日日操夜夜添-日日操影院-日日草夜夜操-日日干干-精品一区二区三区波多野结衣-精品一区二区三区高清免费不卡

公告:魔扣目錄網為廣大站長提供免費收錄網站服務,提交前請做好本站友鏈:【 網站目錄:http://www.ylptlb.cn 】, 免友鏈快審服務(50元/站),

點擊這里在線咨詢客服
新站提交
  • 網站:51998
  • 待審:31
  • 小程序:12
  • 文章:1030137
  • 會員:747

1.TajMahal

早在2018年底,卡巴斯基的研究人員就發現了一個復雜的間諜框架,他們稱之為“TajMahal”。它由兩個不同的軟件包組成,分別稱為“Tokyo”和“Yokohama”,它們能夠竊取各種數據,包括從受害者設備上盜竊的CD數據和發送到打印機隊列的文件。每個軟件包都包含許多惡意工具:后門、鍵盤記錄器、下載器、編排器、屏幕和網絡攝像頭抓取器、音頻記錄器等。總共發現了多達80個惡意模塊。

在第一次發現它之前,TajMahal項目已經活躍了至少5年。更為神秘的是,它唯一已知的受害者是一個知名的外交對象。誰是這次襲擊的幕后主使,是否還有其他受害者,或者整個工具的開發是否只是針對一個特定目標,這些問題仍然沒有答案。

2. DarkUniverse

DarkUniverse是研究人員在2018年發現并公布的另一個APT框架。從2009年到2017年,它在野外活動了至少八年,針對敘利亞、伊朗、阿富汗、坦桑尼亞、埃塞俄比亞、蘇丹、俄羅斯、白俄羅斯和阿拉伯聯合酋長國的至少20個民用和軍事對象。該惡意軟件通過帶有惡意Microsoft office文檔附件的釣魚電子郵件傳播。它由幾個模塊組成,負責不同的間諜活動,如鍵盤記錄、郵件流量攔截、截屏、收集各種系統信息等。

DarkUniverse在野外被發現的唯一示例是,他們復雜的ItaDuke惡意軟件釋放了一個名為“Visaform Turkey.pdf”的零日PDF漏洞。DarkUniverse目前尚未被公開公布,也不清楚2017年之后它發生了什么。

3.PuzzleMaker

2021年4月,研究人員利用復雜的零日漏洞鏈檢測到幾次有針對性的攻擊。為了滲透系統,攻擊者使用了谷歌Chrome RCE漏洞。雖然研究人員無法獲取該漏洞的詳細信息,但卻非常懷疑存在問題的漏洞是CVE-2021-21224,該漏洞使攻擊者能夠在瀏覽器沙箱內執行任意代碼。發起攻擊后,攻擊者利用windows內核中的信息泄露漏洞CVE-2021-31955獲取EPROCESS結構的內核地址,并利用另一個Windows內核漏洞CVE-2021-31956提升權限。

成功利用這些漏洞后,由四個模塊組成的自定義惡意軟件將被發送到受感染的系統。這些模塊是一個stager、dropper、service和遠程shell,最后一個是最終的有效負載。研究人員將APT稱為“PuzzleMaker”。

已知APT活動的唯一薄弱環節是一種后利用技術,PuzzleMaker和CHAINSHOT惡意軟件都使用了這種技術,至少有兩個國家支持的攻擊者也使用了這種技術。然而,這項技術是公開的,可以被不同的組織獨立使用。

4. ProjectSauron(又名Strider)

ProjectSauron于2015年9月首次被發現,當時卡巴斯基反目標攻擊平臺在一個客戶組織中檢測到異常的網絡流量。該流量來自一個可疑庫,該庫被加載到域控制器服務器的內存中,并注冊為Windows密碼過濾器,該過濾器可以訪問管理帳戶的純文本密碼。事實證明,它是針對俄羅斯、伊朗、盧旺達,可能還有意大利語國家的政府、電信、科學、軍事和金融組織的復雜APT平臺的一部分。

 

ProjectSauron的名字來源于其配置中提到的“Sauron”

ProjectSauron平臺采用模塊化結構。它會針對每個受害者各自定義一個核心植入程序,它們具有不同的文件名和大小,以及針對目標環境自定義的時間戳。這樣一來,在另一個組織中發現的程序對其他受害者來說就沒有什么價值了。這些核心植入程序就像后門一樣,可以下載額外的模塊并在內存中運行命令。該模塊執行特定的間諜功能,如鍵盤記錄,竊取文件,或從受感染的計算機和連接的USB設備劫持加密密鑰。一個特殊的模塊負責通過受感染的USB驅動器訪問氣隙系統。

