APT41
懷疑源頭:中國
攻擊目標:APT41 已直接針對至少 14 個國家/地區的組織發動攻擊,時間最早可追溯到 2012 年。該團體的間諜活動以醫療保健、電信和高科技產業為目標,過去曾有竊取智慧財產的記錄。該團體的網路犯罪入侵活動常見於電玩遊戲產業,包括操縱虛擬貨幣以及嘗試部署勒索軟體。APT41 針對高等教育、旅遊服務和新聞/媒體公司展開的行動,顯現出該團體也會從事個人的追蹤和監視活動。
背景介紹:APT41 是一個相當活躍的網路威脅團體,除了從事不在國家控制範圍內的金融活動外,還會從事中國政府資助的間諜活動。
相關惡意軟體:已經觀察到 APT41 使用至少 46 種不同的程式碼族系和工具。
攻擊途徑:APT41 常依靠含有附件的魚叉式網路釣魚電子郵件發動攻擊,例如使用經過編譯的 HTML (.chm) 檔案進行初步入侵。一旦成功入侵受害組織,APT41 便可利用更複雜的策略、技術和程序 (TTP) 並且部署其他惡意軟體。例如,在執行將近一年的行動中,APT41 入侵了數百個系統並使用了將近 150 種不同的惡意軟體,包括後門程式、憑證竊取程式、鍵盤側錄程式和 rootkit。APT41 還在有限的基礎上部署了 rootkit 和主開機記錄 (MBR) bootkits,以利隱藏惡意軟體並長期控制選定的受害系統。
其他資源
APT40
懷疑源頭:中國
攻擊目標:APT40 是一個中國的網路間諜活動團體,鎖定的目標通常是對「一帶一路倡議」具有戰略性重要意義的國家/地區。雖然該團體以全球性組織 (尤其是工程與國防組織) 為目標對象,但過去也曾對如東南亞地區的區域性實體展開行動。至少從 2013 年 1 月起,該團體便已開始針對一系列垂直產業,包括海事目標、國防、航空、化學、研究/教育、政府和技術組織,展開行動。
背景介紹:Mandiant Intelligence 認為 APT40 的網路活動與中國海軍現代化的行動相互呼應;這也顯現在該團體將目標鎖定在各大學的大規模研究專案以及海洋設備與車輛設計的取得上。該團體的活動通常以政府資助的專案為目標,並以取得此類專案的大量資訊為目的,包括提案、會議、財務資料、運輸資訊、計劃和圖紙及原始資料。
相關惡意軟體:已觀察到 APT40 使用了至少 51 種不同的程式碼族系,其中有 37 種是非公開的。這些非公開工具中至少有七個 (BADSIGN、FIELDGOAL、FINDLOCK、PHOTO、SCANBOX、SOGU 和 WIDETONE),與其他疑似與中國有關的攻擊行動雷同。
攻擊途徑:APT40 通常會冒充知名人士,以便針對鎖定對象傳送魚叉式網路釣魚電子郵件。他們冒充的人士包括記者、行業刊物相關人員,或相關軍事機構或非政府組織 (NGO) 的成員。在一些案例中,該團體會利用已遭到入侵的電子郵件地址來傳送魚叉式網路釣魚電子郵件。
其他資源
APT31
懷疑源頭:中國
攻擊目標:多個產業和組織,包括政府、國際金融組織和航太與國防組織,以及高科技、建築和工程、電信、媒體和保險產業。
背景介紹:APT31 是與中國有關的網路間諜活動發動者,主要目的是獲取資訊,讓中國政府和國營企業能享有政治、經濟和軍事優勢。
相關惡意軟體:SOGU、LUCKYBIRD、SLOWGYRO、DUCKFAT
攻擊途徑:APT31 會利用 Java 和 Adobe Flash 等應用程式中的安全漏洞來入侵受害環境。
APT30
懷疑源頭:中國
攻擊目標:東南亞國協 (ASEAN) 成員
背景介紹:APT30 不但以長時間的持續性活動著名,還以能夠成功修改及調整原始碼而聞名,該團體自 2005 年以來使用的工具、策略和基礎架構都未改變。證據顯示,該團體的首要目標最有可是在協同環境中的輪班工作,並會按照明確的發展計畫來建置惡意軟體。該團體從 2005 年開始就具備感染實體隔離網路的能力。
相關惡意軟體:SHIPSHAPE、SPACESHIP、FLASHFLOOD
攻擊途徑:APT30 使用一整套工具,其中包括下載程式、後門程式、中央控制器,以及數個專為感染卸除式磁碟機和跨過實體隔離網路竊取資料而設計的元件。APT30 經常註冊自己的 DNS 網域以進行惡意軟體命令和控制 (CnC) 活動。
APT27
懷疑源頭:中國
攻擊目標:APT27 已鎖定總部位於全球各地的多個組織,包括北美洲和南美洲、歐洲和中東等。這些組織分屬多種不同的產業,包括商業服務、高科技、政府和能源產業,但多數屬於航太和交通運輸或旅遊產業。
背景介紹:APT27 從事以竊取智慧財產為目的的網路活動,通常以在特定領域具有競爭優勢的組織資料和專案為主要竊取目標。
相關惡意軟體:PANDORA、SOGU、ZXSHELL、GHOST、WIDEBERTH、QUICKPULSE、FLOWERPOT
