信息化觀察網(wǎng)

本文來自微信公眾號“網(wǎng)絡(luò)研究院”。

在技術(shù)空前進步的時代，全球安全格局面臨著不斷變化的威脅。

傳統(tǒng)形式的非對稱戰(zhàn)爭和游擊戰(zhàn)在數(shù)字領(lǐng)域找到了新的盟友，極端主義意識形態(tài)和先進的信息技術(shù)能力的融合引發(fā)了令人擔(dān)憂的網(wǎng)絡(luò)恐怖主義現(xiàn)象。

這種范式轉(zhuǎn)變的核心是APT（高級持續(xù)威脅）的存在，它們是能夠滲透關(guān)鍵系統(tǒng)并造成廣泛破壞的強大對手。其中一些團體已成為這些組織在網(wǎng)絡(luò)空間背后的能力和動機的令人震驚的例子。

APT的特點是長期、隱秘的入侵活動，其運作經(jīng)過精心策劃，目標(biāo)精確，意圖通過利用計算機網(wǎng)絡(luò)和信息系統(tǒng)中的漏洞來實現(xiàn)戰(zhàn)略目標(biāo)。

本文旨在深入研究這些組件的技術(shù)復(fù)雜性；通過了解他們的技術(shù)、工具和策略，我們可以更好地防御這些網(wǎng)絡(luò)威脅并減輕其影響。通過對真實案例和網(wǎng)絡(luò)安全專業(yè)人士的意見進行分析，我們的目標(biāo)是闡明APT不斷發(fā)展的性質(zhì)以及它給我們的數(shù)字安全帶來的挑戰(zhàn)。

在接下來的章節(jié)中，我們將探討與恐怖組織和政權(quán)有關(guān)聯(lián)的APT組織高層所采用的策略，深入研究其所使用的策略，研究其行動可能造成的后果，并討論可以采取的防御措施這些威脅。通過了解網(wǎng)絡(luò)恐怖主義的技術(shù)細節(jié)和APT的復(fù)雜性，我們可以共同努力提高應(yīng)對這些不斷變化的挑戰(zhàn)的能力。

Cyber Caliphate Army

網(wǎng)絡(luò)哈里發(fā)軍與ISIS（伊拉克和敘利亞伊斯蘭國）有聯(lián)系，并在2014年和2015年因一系列備受矚目的網(wǎng)絡(luò)攻擊而聲名狼藉。該組織聲稱攻擊了多個目標(biāo)，包括政府網(wǎng)站和媒體組織的社交媒體資料。網(wǎng)絡(luò)哈里發(fā)軍的主要目標(biāo)是傳播伊斯蘭國的宣傳并破壞敵國的安全。該組織的根源可以追溯到伊斯蘭國，其使用先進網(wǎng)絡(luò)技術(shù)的能力令人擔(dān)憂，包括網(wǎng)絡(luò)釣魚攻擊、惡意軟件分發(fā)和社會工程策略以實現(xiàn)其目標(biāo)。通過利用公司已知的漏洞，網(wǎng)絡(luò)哈里發(fā)旨在灌輸恐懼、傳播宣傳并對數(shù)字基礎(chǔ)設(shè)施造成嚴(yán)重破壞，這是世界各地安全專家的主要擔(dān)憂。

正如已經(jīng)指出的，網(wǎng)絡(luò)哈里發(fā)軍使用的滲透策略經(jīng)常利用計算機系統(tǒng)和社交網(wǎng)絡(luò)中存在的漏洞來獲得未經(jīng)授權(quán)的訪問。他們使用有針對性的魚叉式網(wǎng)絡(luò)釣魚技術(shù)、社會工程和定制惡意軟件來破壞目標(biāo)的數(shù)字基礎(chǔ)設(shè)施。此外，他們還可以利用過時的軟件漏洞或密碼管理弱點來獲得特權(quán)訪問并執(zhí)行橫向移動。