ProjectSauron背后的組織使用了復雜的指揮與控制基礎設施,涉及美國和歐洲范圍廣泛的不同ISP和多個IP地址。攻擊者盡了一切努力在其操作中不創建可識別的模式。唯一可以自信地說的是,如果沒有一個民族國家贊助商,這種復雜程度很難實現。值得注意的是,這個組織可能從其他知名的APT學習過,比如Duqu、Flame、Equation和Regin。

 

5. USB Thief

早在2016年,研究人員就發現了一種USB惡意軟件,其特點是具有復雜的自我保護機制。它被稱為“USB Thief”,由六個文件組成,其中兩個是配置文件,而其他四個是可執行文件。這些文件被設計成按照預先定義的順序執行,其中一些文件是aes128加密的。加密密鑰是使用唯一的USB設備ID和某些磁盤屬性生成的這使得解密和運行文件變得很困難,除非是在受感染的USB驅動器上。

其中三個可執行文件是加載下一階段文件的加載程序。為了確保文件按正確的順序加載,它們使用以前加載的文件的哈希作為名稱。此外,有些文件檢查父進程的名稱,如果名稱錯誤就終止。最后一個有效負載是一個數據竊取器,它查看配置文件以獲取關于要竊取什么數據、如何加密數據以及在哪里存儲數據的信息。數據總是被轉移到受感染USB設備上的某個位置。

USB Thief中實現的另一個有趣的技術是使用某些應用程序的便攜版本,如記事本,Firefox和TrueCrypt,誘騙用戶運行第一個惡意軟件加載程序。為了實現這一目標,它將自己作為插件或動態鏈接庫注入到這些應用程序的命令鏈中。當用戶運行受感染的應用程序時,惡意軟件也會啟動。這種惡意軟件并不普遍,極有可能用于涉及人力資源的高度針對性攻擊。

研究人員懷疑它可能與Lamberts APT組織有關:

 

6. TENSHO (又名White Tur)

2021年初,在搜索假冒政府網站的釣魚頁面時,普華永道公司的研究人員偶然發現了一個用于仿冒塞爾維亞國防部證書的頁面。這個頁面引導他們找到了一個被稱為“TENSHO”或“White turr”的未知攻擊者。這個攻擊者至少從2017年開始活躍,使用了多種獨特的技術和工具,包括武器化文檔、HTA和PowerShell腳本、Windows可執行程序和模仿政府網站的釣魚頁面。

在其他工具中,TENSHO使用OpenHardwareMonitor開源項目,其表面目的是監控設備溫度、風扇速度和其他硬件健康數據。攻擊者傳播惡意的OpenHardwareMonitor包,該包旨在以PowerShell腳本或Windows二進制文件的形式傳遞TENSHO的惡意軟件。

到目前為止,尚未發現該攻擊者與任何已知的APT組織之間存在聯系。TENSHO的目標是塞爾維亞和斯普斯卡共和國(波斯尼亞-黑塞哥維那境內的一個對象)境內的組織,顯示出非常具體的區域利益。

7. PlexingEagle

在阿姆斯特丹舉行的2017年HITBSec會議上,Emmanuel Gadaix介紹了一個非常有趣的GSM網絡間諜工具集的發現,該工具集可能是由一個非常先進的攻擊組織部署的,是在對客戶系統進行常規安全掃描時發現的。

 

該攻擊方案最初是由Gadaix的團隊在一臺被攻擊者用作操作基礎的Solaris 10設備上發現的。這樣,攻擊者利用對GSM基礎設施和網絡的先進知識,對執法部門通常用于竊聽電話的功能進行修復,以實現他們自己的機制來攔截感興趣的電話。在攻擊中使用的惡意軟件使用LUA編寫,研究人員看到其他高級攻擊者使用的語言,比如Flame和Project Sauron背后的那些人。該攻擊和所謂的 “Athens Affair”之間有許多相似之處,這兩個示例是已知的唯一在野外抓獲的攻擊者的示例。

8. SinSono

2021年5月,向At&T、Verizon、T-Mobile等運營商提供短信路由服務的電信公司Syniverse檢測到對其IT系統的未經授權訪問。一項內部調查顯示,2016年,一個未知的攻擊者首次攻擊了Syniverse的基礎設施。五年來,他們一直在不被發現的情況下運行,訪問了公司的內部數據庫,并泄露了235名客戶的電子數據傳輸(EDT)環境登錄憑證。通過這些賬戶,攻擊者可以訪問高度敏感的消費者數據,例如通話記錄和短信內容。