攻擊途徑:APT27 經常使用魚叉式網路釣魚作為初步入侵手法。APT27 威脅發動者不傾向使用原始零時差漏洞攻擊手法,但可能會在這些漏洞被公開後利用此種攻擊手法。在至少一個案例中,APT27 發動者曾使用一個受害組織的遭入侵帳戶,向類似行業的其他受害者傳送魚叉式網路釣魚電子郵件。此外,APT27 還可能會入侵存在安全漏洞的網頁應用程式來取得立足點。
APT26
懷疑源頭:中國
攻擊目標:航太、國防、能源等產業
背景介紹:APT26 從事以竊取智慧財產為目的的網路活動,通常以在特定領域具有競爭優勢的組織資料和專案為主要竊取目標。
相關惡意軟體:SOGU、HTRAN、POSTSIZE、TWOCHAINS、BEACON
攻擊途徑:該團體經常運用策略性網路入侵 (SWC) 活動入侵目標網路,並在進入受害環境後植入特製的後門程式。
APT25
又稱為:Uncool、Vixen Panda、K3chang、Sush Roll、Tor
懷疑源頭:中國
攻擊目標:美國和歐洲的國防工業基地、媒體、金融服務及運輸產業。
背景介紹:APT25 從事以資料竊取為目的的網路活動。
相關惡意軟體:LINGBO、PLAYWORK、MADWOFL、MIRAGE、TOUGHROW、TOYSNAKE、SABERTOOTH
攻擊途徑:APT25 在過去的活動中曾用過魚叉式網路釣魚手法,包括傳送含有惡意附件和惡意超連結的訊息。APT25 威脅發動者一般不會使用零時差漏洞攻擊法,但可能會在這些漏洞被公開後利用此種攻擊手法。
APT24
又稱為:PittyTiger
懷疑源頭:中國
攻擊目標:APT24 鎖定多種行業為目標,包括政府組織、非營利組織以及醫療照護、建築和工程、採礦和電信業產業中的組織。
背景介紹:已知該團體是以總部位於美國和臺灣等國家/地區的組織為攻擊目標。APT24 過往曾使用 RAR 封存公用程式來加密及壓縮盜取的資料,然後再將其轉移到網路外。該發動者竊取的資料主要為具有重要政治意義的文件,這表明其目的是為了監控各國對中國當前的領土或主權爭議的立場。
相關惡意軟體:PITTYTIGER、ENFAL、TAIDOOR
攻擊途徑:APT24 的網路釣魚電子郵件以軍事、可再生能源或商業策略等主題作為誘餌。另外,APT24 還從事以竊取智慧財產為目的的網路活動,通常以在特定領域具有競爭優勢的組織資料和專案為主要竊取目標。
APT23
懷疑源頭:中國
攻擊目標:美國和菲律賓的媒體和政府
背景介紹:APT23 以具有政治和軍事重要性的資訊為竊取目標,而不是智慧財產。這表示 APT23 可能會為了支援較傳統的間諜活動而執行資料竊取。
相關惡意軟體:NONGMIN
攻擊途徑:APT23 使用魚叉式網路釣魚訊息來入侵受害網路,包含教育相關的網路釣魚誘餌。APT23 發動者不傾向採取零時差漏洞攻擊,但可能會在這些漏洞被公開後利用此種攻擊手法。
APT22
又稱為:Barista
懷疑源頭:中國
攻擊目標:位於東亞、歐洲和美國的眾多政治、軍事和經濟實體
背景介紹:我們認為 APT22 與中國有關聯,且至少從 2014 年初開始運作,對公私部門實體 (包括異議人士) 執行入侵和攻擊活動。
相關惡意軟體:PISCES、SOGU、FLATNOTE、ANGRYBELL、BASELESS、SEAWOLF、LOGJAM
攻擊途徑:APT22 威脅發動者運用策略性網路入侵手法,透過被動方式入侵感興趣的目標。APT22 發動者也在受害網路上找到有安全漏洞的公開網路伺服器,並上傳網路殼層來入侵受害網路。
APT21
又稱為:Zhenbao
懷疑源頭:中國
攻擊目標:政府
背景介紹:APT21 會在誘騙文件中策略性地置入以國家安全議題為主題的俄羅斯語附件。在其過往的社交工程內容中可看見網路間諜活動的跡象,企圖在未經授權的情況下,存取有關俄羅斯國家安全的保密資訊。根據對 APT21 技術分析顯示,該團體的另一個重點目標是尋求更大自主性或獨立性的中國異議團體,比如西藏或新疆的異議團體。
相關惡意軟體:SOGU、TEMPFUN、Gh0st、TRAVELNET、HOMEUNIX、ZEROTWO
攻擊途徑:APT21 利用帶有惡意附件、惡意檔案連結或網頁連結的魚叉式網路釣魚電子郵件訊息。他們也運用策略性網路入侵 (SWC) 活動來鎖定潛在受害者。APT21 經常使用兩個稱為 TRAVELNET 和 TEMPFUN 的後門程式。APT21 顯然大多使用特製的後門程式,很少使用公開流傳的工具。
APT20
又稱為:Twivy
懷疑源頭:中國
攻擊目標:營造與工程、醫療照護、非營利組織、國防工業基地,以及化學研究和生產公司。
背景介紹:APT20 從事以資料竊取為目的的網路活動。APT20 不僅竊取智慧財產,似乎也有意盜取特定政治利益人士的資料或監控其活動。根據可得資料,我們評定這是一個有中國政府資助的自由工作者團體。
相關惡意軟體:QIAC、SOGU、Gh0st、ZXSHELL、Poison Ivy、BEACON、HOMEUNIX、STEW