網(wǎng)絡(luò)哈里發(fā)的主要戰(zhàn)略之一是在網(wǎng)上傳播宣傳并宣傳其極端主義意識形態(tài)。他們利用社交媒體、博客、視頻和其他平臺傳播信息、招募追隨者并在社會中制造恐懼和混亂。這種策略的目的是破壞社區(qū)穩(wěn)定并影響輿論。

我們記得，在他們的攻擊中，2015年針對法國電視網(wǎng)絡(luò)TV5Monde的攻擊導(dǎo)致廣播暫停幾個小時，并導(dǎo)致該電視頻道的社交賬戶遭到入侵。這次襲擊是親伊斯蘭國的宣傳工具。

網(wǎng)絡(luò)哈里發(fā)軍的另一次攻擊是針對五角大樓中央司令部的攻擊：發(fā)生在2015年，網(wǎng)絡(luò)哈里發(fā)針對負責(zé)美國軍事行動的美國中央司令部（Centcom）的推特賬戶在中東。該組織入侵了該帳戶，發(fā)布宣傳信息和威脅。

Cyber Caliphate還展示了對世界各地機構(gòu)、組織和公司的網(wǎng)站進行分布式拒絕服務(wù)(DDoS)攻擊的能力。這些攻擊旨在通過大量流量使目標(biāo)系統(tǒng)超載，從而使合法用戶無法訪問它們。

OILRIG

APT34/OILRIG是一個與伊朗政府有聯(lián)系的組織，對中東和美國的目標(biāo)進行了網(wǎng)絡(luò)攻擊。雖然APT34與恐怖組織沒有密切聯(lián)系，但它與伊朗安全部隊有聯(lián)系，并在支持伊朗的政治和軍事目標(biāo)方面發(fā)揮了作用。OilRig似乎還對供應(yīng)鏈進行攻擊，其中APT利用組織之間的信任關(guān)系來攻擊主要目標(biāo)。該組織的攻擊主要依靠社會工程來利用人為漏洞，而不是軟件漏洞；然而，在某些情況下，該組織在攻擊的交付階段使用了漏洞（最近才修復(fù)）。缺乏對軟件漏洞的利用并不一定意味著缺乏成熟度，因為OilRig在其運營的其他方面已經(jīng)表現(xiàn)出成熟性。這種成熟度包括：

●在工具開發(fā)過程中組織的規(guī)避測試。

●使用自定義DNS隧道協(xié)議與命令與控制(C2)進行通信并竊取數(shù)據(jù)。

●用于持久訪問服務(wù)器的自定義Web shell和后門。

OilRig依靠被盜的帳戶憑據(jù)進行橫向移動。獲得系統(tǒng)訪問權(quán)限后，OilRig使用憑證轉(zhuǎn)儲工具（例如Mimikatz）來竊取連接到受感染系統(tǒng)的帳戶的憑證。該組織使用這些憑據(jù)登錄并橫向移動到網(wǎng)絡(luò)上的其他系統(tǒng)。從系統(tǒng)獲取憑據(jù)后，該群體的操作員更喜歡使用后門以外的工具來訪問受感染的系統(tǒng)，例如Microsoft的遠程桌面客戶端或用于遠程系統(tǒng)管理的Putty程序。

OilRig還使用網(wǎng)絡(luò)釣魚站點獲取目標(biāo)組織中個人的憑據(jù)，以訪問可通過Internet訪問的資源，例如Outlook Web Access。

至少從2014年起，F(xiàn)ireEye就發(fā)現(xiàn)了該組織的早期活動，觀察到他們進行符合伊朗戰(zhàn)略利益的偵察活動。

FireEye多次以中東金融、能源和政府組織為目標(biāo)，認為這些行業(yè)是APT34的主要關(guān)注點。使用與伊朗行動相關(guān)的基礎(chǔ)設(shè)施、時間安排以及與伊朗國家利益的一致性，使FireEye相信APT34是代表伊朗政府行事。

他們的攻擊包括針對大亨謝爾登·阿德爾森(Sheldon Adelson)擁有的拉斯維加斯Sans賭場的攻擊，導(dǎo)致數(shù)據(jù)遭到破壞和敏感信息被盜。

