合作,这凸显了 APT43 在该政权的网络机构中的重要性。
关联的恶意软件:该团体使用许多恶意软件系列,包括但不限于 gh0st RAT、QUASARRAT、AMADEY、BITTERSWEET、COINTOSS、LATEOP
攻击途径:APT43 依赖于鱼叉式网络钓鱼活动来执行其精心策划的社会工程学策略。该团体创建了大量仿冒和欺诈性角色,用于进行社会工程学攻击,同时隐藏身份以购买运营工具和基础设施。
APT 38
疑似来源:朝鲜
目标行业:全球金融机构
概述:我们对受朝鲜政府支持的威胁团体(我们称之为 APT38)的分析表明,他们负责实施所观察到的最大规模的网络盗窃。虽然 APT38 与安全社区称之为“Lazarus”的团体共享恶意软件开发资源和朝鲜政府支持,但我们认为,APT38 的财务动机、独特的工具集、战术、技术和程序 (TTP) 非常独特,可以与其他朝鲜网络活动分开跟踪。
关联的恶意软件:这个活跃的大型威胁团体利用各种自定义恶意软件系列(包括后门程序、隧道器、数据挖掘器和破坏性恶意软件)从金融机构窃取数百万美元,并使受害者网络无法运行。
攻击途径:APT38 曾在至少 11 个国家/地区的超过 16 个组织中开展行动。该团体认真谨慎,经过计算,并且已经表现出愿意尽可能保持对受害者环境的访问权限,以了解网络布局、所需权限和系统技术,从而实现其目标。APT38 的独特之处在于,他们不怕积极摧毁属于其运营一部分的证据或受害者网络。
APT 37
疑似来源:朝鲜
目标行业:主要是韩国(也包括日本、越南和中东),各个行业,包括化学、电子、制造、航空航天、汽车和医疗保健。
概述:我们对 APT37 近期活动的分析表明,该团体的行动在不断扩大和复杂,其工具集包括访问零日漏洞和雨刷恶意软件。考虑到开发恶意软件的痕迹和目标与朝鲜政府的利益相一致,我们非常有信心地认为上述活动是代表朝鲜政府进行的。Mandiant Threat Intelligence 认为 APT37 与公开报告为 Scarcruft 和 Group123 的活动相一致。
关联的恶意软件:用于初始入侵和渗漏的一系列恶意软件。除了用于间谍用途的自定义恶意软件外,APT37 还可以访问破坏性恶意软件。
攻击途径:专门针对期望目标定制的社会工程学策略、战略性网络破坏典型的目标网络间谍活动以及使用 Torrent 文件共享网站更加随意地分发恶意软件。频繁利用 Hangul 文字处理器 (HWP) 以及 Adobe Flash 中的漏洞。该团体已证明自己能够访问零日漏洞 (CVE-2018-0802),并能够将其纳入运营。
APT42
疑似来源:伊朗
目标行业:APT42 主要以反对现任伊朗政权的个人或团体,试图获取他们的个人账号和移动设备的访问权限。该团体还一直以西方智库、研究人员、记者、现任西方政府官员、前伊朗政府官员和海外伊朗侨民为目标。
概览:APT42 是一个伊朗国家赞助的网络间谍团体,其任务是针对与伊朗政府战略利益相关的个人和组织进行信息收集和监控。该团体展开各种行动,旨在与受害者建立信任和融洽的关系,包括访问以下人员的个人和公司电子邮件账号:政府官员、前伊朗政策制定者或政治人物、伊朗侨民和反对派团体成员、记者以及参与伊朗研究的学者。
关联的恶意软件:该团体使用许多恶意软件系列,包括但不限于 TAMECAT、TABBYCAT、VBREVSHELL、POWERPOST、BROKEYOLK、CHAIRSMACK、ASYNCRAT
攻击途径:与大多数攻击团队一样,APT42 也依赖于钓鱼式攻击活动,但主要的攻击途径是使用移动设备恶意软件来跟踪受害者位置,录制电话通话内容、访问视频和图片,以及提取整个短信收件箱。
APT 39
疑似来源:伊朗
目标行业:虽然 APT39 的目标范围是全球,但其活动集中在中东。APT39 优先发展电信行业,将目标对准旅游业、支持该行业的 IT 公司和高科技行业。
概述:该团体将重点放在电信和旅游行业,这表明,该团体打算对特定个人执行监控、跟踪或监视操作,出于与国家优先事项相关的商业或运营目的收集专有或客户数据,或者创建额外的访问和途径来为未来的活动提供方便。政府实体定位表明,其潜在次级意图是收集可能有益于国家级决策的地缘政治数据。
关联的恶意软件:该团体主要利用 SEAWEED 和 CACHEMONEY 后门程序,以及 POWBAT 后门程序的特定变体。