攻擊途徑:APT20 運用策略性網頁入侵活動深入瞭解可行動的第二目標。APT20 的策略性網頁入侵活動大都發動於談論民主、人權、新聞自由、中國少數民族及其他議題的網站上 (包括中文網站)。
APT19
又稱為:Codoso Team
懷疑源頭:中國
攻擊目標:法務與投資產業
背景介紹:一個可能由自由工作者組成的團體,得到中國政府某種程度的資助。
相關惡意軟體:BEACON、COBALTSTRIKE
攻擊途徑:在 2017 年,APT19 運用三種不同的技術來嘗試入侵目標。5 月初,網路釣魚誘餌利用 RTF 附件,入侵 CVE 2017-0199 中所述的 Microsoft Windows 安全漏洞。到了 5 月底,APT19 改用啟用巨集的 Microsoft Excel (XLSM) 文件進行入侵。在最新的版本中,APT19 在 XLSM 文件中加入了應用程式許可名單規避措施。已至少觀察到一個傳送 Cobalt Strike 酬載的網路釣魚誘餌。
APT18
又稱為:Wekby
懷疑源頭:中國
攻擊目標:航太與國防、建築和工程、教育、健康與生物科技、高科技、電信、運輸產業
背景介紹:很少有關於該團體的公開資訊。
相關惡意軟體:Gh0st RAT
攻擊途徑:利用頻繁開發或調整的零時差攻擊手法進行入侵活動,這些活動可能都經過預先規劃。運用 Hacking Team 外洩的資料,該團體能夠適時轉換資源 (如選擇目標、準備基礎架構、製作訊息、更新工具),以利用突然出現機會,例如新曝露的漏洞攻擊機會。
其他資源:網誌 – 兜售實證,Hacking Team 資料外洩事件後,中國 APT 團體迅速利用了零時差安全漏洞 (CVE-2015-5119)
APT17
又稱為:Tailgator Team、Deputy Dog
懷疑源頭:中國
攻擊目標:美國政府和國際法律事務所及資訊科技公司
背景介紹:針對目標組織進行網路入侵。
相關惡意軟體:BLACKCOFFEE
攻擊途徑:該威脅團體利用建立個人資料和在論壇中發文的能力,嵌入經過編碼的命令和控制 (CnC),以搭配其慣用的惡意軟體變體使用。這種技術讓網路安全專業人員難以判斷 CnC 的真正位置,讓 CnC 基礎架構延長活躍時間。
APT16
懷疑源頭:中國
攻擊目標:日本和臺灣高科技、政府服務、媒體及金融服務業的組織
背景介紹:位於中國的團體,涉及臺灣政治和新聞活動。
相關惡意軟體:IRONHALO、ELMER
攻擊途徑:傳送魚叉式網路釣魚電子郵件給臺灣媒體組織和網路郵件地址。誘餌文件的內容含有在臺灣拍賣網站上註冊說明及刊登商品的操作說明。
APT15
懷疑源頭:中國
攻擊目標:貿易、經濟和金融、能源和軍事領域的全球化組織,以支持中國政府的利益為其目的。
背景介紹:APT15 鎖定在多個地點設有總部的組織,包括一些歐洲國家、美國和南非。APT15 發動者會與其他中國 APT 團體共享資源,包括後門程式和基礎架構。
相關惡意軟體:ENFAL、BALDEAGLE、NOISEMAKER、MIRAGE
攻擊途徑:APT15 通常使用精心設計的魚叉式網路釣魚電子郵件,針對中國政府感興趣的各行業全球化組織進行初步入侵。很重要的是,APT15 使用非該團體特有的後門程式和基礎架構進行入侵活動,使得查找威脅源頭充滿挑戰。
APT14
懷疑源頭:中國
攻擊目標:政府、電信、建築與工程產業
背景介紹:APT14 從事以資料竊取為目的的網路活動,可能以軍事與海事設備、行動及政策為重點目標。我們認為遭竊的資料 (尤其是加密和衛星通訊設備規格) 可能用於增強軍事行動,例如攔截訊號或乾擾軍事衛星通訊網路。
相關惡意軟體:Gh0st、POISONIVY、CLUBSEAT、GROOVY
攻擊途徑:APT14 威脅發動者不傾向採取零時差漏洞攻擊,但可能會在這些漏洞被公開後利用此種攻擊手法。他們可能會利用特製的 SMTP 郵件工具傳送魚叉式網路釣魚訊息。APT14 的網路釣魚訊息通常會偽裝成來自可信的組織。
APT12
又稱為:Calc Team
懷疑源頭:中國
攻擊目標:記者、政府、國防工業基地
背景介紹:APT12 被認為是一個網路間諜活動團體,據信與中國人民解放軍有關聯。APT12 的攻擊對象與中華人民共和國 (PRC) 的目標一致。該組織進行的入侵行動和任務與中國對台灣政治作戰的目標及自我利益息息相關。
相關惡意軟體:RIPTIDE、HIGHTIDE、THREBYTE、WATERSPOUT
攻擊途徑:Mandiant 觀察到 APT12 會利用被入侵的有效帳號傳送網路釣魚電子郵件,並透過這類郵件散布帶有漏洞的文件。根據 APT12 過往的活動,我們預期這個威脅團體將繼續利用網路釣魚作為惡意軟體傳遞方法。
其他資源
APT10
又稱為:Menupass Team
懷疑源頭:中國
攻擊目標:建築和工程業、航太與電信公司,以及美國、歐洲和日本的政府機構