另一種非常復(fù)雜的攻擊與“Cleaver行動”有關(guān)，其中OILRIG參與了一場主要針對能源、航空和國防部門組織的全球間諜和滲透活動。這些攻擊是使用社會工程攻擊進行的，旨在傳播“自定義”惡意軟件，例如QuadAgent和ISMAgent木馬或Poison Frog后門。

Al-Qassam/QFC

Al-Qassam Cyber Fighters自2012年以來一直活躍，并聲稱對美國和其他西方國家金融機構(gòu)的一系列網(wǎng)絡(luò)攻擊負責(zé)。他們聲稱隸屬于巴勒斯坦組織哈馬斯，但其活動細節(jié)以及與其他恐怖組織的關(guān)系尚不清楚。

該組織自成立以來就發(fā)誓要繼續(xù)對西方目標(biāo)進行網(wǎng)絡(luò)攻擊，直到Y(jié)ouTube刪除反穆斯林視頻《穆斯林的無知》，該組織在其第一份聲明中表示，“所有活躍在網(wǎng)絡(luò)世界的年輕穆斯林都將攻擊美國的基地和基地”。盡可能多的猶太復(fù)國主義者，直到他們對這種侮辱表示歉意”。

2012年9月18日消息宣布打算攻擊美國銀行和紐約證券交易所后，人們普遍猜測該組織的起源實際上是伊朗。西方媒體消息人士以及研究QCF的分析人士聲稱，這實際上是伊朗的一支陣線。網(wǎng)絡(luò)安全分析師丹喬·丹切夫(Dancho Danchev)對該組織與伊朗的關(guān)系問題進行了最權(quán)威的開源情報(OSINT)分析，目的是揭露該組織的一名成員，而前參議員約瑟夫一世(Joseph I.利伯曼告訴C-Span他認為伊朗政府正在支持該組織對美國銀行的襲擊，以報復(fù)西方的經(jīng)濟制裁。此外，《紐約時報》援引未透露姓名的美國情報官員的話稱，“該組織是伊朗的便利幌子”。

該組織最臭名昭著的攻擊是針對美國銀行、摩根大通和富國銀行等美國金融機構(gòu)的一系列分布式拒絕服務(wù)(DDoS)攻擊。這些攻擊造成銀行在線服務(wù)暫時中斷，并引起人們對金融領(lǐng)域網(wǎng)絡(luò)安全漏洞的關(guān)注。

QCF聲稱不僅攻擊了美國銀行，還攻擊了其他目標(biāo)，例如紐約證券交易所、第一資本金融公司等。

Charming Kitten

APT35/Charming Kitten是一個與伊朗有關(guān)的APT組織，以其間諜和信息盜竊活動而聞名。他們主要針對能源部門、美國國防和航空工業(yè)以及中東的組織。

作為一種初始訪問技術(shù)，人們注意到該組織主要利用CMS漏洞，例如WordPress、Joomla或Drupal插件。

通常，攻擊包括：

●將src或iframe鏈接注入網(wǎng)頁或css表中

●將整個BeEF網(wǎng)頁的內(nèi)容注入內(nèi)部鏈接的javascript幫助程序之一

注入的鏈接將訪問者的瀏覽器重定向到BeEF（瀏覽器利用框架）服務(wù)器，旨在捕獲：憑據(jù)、cookie、有關(guān)受害者瀏覽器和操作系統(tǒng)的信息。該組織似乎還多次利用Metasploit來利用已知漏洞并注入后門。

此外，還發(fā)現(xiàn)他們使用“欺騙性”登錄頁面，旨在捕獲社交網(wǎng)絡(luò)憑據(jù)并將特定受害者重定向到網(wǎng)站，以下載他們管理并包含后門的Adobe Flash版本。事實上，該組織以開發(fā)RAT等定制惡意軟件而聞名（遠程訪問木馬）獲取并維持對受害者網(wǎng)絡(luò)的訪問。這些工具使該組織能夠開展間諜活動、收集敏感信息并將其滲透到指揮與控制部門。

