新技术论坛
搜索
查看: 2258|回复: 0
打印 上一主题 下一主题

[安全资讯] APT10:中国黑客组织攻击全球IT服务供应商

[复制链接]
  • TA的每日心情
    开心
    2016-12-9 18:18
  • 签到天数: 85 天

    连续签到: 1 天

    [LV.6]常住居民II

    扫一扫,手机访问本帖
    楼主
    跳转到指定楼层
    发表于 2017-4-7 11:39:02 | 只看该作者 |只看大图 回帖奖励 |倒序浏览 |阅读模式
    前言

    普华永道(英国普华永道研究所)与世界第三大军工企业BAE Systems(BAE系统公司)在4月3日联合发布了一份名为《Operation Cloud Hopper》的APT报告,报告指出中国黑客组织APT10(又名CVNX、Stone Panda、MenuPass和POTASSIUM)攻击了全球各大IT服务供应商,并利用此类攻击方式做为跳板从IT服务供应商中窃取客户资料。

    APT10攻击阶段图

    概要

    普华永道的网络安全部门与BAE Systems配合英国国家网络安全中心(、NCSC)共同发现了该黑客组织的行迹。据称APT10曾于2014年进行过此类攻击并在2016年年初大达到了最大攻击规模,包括新增Exploit与技术人员来不断提升自我的攻击能力。报告认为”Operation Cloud Hopper”是迄今为止全球范围内规模最大的持续性网络间谍行为之一。

    APT10活动时间表

    APT10通过攻击外包IT托管服务供应商的方式,向其全球各客户发动间谍活动,并在进入企业网络之后部署mimikatz、PwDump等密码抓取工具来获取凭证,分析中攻击者还使用了几种Payload:

    • PlugX:一个众所周知的间谍工具
    • RedLeaves – 一个功能齐全的新后门(APT10最近几个月使用)


    APT10攻击流程

    APT10已经从多家受害者企业中窃取到大量数据,并将这些数据隐藏在世界各地。

    受害者分布

    目前APT10利用这种攻击手段对美国、加拿大、英国、法国、瑞士、南非、斯堪的纳维亚、泰国、韩国、印度和日本等国家发动过网络攻击。

    伪装日本政府机构进行网络间谍活动

    普华永道与BAE Systems方面表示部分日本组织机构被作为针对性的攻击对象,其中APT10很可能将自身伪装成为日本政府机构来进行网络间谍活动。

    从2016年底开始APT10使用日语对恶意样本进行命名(恶意文件具体分析请查看报告原文附录B):


    伪装为新闻的钓鱼文件与伪装的域名:



    注册信息如下:


    基础设施

    下图描绘了攻击者在2016年底使用的基础设施:


    FireEye在2014年“Siesta Campaign”文章中披露的一组新操作中使用PlugX C和Cs之间的联系以及APT10的旧基础设施之间的联系:


    根据面向攻击时间以及所使用之工具与技术进行的取证分析,甚至与历史上与该组织的操作相关联。调查人员称该黑客组织可能位于中国,但除此之外尚不清楚APT10背后的操纵人员组成以及攻击目的。

    目前英国国家网络安全中心(NCSC)和澳大利亚国家网络安全中心(ACSC)已经对所在国的企业发布相关安全告警。

    参考

    • http://baesystemsai.blogspot.jp/2017/04/apt10-operation-cloud-hopper_3.html
    • https://www.fireeye.com/blog/threat-research/2014/03/a-detailed-examination-of-the-siesta-campaign.html


    报告原文
    cloud-hopper-report-final-v4.pdf (1.85 MB, 下载次数: 1)




    高级模式
    B Color Image Link Quote Code Smilies

    本版积分规则

    手机版|Archiver|开发者俱乐部 ( ICP/ISP证:辽B-2-4-20110106号 IDC证:辽B-1-2-20070003号 )

    GMT+8, 2024-12-23 00:47 , Processed in 0.143925 second(s), 21 queries .

    X+ Open Developer Network (xodn.com)

    © 2009-2017 沈阳讯网网络科技有限公司

    快速回复 返回顶部 返回列表