背景介紹:APT10 是 Mandiant 從 2009 年開始追蹤的中國網路間諜團體。以往該組織鎖定的攻擊目標為建築與工程產業、航太與電信公司,以及美國、歐洲和日本的政府機構。我們認為該組織鎖定這些產業作為目標,目的是為了幫助達成中國的國家安全目標,包括獲取寶貴的軍事和情報資訊,以及竊取機密商業資料來支持中國企業。
相關惡意軟體:HAYMAKER、SNUGRIDE、BUGJUICE、QUASARRAT
攻擊途徑:APT10 近期的活動方式包括傳統的魚叉式網路釣魚,以及透過代管服務供應商存取受害者的網路。(如需更多關於經由代管服務供應商遭受感染的資訊,請參閱 2016 年出版的 M-Trends 白皮書)。APT10 魚叉式網路釣魚的手法相對簡單,它會利用已封存的 .lnk 檔案、有雙重副檔名的檔案 (例如:[Redacted]_Group_Meeting_Document_20170222_doc_.exe),以及在某些情況下,將誘餌文件和惡意啟動程式取與封存檔相同的名稱。除了魚叉式網路釣魚外,Mandiant Threat Intelligence 也觀察到 APT10 會透過全球服務供應商存取受害者的資料。
其他資源
其他資源
APT9
懷疑源頭:根據可得資料,我們評估這是一個由某個國家 (可能是中國) 在背後資助的自由工作者團體。
攻擊目標:總部位於多個國家/地區的組織,鎖定產業包括醫療保健和製藥業、營造和工程業,以及航太和國防產業。
背景介紹:APT9 從事以資料竊取為目的的網路活動,通常以在特定領域具有競爭優勢的組織資料和專案為主要竊取目標。
相關惡意軟體:SOGU、HOMEUNIX、PHOTO、FUNRUN、Gh0st、ZXSHEL
攻擊途徑:APT9 一向活躍於製藥與生物技術產業。我們觀察到該攻擊者利用魚叉式網路釣魚、有效帳戶和遠端服務作為初步入侵管道。在至少一例中,Mandiant 在生物科技業的兩家公司發現 APT9 的蹤跡,並懷疑 APT9 攻擊發動者可能已透過兩間公司之間的互信關係,取得其中一家公司的初步權限。APT9 使用多種後門程式,包括公開流傳的後門程式,以及被認為是專門打造,但已有多個 APT 團體用過的後門程式。
APT 8
懷疑源頭:中國
攻擊目標:眾多產業,包括媒體和娛樂業、建築與工程業,以及航太與國防產業。
背景介紹:APT8 從事以竊取智慧財產為目的的網路活動,通常以在特定領域具有競爭優勢的組織資料和專案為主要竊取目標。我們評估這是一個位於中國,由中國官方在背後資助的自由工作者團體。APT8 鎖定總部位於多個國家/地區的組織為攻擊目標,包括美國、德國、英國、印度和日本。
相關惡意軟體:HASH、FLYZAP、GOLFPRO、SAFEPUTT
攻擊途徑:APT8 發動者經常使用含有惡意附件或連結的魚叉式網路釣魚電子郵件訊息,或者利用容易攻擊的網路伺服器來入侵目標組織。此外,在多次入侵行動中,APT8 發動者曾透過即時通訊或即時訊息程式傳送惡意連結給潛在受害者。
APT 7
懷疑源頭:中國
攻擊目標:建築業、工程業、航太業和國防工業基地
背景介紹:APT7 從事以竊取智慧財產為目的的網路活動,通常以在特定領域具有競爭優勢的組織資料和專案為主要盜取目標。已知該團體是以總部位於美國和英國的組織為攻擊目標。
相關惡意軟體:DIGDUG、TRACKS
攻擊途徑:APT7 威脅發動者利用對一個組織的存取權限,滲透同個母公司旗下的另一個組織。這是一種橫向移動的攻擊方式,而在此情況中,也是對第二個組織的初步入侵方法。
APT6
懷疑源頭:中國
攻擊目標:交通、汽車、建築和工程、電信、電子、建築和材料產業
背景介紹:APT6 從事以資料竊取為目的的網路活動,通常以在特定領域具有競爭優勢的組織資料和專案為主要竊取目標。APT6 鎖定總部位於美國和英國的組織為攻擊目標。
相關惡意軟體:BELUGA、EXCHAIN、PUPTENT
攻擊途徑:APT6 利用數種專門打造的後門程式進行攻擊,包括一些其他 APT 團體使用的後門程式,以及該團體特有的後門程式。
APT 5
懷疑源頭:中國
攻擊目標:美國、歐洲和亞洲地區的電信服務供應商、全球化電信與科技公司位於亞洲的員工,以及美國、歐洲和亞洲地區的高科技製造和軍事應用技術。
背景介紹:APT5 至少從 2007 年開始活躍。APT5 鎖定攻擊或入侵的組織涵蓋多個產業,但主要目標似乎是電信和科技公司,尤其是與衛星通訊有關的資訊。早在 2014 年,Mandiant 事件應變服務便發現 APT5 對另一個技術平台內嵌作業系統中的檔案進行未經授權的程式碼修改。2015 年,APT5 入侵了一個為私人及政府實體提供服務與技術的美國電信組織。在入侵期間,發動者下載並修改了該公司網路路由器的一些相關路由器映像檔。於此同時,APT5 還竊取了一個南亞國防組織的軍事技術相關檔案。根據遭竊的檔案名稱,發現發動者對產品規格、涉及技術產品的電子郵件、採購出價和提案以及無人飛行載具 (UAV) 相關文件感興趣。
