一个隐藏了近十年的APT攻击被火眼(FireEye)披露 - APT防御产品

一个隐藏了近十年的APT攻击被火眼(FireEye)披露

火眼(FireEye)于周日披露了一个长达十年之久的网络间谍活动,主要窃取东南亚和印度地区政府、企业、新闻媒体方面的机密信息。该间谍活动开始于2005年,是第一个使用恶意程序感染air-gapped网络的间谍组织,火眼(FireEye)将其命名为APT30,据知组织成员大都是著名软件公司的高级软件工程师。

目标锁定在东南亚地区

受影响的地区主要在东南亚,如马来西亚、越南、泰国、尼泊尔、新加坡、菲律宾、印度尼西亚等国家,受影响的行业主要是政治、军事、经济、领土纠纷和新闻媒体。

APT30组织特征

据调查得知该组织使用的工具主要有:下载器、后门、中央控制器和一些其他的组件;这些工具可以感染驱动硬盘并能从air-gapped网络中窃取文件。有些含有特殊命令的恶意程序会开启隐身模式,并会在受害者机器上隐藏很长一段时间。

APT30使用的策略是二级命令与控制进程,第一命令会先测试受害者设备是否应该连接到攻击者的主控制器上。主控制器自身有一个用户图形界面可以操控受害者设备,添加备注,设置警报等。

APT30有一个高度组织化、结构化、系统化的工作流程,他们会给每一次攻击贴上系统化的标签,保证能实时跟踪任意恶意程序。该恶意程序的命令与控制(C2)通信中还包含一个版本检查功能,能自我更新并提供连续不断的更新管理能力。

APT30的目标不是窃取企业的知识产权,也不是窃取企业的尖端技术,而是想直接获得东南亚地区的机密信息,尤其是会对中国政府可能造成一定潜在威胁的信息。


转载请注明出处 APT防御产品 » 一个隐藏了近十年的APT攻击被火眼(FireEye)披露

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址