攻击途径:对于初始入侵,Mandiant Intelligence 观察到 APT39 利用带有恶意附件和/或超链接的鱼叉式网络钓鱼,通常导致 POWBAT 感染。在某些情况下,以前被盗用的电子邮件账号也会被利用,可能会滥用固有的信任,增加成功攻击的可能性。APT39 经常注册和利用伪装成与预期目标相关的合法 Web 服务和组织的网域。此外,该团体经常识别和利用目标组织的易受攻击的网络服务器来安装 web shells(如 ANTAK 和 ASPXSPY),并使用被盗的合法凭据破坏面向外部的 Outlook Web Access (OWA) 资源。我们尚未观察到 APT39 利用漏洞。
APT 34
疑似来源:伊朗
目标行业:该威胁团队已针对金融、政府、能源、化工和电信等各个行业进行了广泛的攻击,并且很大程度上集中其在中东的运营。
概述:我们认为 APT34 参与了一项长期的网络间谍活动,主要侧重于侦察工作,以服务伊朗民族国家利益,并且至少从 2014 年开始运作。我们根据基础设施细节评估 APT34 代表伊朗政府工作,这些细节包括对伊朗的引用、对伊朗基础设施的使用以及符合国家利益的目标。
关联的恶意软件:POWBAT、POWRUNER、BONDUPDATER
攻击途径:在其最新的活动中,APT34 利用最新的 Microsoft Office 漏洞 CVE-2017-11882 来部署 POWRUNER 和 BONDUPDATER。
APT 33
疑似来源:伊朗
目标行业:航空航天、能源
概述:APT33 瞄准了总部位于美国、沙特阿拉伯和韩国的多个行业的组织。APT33 对参与军事和商业能力的航空部门以及与石化生产相关的能源部门的组织表现出特别兴趣。
关联的恶意软件:SHAPESHIFT、DROPSHOT、TURNEDUP、NANOCORE、NETWIRE、ALFA Shell
攻击途径:APT33 向从事航空工业相关工作的员工发送鱼叉式网络钓鱼电子邮件。这些电子邮件包含招募主题的诱饵和恶意 HTML 应用 (.hta) 文件的链接。这些 .hta 文件包含职位说明,以及热门就业网站上与目标个人相关的合法招聘信息的链接。
APT 28
又称:Tsar Team
疑似来源:俄罗斯政府
目标部门:高加索地区(尤其是格鲁吉亚)、东欧国家和军队、北大西洋公约组织 (NATO) 以及其他欧洲安全组织和国防公司
概览:APT28 是一支由技术精湛的开发者和运营人员组成的团队,他们收集有关国防和地缘政治问题的情报,这些情报仅对政府有用。此 APT 团体在工作时间(上午 8 点至下午 6 点)使用俄语设置编译恶意软件样本,与俄罗斯主要城市(包括莫斯科和圣彼得堡)的时区一致。这表明 APT28 从一个知名组织(很可能是俄罗斯政府)获得了直接持续的财务和其他资源。
关联的恶意软件:CHOPSTICK、SOURFACE
攻击途径:APT28 常用的工具包括 SOURFACE 下载器、其第二阶段后门 EVILTOSS 以及被称为 CHOPSTICK 的模块化植入物系列。APT28 采用 RSA 加密来保护从受害者网络移动到控制器的文件和窃取信息。自 2007 年以来,Google 还对 SOURFACE 下载程序及其周边生态系统进行了逐步和系统性的更改,表明了长期和专注的开发工作。
APT29
疑似来源:俄罗斯
目标行业:过去,其目标包括西方政府、外交事务和决策机构、政府承包商、大学,国际新闻媒体也可能包含在内。
概览:APT29 是一个位于俄罗斯的国家资助的网络间谍团体。该团体攻击能力超强,拥有一系列定制开发的工具、包括遭入侵的卫星基础设施的庞大指挥与命令 (C2) 网络(利用易识别的服务提供商),以及高水平的运营安全保障。在我们调查 APT29 的过程中,该团体表现出对受害者防御态势的高度了解,并熟悉如何规避调查人员和修复尝试。
关联的恶意软件:该团体使用许多恶意软件系列,包括但不限于 BEACON、COZYCAR、DAVESHELL、GREEDYHEIR、HTRAN、REGEORG、SEADADDY、SUNBURST
攻击途径:APT29 通常使用鱼叉式网络钓鱼来访问目标网络,但也能够执行更高级的入侵活动,例如入侵供应链。与一些威胁团体发送高度定制的、有针对性的鱼叉式网络钓鱼邮件不同,APT29 发送的电子邮件可能非常笼统。一旦取得立足点,该团体通常会安装恶意软件来设立后门,以保持长期访问权限。
APT36
疑似来源:巴基斯坦
目标行业:APT36 至少自 2013 年起就开始活跃,其入侵活动反映出该团体全力将矛头指向区域对手印度,同时也展示出该团体有意以北大西洋公约组织 (NATO) 和联合国 (UN) 等军事和政府间组织为攻击目标,因为这类组织与该区域有利害关系。此外,APT36 还瞄准了该区域以外的国家(包括美国)的多个行业。