相關惡意軟體:BRIGHTCREST、SWEETCOLA、SPIRITBOX、PALEJAB、WIDERIM、WINVAULT、HAPPYSAD、BIRDWORLD、FARCRY、CYFREE、FULLSILO、HELLOTHEWORLD、HAZELNUT、GIF89A、SCREENBIND、SHINYFUR、TRUCKBED、LEOUNCIA、FREESWIM、PULLTAB、HIREDHELP、NEDDYHORSE、PITCHFORK、BRIGHTCOMB、ENCORE、TABCTENG、SHORTLEASH、CLEANACT、BRIGHTCYAN、DANCEPARTY、HALFBACK、PUSHBACK、COOLWHIP、LOWBID、TIGHTROPE、DIRTYWORD、AURIGA、KEYFANG、Poison Ivy
攻擊途徑:這似乎是一個規模龐大的威脅團體,當中分為數個小團體,通常使用不同的戰術和基礎架構。該團體使用具有鍵盤側錄功能的惡意軟體,專門鎖定電信公司的公司網路、員工和高階主管進行攻擊。APT5 明顯有意入侵網路裝置,以及操控支援這些設備的基礎軟體。
APT 4
又稱為:Maverick Panda、Sykipot Group、Wisp
懷疑源頭:中國
攻擊目標:航太與國防、工業工程、電子產品、汽車、政府、電信和運輸產業
背景介紹:APT4 對國防工業基地 (DIB) 的攻擊頻率似乎比對其他商業組織的頻率高。但根據過往的記錄,APT4 的入侵目標範圍相當廣泛。
相關惡意軟體:GETKYS、LIFESAVER、CCHIP、SHYLILT、SWEETTOOTH、PHOTO、SOGO
攻擊途徑:APT4 發動者經常利用以美國政府、國防部或國防工業基地為主題的魚叉式網路釣魚訊息。APT4 發動者可能會在其訊息內文中重製政府或美國國防部網站上的有效內容,使人難以判斷其正當性。
APT 3
又稱為:UPS Team
懷疑源頭:中國
攻擊目標:航太與國防、建築和工程、高科技、電信、運輸產業
背景介紹:這個被 Mandiant 稱為 APT3 的中國威脅團體,是 Mandiant Threat Intelligence 追蹤的威脅團體中較為複雜的一個團體。該團體曾有過使用瀏覽器漏洞進行零時差攻擊的記錄 (例如 Internet Explorer、Firefox 和 Adobe Flash Player)。在成功入侵目標主機後,該團體會迅速傾印憑證、橫向移動到其他主機,並安裝自訂後門程式。APT3 的命令與控制 (CnC) 基礎架構很難追蹤,因為不同活動之間幾乎沒有重疊。
相關惡意軟體:SHOTPUT、COOKIECUTTER
攻擊途徑:APT3 使用的網路釣魚電子郵件通常很普通,看起來幾乎像是垃圾郵件。攻擊者會以 Adobe Flash Player 剖析 Flash 影片 (FLV) 檔案的方式時,入侵未修補的安全漏洞。此種攻擊方式利用常見的媒介損毀技術來繞過位址空間配置隨機化 (ASLR) 機制,並使用返回導向程式設計 (ROP) 來繞過預防資料執行 (DEP) 保護機制。該團體的 ROP 技術能夠讓攻擊者巧妙地避開某些 ROP 偵測技術,使漏洞攻擊更為容易。Shellcode 會儲存在封裝的 Adobe Flash Player 漏洞攻擊檔案中,一併儲存的還有用於解密的金鑰。酬載是以 xor 編碼,且隱藏在映像檔中。
其他資源
其他資源
APT 2
懷疑源頭:中國
攻擊目標:軍事和航太產業
背景介紹:該團體在 2010 年首次被發現。APT2 從事以竊取智慧財產為目的的網路活動,通常以在特定領域具有競爭優勢的組織資料和專案為主要竊取目標。
相關惡意軟體:MOOSE、WARP
攻擊途徑:利用 CVE-2012-0158 安全漏洞的魚叉式網路釣魚電子郵件。
APT 30
懷疑源頭:中國
攻擊目標:東南亞國協 (ASEAN) 成員
背景介紹:APT30 不但以長時間的持續性活動著名,還以能夠成功修改及調整原始碼而聞名,該團體自 2005 年以來使用的工具、策略和基礎架構都未改變。證據顯示,該團體的首要目標最有可是在協同環境中的輪班工作,並會按照明確的發展計畫來建置惡意軟體。該團體從 2005 年開始就具備感染實體隔離網路的能力。
相關惡意軟體:SHIPSHAPE、SPACESHIP、FLASHFLOOD
攻擊途徑:APT30 使用一整套工具,其中包括下載程式、後門程式、中央控制器,以及數個專為感染卸除式磁碟機和跨過實體隔離網路竊取資料而設計的元件。APT30 經常註冊自己的 DNS 網域以進行惡意軟體命令和控制 (CnC) 活動。
APT 27
懷疑源頭:中國
攻擊目標:APT27 已鎖定總部位於全球各地的多個組織,包括北美洲和南美洲、歐洲和中東等。這些組織分屬多種不同的產業,包括商業服務、高科技、政府和能源產業,但多數屬於航太和交通運輸或旅遊產業。