雖然該公司重置或停用了所有EDT客戶的憑據,并聯系了受影響的組織,但仍存在許多問題:例如,攻擊者是否真得竊取了敏感數據。盡管該公司本身和一些依賴其服務的運營商沒有發現重大攻擊跡象,也沒有試圖破壞其流程,但研究人員既不知道誰是攻擊者,也不知道他們的目標是什么。對與攻擊有關的數據的分析表明,確認其背后的組織很困難。

9. MagicScroll(又名AcidBox)

MagicScroll是一個復雜的惡意框架,于2019年首次被Palo Alto的研究人員發現。這是一種多級惡意軟件,已知的樣本很少,已知的受害者只有一個,位于俄羅斯,于2017年受到攻擊。MagicScroll的初始感染階段信息目前是缺失的。第一個已知階段是作為安全支持提供者創建的加載程序,這是一個通常提供某些安全功能(如應用程序身份驗證)的DLL。MagicScroll濫用這個功能來實現對lass .exe進程的注入和可能的持久性。

加載程序的主要目的是解密和加載存儲在注冊表中的下一階段模塊。此模塊利用VirtualBox驅動程序漏洞在內核模式下加載未簽名的惡意驅動程序。據Palo Alto的研究人員說,以前在Turla活動中發現有攻擊者利用了這一漏洞,但是沒有跡象表明該攻擊者與Turla活動背后的組織有任何聯系。Palo Alto的研究人員還發現了與ProjectSauron的一些相似之處,但這些相似之處不足以表明這兩個活動之間的聯系。研究人員也沒有發現MagicScroll和任何其他已知APT之間存在任何聯系。

10. Metador

2022年9月,SentinelLabs首次曝光了Metador組織。它主要針對中東和非洲幾個國家的ISP、電信公司和大學,其中至少有一名受害者被近十個不同的APT組織攻擊過。

Metador運營著兩個被稱為“metaMain”和“Mafalda”的惡意軟件平臺,它們完全部署在內存中。metaMain平臺是一個功能豐富的后門,它為攻擊者提供了對受感染系統的長期訪問。它可以記錄鍵盤和鼠標事件,制作屏幕截圖,下載和上傳文件,并執行任意shell代碼。

Mafalda是一個正在積極開發的后門。其最新版本的時間戳為2021年12月。它具有許多反分析技術,支持67條命令,比上一個版本的惡意軟件多了13條。

除了典型的后門功能,metaMain和Mafalda還能夠與其他未知的植入程序建立連接,并與這些植入程序交換數據。其中一種植入程序被稱為“Cryshell”,充當metaMain或Mafalda與C2之間的中間服務器。有理由相信存在未知的linux植入程序,可以將從Linux設備收集的數據發送到Mafalda。

目前還不清楚Metador背后的攻擊者是誰以及他們的目標是什么。設計用于長時間不被發現的復雜惡意軟件表明,這是一個由高端攻擊者發起的網絡間諜活動。至少有些C2響應是西班牙語的,這可能表明攻擊者或它的一些開發人員說西班牙語。此外,在Metador的惡意軟件中還發現了一些文化參考,包括英國流行朋克歌詞和阿根廷政治漫畫。痕跡的多樣性使得很難確定它是在哪個國家運作的。其中一個假設是,該集團是一家高端承包商。

參考及來源:
https://securelist.com/top-10-unattributed-apt-mysteries/107676/

分享到:
標簽:攻擊 APT
用戶無頭像

網友整理

注冊時間:

網站:5 個   小程序:0 個  文章:12 篇

  • 51998

    網站

  • 12

    小程序

  • 1030137

    文章

  • 747

    會員

趕快注冊賬號,推廣您的網站吧!
最新入駐小程序

數獨大挑戰2018-06-03

數獨一種數學游戲,玩家需要根據9

答題星2018-06-03

您可以通過答題星輕松地創建試卷

全階人生考試2018-06-03

各種考試題,題庫,初中,高中,大學四六

運動步數有氧達人2018-06-03

記錄運動步數,積累氧氣值。還可偷

每日養生app2018-06-03

每日養生,天天健康

體育訓練成績評定2018-06-03

通用課目體育訓練成績評定