概览:APT36 是长期从事网络间谍活动的行为者,其目的是收集情报,以支持巴基斯坦的军事和外交利益。
关联的恶意软件:该团体使用许多恶意软件系列,包括但不限于 MOONDOOR、SEEPASS、BabylonRAT、SEEKEYS、BREACHRAT、SEEDRIVE、UPDATESEE、MOONRAT、SEEGAP
攻击途径:APT36 通常利用鱼叉式网络钓鱼作为最初入侵的主要方法,并使用包含 Microsoft Windows 可执行文件和 Microsoft Office 文档(利用宏和已知漏洞)的恶意附件。该行为者发起的钓鱼式攻击诱饵通常以军事和政治为主题。我们已进一步发现,这些行为者利用一种独特的水坑攻击技术,即利用社会工程学(而不是网络漏洞)来诱使受害者下载并打开恶意 Microsoft Office 文档。
APT 35
目标行业:美国、西欧和中东的军事、外交和政府人员,媒体、能源和国防工业基地的组织,以及工程、商业服务和电信部门。
概览:APT35(又称 Newscaster Team)是伊朗政府赞助的网络间谍团队,其旨在开展长期的资源密集型活动以收集战略情报。Mandiant Threat Intelligence 观察到可追溯至 2014 年的 APT35 操作。APT35 历史上依赖于略微复杂的工具,包括公开可用的 webshell 和渗透测试工具,这表明其开发能力相对较新。然而,APT35 行动的广度和范围,特别是与其复杂的社会工程工作有关,可能表明该团体在其他领域资源充足。
关联的恶意软件:ASPXSHELLSV、BROKEYOLK、PUPYRAT、TUNNA、MANGOPUNCH、DRUBOT、HOUSEBLEND
攻击途径:APT35 通常依靠鱼叉式网络钓鱼初始攻击组织,经常使用与医疗保健、招聘信息、简历或密码政策相关的诱饵。然而,我们还发现该团体将受损账号(从以前的操作中获取的凭证)、战略性网络入侵以及针对外部 Web 应用的密码喷射攻击用作初始访问的其他技术。
APT 32
又称:OceanLotus Group
疑似来源:越南
目标行业:投资于越南制造、消费品、咨询和酒店行业的外国公司
概述:近期针对越南私人利益的活动表明,APT32 对在该国开展业务、制造或准备投资的公司构成威胁。虽然这项活动的具体动机仍然不明确,但最终可能会削弱目标组织的竞争优势。
关联的恶意软件:SoundBITE、WINDSHIELD、PHOREAL、BEACON、KOMPROGO
攻击途径:APT32 行为者利用 ActiveMime 文件,采用社会工程学方法诱使受害者启用宏。执行后,初始化文件通常会从远程服务器下载多个恶意有效负载。APT32 行为者通过鱼叉式网络钓鱼电子邮件传递恶意附件。有证据显示,其中一些邮件可能是通过 Gmail 发送的。
APT 1
又称:Unit 61398、Comment Crew
疑似来源:中国人民解放军 (PLA) 总参务部 (GSD) 第三部(总参三部二局),其中最常见的军事单位封面指定员 (MUCD) 称为 61398 部队(61398 部队)。
目标行业:信息技术、航空航天、公共管理、卫星和电信、科学研究与咨询、能源、交通、建筑和制造、工程服务、高科技电子产品、国际组织、法律服务、媒体、广告和娱乐、导航、化学、金融服务、食品和农业、医疗保健、金属和采矿、教育
概述:APT1 系统地从至少 141 个组织窃取了数百 TB 数据,已经证明了同时从数十个组织窃取的能力和意图。该团体专注于危害英语国家/地区各行各业的组织。APT1 基础设施的规模意味着这是一个大型组织,至少有数十名、甚至数百名人工操作员。
关联的恶意软件:TROJAN.ECLTYS、BACKDOOR.BARKIOFORK、BACKDOOR.WAKEMINAP、TROJAN.DOWNBOT、BACKDOOR.DALBOT、BACKDOOR.REVIRD、TROJAN.BADNAME、BACKDOOR.WUALESS
攻击途径:最常见的初始入侵方法是鱼叉式网络钓鱼。鱼叉式网络钓鱼电子邮件包含恶意附件或指向恶意文件的超链接。邮件的主题行和正文通常与收件人相关。APT1 还使用真实的人名创建网络邮件账号。虽然 APT1 入侵者偶尔会使用公共后门程序,如 Poison Ivy 和 Gh0st RAT,但绝大多数时间他们使用看起来像是自己的定制后门程序。在他们潜伏于网络期间(可能是数年),APT1 通常会安装新的后门,因为它们在环境中声明了更多系统。这样,如果一个后门被发现并删除,他们仍然有其他可用的后门。当 APT1 存在数周后,我们通常会检测分散在受害者网络中的多个 APT1 后门程序家族。