背景介紹:APT27 從事以竊取智慧財產為目的的網路活動,通常以在特定領域具有競爭優勢的組織資料和專案為主要竊取目標。
相關惡意軟體:PANDORA、SOGU、ZXSHELL、GHOST、WIDEBERTH、QUICKPULSE、FLOWERPOT
攻擊途徑:APT27 經常使用魚叉式網路釣魚作為初步入侵手法。APT27 威脅發動者不傾向使用原始零時差漏洞攻擊手法,但可能會在這些漏洞被公開後利用此種攻擊手法。在至少一個案例中,APT27 發動者曾使用一個受害組織的遭入侵帳戶,向類似行業的其他受害者傳送魚叉式網路釣魚電子郵件。此外,APT27 還可能會入侵存在安全漏洞的網頁應用程式來取得立足點。
APT 26
懷疑源頭:中國
攻擊目標:航太、國防、能源等產業
背景介紹:APT26 從事以竊取智慧財產為目的的網路活動,通常以在特定領域具有競爭優勢的組織資料和專案為主要竊取目標。
相關惡意軟體:SOGU、HTRAN、POSTSIZE、TWOCHAINS、BEACON
攻擊途徑:該團體經常運用策略性網路入侵 (SWC) 活動入侵目標網路,並在進入受害環境後植入特製的後門程式。
APT 25
又稱為:Uncool、Vixen Panda、K3chang、Sush Roll、Tor
懷疑源頭:中國
攻擊目標:美國和歐洲的國防工業基地、媒體、金融服務及運輸產業。
背景介紹:APT25 從事以資料竊取為目的的網路活動。
相關惡意軟體:LINGBO、PLAYWORK、MADWOFL、MIRAGE、TOUGHROW、TOYSNAKE、SABERTOOTH
攻擊途徑:APT25 在過去的活動中曾用過魚叉式網路釣魚手法,包括傳送含有惡意附件和惡意超連結的訊息。APT25 威脅發動者一般不會使用零時差漏洞攻擊法,但可能會在這些漏洞被公開後利用此種攻擊手法。
APT 24
又稱為:PittyTiger
懷疑源頭:中國
攻擊目標:APT24 鎖定多種行業為目標,包括政府組織、非營利組織以及醫療照護、建築和工程、採礦和電信業產業中的組織。
背景介紹:已知該團體是以總部位於美國和臺灣等國家/地區的組織為攻擊目標。APT24 過往曾使用 RAR 封存公用程式來加密及壓縮盜取的資料,然後再將其轉移到網路外。該發動者竊取的資料主要為具有重要政治意義的文件,這表明其目的是為了監控各國對中國當前的領土或主權爭議的立場。
相關惡意軟體:PITTYTIGER、ENFAL、TAIDOOR
攻擊途徑:APT24 的網路釣魚電子郵件以軍事、可再生能源或商業策略等主題作為誘餌。另外,APT24 還從事以竊取智慧財產為目的的網路活動,通常以在特定領域具有競爭優勢的組織資料和專案為主要竊取目標。
APT 23
懷疑源頭:中國
攻擊目標:美國和菲律賓的媒體和政府
背景介紹:APT23 以具有政治和軍事重要性的資訊為竊取目標,而不是智慧財產。這表示 APT23 可能會為了支援較傳統的間諜活動而執行資料竊取。
相關惡意軟體:NONGMIN
攻擊途徑:APT23 使用魚叉式網路釣魚訊息來入侵受害網路,包含教育相關的網路釣魚誘餌。APT23 發動者不傾向採取零時差漏洞攻擊,但可能會在這些漏洞被公開後利用此種攻擊手法。
APT 12
又稱為:Calc Team
懷疑源頭:中國
攻擊目標:記者、政府、國防工業基地
背景介紹:APT12 被認為是一個網路間諜活動團體,據信與中國人民解放軍有關聯。APT12 的攻擊對象與中華人民共和國 (PRC) 的目標一致。該組織進行的入侵行動和任務與中國對台灣政治作戰的目標及自我利益息息相關。
相關惡意軟體:RIPTIDE、HIGHTIDE、THREBYTE、WATERSPOUT
攻擊途徑:Mandiant 觀察到 APT12 會利用被入侵的有效帳號傳送網路釣魚電子郵件,並透過這類郵件散布帶有漏洞的文件。根據 APT12 過往的活動,我們預期這個威脅團體將繼續利用網路釣魚作為惡意軟體傳遞方法。
其他資源
APT 10
又稱為:Menupass Team
懷疑源頭:中國
攻擊目標:建築和工程業、航太與電信公司,以及美國、歐洲和日本的政府機構
背景介紹:APT10 是 Mandiant 從 2009 年開始追蹤的中國網路間諜團體。以往該組織鎖定的攻擊目標為建築與工程產業、航太與電信公司,以及美國、歐洲和日本的政府機構。我們認為該組織鎖定這些產業作為目標,目的是為了幫助達成中國的國家安全目標,包括獲取寶貴的軍事和情報資訊,以及竊取機密商業資料來支持中國企業。
相關惡意軟體:HAYMAKER、SNUGRIDE、BUGJUICE、QUASARRAT
攻擊途徑:APT10 近期的活動方式包括傳統的魚叉式網路釣魚,以及透過代管服務供應商存取受害者的網路。(如需更多關於經由代管服務供應商遭受感染的資訊,請參閱 2016 年出版的 M-Trends 白皮書)。APT10 魚叉式網路釣魚的手法相對簡單,它會利用已封存的 .lnk 檔案、有雙重副檔名的檔案 (例如:[Redacted]_Group_Meeting_Document_20170222_doc_.exe),以及在某些情況下,將誘餌文件和惡意啟動程式取與封存檔相同的名稱。除了魚叉式網路釣魚外,Mandiant Threat Intelligence 也觀察到 APT10 會透過全球服務供應商存取受害者的資料。
其他資源
其他資源
APT 9
懷疑源頭:根據可得資料,我們評估這是一個由某個國家 (可能是中國) 在背後資助的自由工作者團體。
攻擊目標:總部位於多個國家/地區的組織,鎖定產業包括醫療保健和製藥業、營造和工程業,以及航太和國防產業。
背景介紹:APT9 從事以資料竊取為目的的網路活動,通常以在特定領域具有競爭優勢的組織資料和專案為主要竊取目標。
相關惡意軟體:SOGU、HOMEUNIX、PHOTO、FUNRUN、Gh0st、ZXSHEL
攻擊途徑:APT9 一向活躍於製藥與生物技術產業。我們觀察到該攻擊者利用魚叉式網路釣魚、有效帳戶和遠端服務作為初步入侵管道。在至少一例中,Mandiant 在生物科技業的兩家公司發現 APT9 的蹤跡,並懷疑 APT9 攻擊發動者可能已透過兩間公司之間的互信關係,取得其中一家公司的初步權限。APT9 使用多種後門程式,包括公開流傳的後門程式,以及被認為是專門打造,但已有多個 APT 團體用過的後門程式。
APT 8
懷疑源頭:中國
攻擊目標:眾多產業,包括媒體和娛樂業、建築與工程業,以及航太與國防產業。
背景介紹:APT8 從事以竊取智慧財產為目的的網路活動,通常以在特定領域具有競爭優勢的組織資料和專案為主要竊取目標。我們評估這是一個位於中國,由中國官方在背後資助的自由工作者團體。APT8 鎖定總部位於多個國家/地區的組織為攻擊目標,包括美國、德國、英國、印度和日本。
相關惡意軟體:HASH、FLYZAP、GOLFPRO、SAFEPUTT
攻擊途徑:APT8 發動者經常使用含有惡意附件或連結的魚叉式網路釣魚電子郵件訊息,或者利用容易攻擊的網路伺服器來入侵目標組織。此外,在多次入侵行動中,APT8 發動者曾透過即時通訊或即時訊息程式傳送惡意連結給潛在受害者。
APT 7
懷疑源頭:中國
攻擊目標:建築業、工程業、航太業和國防工業基地
背景介紹:APT7 從事以竊取智慧財產為目的的網路活動,通常以在特定領域具有競爭優勢的組織資料和專案為主要盜取目標。已知該團體是以總部位於美國和英國的組織為攻擊目標。
相關惡意軟體:DIGDUG、TRACKS
攻擊途徑:APT7 威脅發動者利用對一個組織的存取權限,滲透同個母公司旗下的另一個組織。這是一種橫向移動的攻擊方式,而在此情況中,也是對第二個組織的初步入侵方法。
APT 6
懷疑源頭:中國
攻擊目標:交通、汽車、建築和工程、電信、電子、建築和材料產業
背景介紹:APT6 從事以資料竊取為目的的網路活動,通常以在特定領域具有競爭優勢的組織資料和專案為主要竊取目標。APT6 鎖定總部位於美國和英國的組織為攻擊目標。
相關惡意軟體:BELUGA、EXCHAIN、PUPTENT
攻擊途徑:APT6 利用數種專門打造的後門程式進行攻擊,包括一些其他 APT 團體使用的後門程式,以及該團體特有的後門程式。
APT 5
懷疑源頭:中國
攻擊目標:美國、歐洲和亞洲地區的電信服務供應商、全球化電信與科技公司位於亞洲的員工,以及美國、歐洲和亞洲地區的高科技製造和軍事應用技術。
背景介紹:APT5 至少從 2007 年開始活躍。APT5 鎖定攻擊或入侵的組織涵蓋多個產業,但主要目標似乎是電信和科技公司,尤其是與衛星通訊有關的資訊。早在 2014 年,Mandiant 事件應變服務便發現 APT5 對另一個技術平台內嵌作業系統中的檔案進行未經授權的程式碼修改。2015 年,APT5 入侵了一個為私人及政府實體提供服務與技術的美國電信組織。在入侵期間,發動者下載並修改了該公司網路路由器的一些相關路由器映像檔。於此同時,APT5 還竊取了一個南亞國防組織的軍事技術相關檔案。根據遭竊的檔案名稱,發現發動者對產品規格、涉及技術產品的電子郵件、採購出價和提案以及無人飛行載具 (UAV) 相關文件感興趣。
相關惡意軟體:BRIGHTCREST、SWEETCOLA、SPIRITBOX、PALEJAB、WIDERIM、WINVAULT、HAPPYSAD、BIRDWORLD、FARCRY、CYFREE、FULLSILO、HELLOTHEWORLD、HAZELNUT、GIF89A、SCREENBIND、SHINYFUR、TRUCKBED、LEOUNCIA、FREESWIM、PULLTAB、HIREDHELP、NEDDYHORSE、PITCHFORK、BRIGHTCOMB、ENCORE、TABCTENG、SHORTLEASH、CLEANACT、BRIGHTCYAN、DANCEPARTY、HALFBACK、PUSHBACK、COOLWHIP、LOWBID、TIGHTROPE、DIRTYWORD、AURIGA、KEYFANG、Poison Ivy
攻擊途徑:這似乎是一個規模龐大的威脅團體,當中分為數個小團體,通常使用不同的戰術和基礎架構。該團體使用具有鍵盤側錄功能的惡意軟體,專門鎖定電信公司的公司網路、員工和高階主管進行攻擊。APT5 明顯有意入侵網路裝置,以及操控支援這些設備的基礎軟體。
APT 4
又稱為:Maverick Panda、Sykipot Group、Wisp
懷疑源頭:中國
攻擊目標:航太與國防、工業工程、電子產品、汽車、政府、電信和運輸產業
背景介紹:APT4 對國防工業基地 (DIB) 的攻擊頻率似乎比對其他商業組織的頻率高。但根據過往的記錄,APT4 的入侵目標範圍相當廣泛。
相關惡意軟體:GETKYS、LIFESAVER、CCHIP、SHYLILT、SWEETTOOTH、PHOTO、SOGO
攻擊途徑:APT4 發動者經常利用以美國政府、國防部或國防工業基地為主題的魚叉式網路釣魚訊息。APT4 發動者可能會在其訊息內文中重製政府或美國國防部網站上的有效內容,使人難以判斷其正當性。
APT 3
又稱為:UPS Team
懷疑源頭:中國
攻擊目標:航太與國防、建築和工程、高科技、電信、運輸產業
背景介紹:這個被 Mandiant 稱為 APT3 的中國威脅團體,是 Mandiant Threat Intelligence 追蹤的威脅團體中較為複雜的一個團體。該團體曾有過使用瀏覽器漏洞進行零時差攻擊的記錄 (例如 Internet Explorer、Firefox 和 Adobe Flash Player)。在成功入侵目標主機後,該團體會迅速傾印憑證、橫向移動到其他主機,並安裝自訂後門程式。APT3 的命令與控制 (CnC) 基礎架構很難追蹤,因為不同活動之間幾乎沒有重疊。
相關惡意軟體:SHOTPUT、COOKIECUTTER
攻擊途徑:APT3 使用的網路釣魚電子郵件通常很普通,看起來幾乎像是垃圾郵件。攻擊者會以 Adobe Flash Player 剖析 Flash 影片 (FLV) 檔案的方式時,入侵未修補的安全漏洞。此種攻擊方式利用常見的媒介損毀技術來繞過位址空間配置隨機化 (ASLR) 機制,並使用返回導向程式設計 (ROP) 來繞過預防資料執行 (DEP) 保護機制。該團體的 ROP 技術能夠讓攻擊者巧妙地避開某些 ROP 偵測技術,使漏洞攻擊更為容易。Shellcode 會儲存在封裝的 Adobe Flash Player 漏洞攻擊檔案中,一併儲存的還有用於解密的金鑰。酬載是以 xor 編碼,且隱藏在映像檔中。
其他資源
其他資源
APT 2
懷疑源頭:中國
攻擊目標:軍事和航太產業
背景介紹:該團體在 2010 年首次被發現。APT2 從事以竊取智慧財產為目的的網路活動,通常以在特定領域具有競爭優勢的組織資料和專案為主要竊取目標。
相關惡意軟體:MOOSE、WARP
攻擊途徑:利用 CVE-2012-0158 安全漏洞的魚叉式網路釣魚電子郵件。
APT 1
又稱為:61398 部隊、註釋組 (Comment Crew)
懷疑源頭:中國人民解放軍總參三部二局,該局處以擁有一支秘密軍事單位 61398 部隊而聞名。
攻擊目標:資訊科技、航太、公共行政、衛星與電信、科學研究與諮詢、能源、運輸、建築和製造、工程服務、高科技電子產品、國際機構、法律服務、媒體、廣告、娛樂、導航、化學、金融服務、食品與農業、醫療照護、金屬和礦業、教育產業
背景介紹:APT1 已經有系統地從至少 141 個組織竊取高達數百 TB 的資料,並已顯露其具有從數十個組織同時竊取資料的能力與意圖。該團體的重點入侵對象為英語國家/地區內各行各業的組織。根據其基礎架構規模推斷,APT1 是一個大型組織,旗下擁有至少數十名,甚至可能數百名作手。
相關惡意軟體:TROJAN.ECLTYS、BACKDOOR.BARKIOFORK、BACKDOOR.WAKEMINAP、TROJAN.DOWNBOT、BACKDOOR.DALBOT、BACKDOOR.REVIRD、TROJAN.BADNAME、BACKDOOR.WUALESS
攻擊途徑:最常見的初步入侵方法為魚叉式網路釣魚。魚叉式網路釣魚電子郵件包含惡意附件或惡意檔案的超連結。主旨行和電子郵件內文中的文字通常與收件者有關。APT1 也會使用真實人名建立網路郵件帳號。雖然 APT1 入侵者偶爾會使用 Poison Ivy 和 Gh0st RAT 等公開流傳的後門程式,但是在絕大多數的情況下,他們都會使用自己打造的後門程式。在從事網路入侵活動的整個歷程中 (可能長達數年),隨著 APT1 在環境中入侵的系統越來越多,他們安裝的新後門程式也越多。如此一來,即使一個後門程式被找到並刪除,他們依然有其他後門程式可以使用。當 APT1 在受害網路出沒數週後,我們通常就會在網路中偵測到遍布各處的多種 APT1 後門程式。