該組織最著名的一些攻擊包括“新聞播音員行動”，這是該組織在2014年至2017年期間開展的一項大型網(wǎng)絡(luò)間諜活動，主要針對世界各地的媒體相關(guān)組織、記者、外交官和政治活動家。新聞廣播員行動的主要目標(biāo)是收集敏感信息，例如機密文件、通信以及目標(biāo)個人和組織活動的詳細信息。

他們還針對能源領(lǐng)域的幾家公司和組織，尋求獲取關(guān)鍵基礎(chǔ)設(shè)施和市場戰(zhàn)略的機密信息。

Elfin

APT33/Elfin據(jù)稱與伊朗有關(guān)聯(lián)，該國以間諜和破壞活動而聞名。他們主要針對能源、航空和化工領(lǐng)域的組織。

APT33至少從2013年開始運營，目標(biāo)是美國、沙特阿拉伯和韓國的組織，這些組織對涉及軍事和商業(yè)領(lǐng)域以及能源領(lǐng)域的航空部門組織特別感興趣與石油化工生產(chǎn)相關(guān)的組織。

該小組使用的技術(shù)主要有：

●魚叉式網(wǎng)絡(luò)釣魚：向航空業(yè)員工發(fā)送電子郵件；檢測到的電子郵件以招聘為主題，并且HTML中包含惡意鏈接

●域名偽裝：APT33注冊了多個偽裝成沙特阿拉伯航空公司和西方組織的域名，這些組織共同合作為沙特軍事和商業(yè)機隊提供培訓(xùn)、維護和支持。根據(jù)觀察到的目標(biāo)模式，APT33可能在上述魚叉式網(wǎng)絡(luò)釣魚電子郵件中使用了這些域

●自定義后門：該組織開發(fā)了自定義后門和遠程訪問木馬(RAT)，以保持對受害者網(wǎng)絡(luò)的訪問。這些工具允許該組織執(zhí)行間諜活動、收集敏感信息并保持對受感染網(wǎng)絡(luò)的持續(xù)控制。

●水坑攻擊：APT33采用了“水坑攻擊”技術(shù)，該技術(shù)包括感染目標(biāo)目標(biāo)經(jīng)常訪問的合法網(wǎng)站。因此，當(dāng)用戶訪問受感染的網(wǎng)站時，他們會暴露于惡意軟件或被重定向到惡意網(wǎng)站。

●使用PowerShell：該組織廣泛使用Windows自動化和腳本工具PowerShell在受害者網(wǎng)絡(luò)中執(zhí)行惡意命令和惡意活動。PowerShell已被用于運行惡意軟件、下載附加組件以及獲取有關(guān)受感染網(wǎng)絡(luò)的信息。

●假冒和欺騙：APT33在網(wǎng)絡(luò)釣魚和網(wǎng)絡(luò)滲透操作中使用假冒和欺騙技術(shù)隱藏其身份并冒充合法實體。

Fancy Bear

APT28/Fancy Bear，一群俄羅斯黑客，據(jù)稱與政府，特別是俄羅斯特勤局“GRU”有聯(lián)系。他們進行了各種間諜活動和政治干預(yù)，包括對政府機構(gòu)和軍事組織的攻擊。

該組織據(jù)稱在2016年危害了希拉里·克林頓的競選團隊、民主黨全國委員會（DNC）和民主黨國會競選委員會，試圖干擾美國總統(tǒng)選舉。APT 28至少自2007年1月起就一直活躍。

APT28對東歐政府和安全組織表現(xiàn)出了興趣。這些傷亡將使俄羅斯政府有能力預(yù)測政客的意圖并衡量其影響公眾輿論的能力。

在該組織最著名的攻擊中，我們記得2015年針對德國聯(lián)邦議院的一次攻擊，其中Fancy Bear破壞了議會的IT系統(tǒng)并導(dǎo)致敏感數(shù)據(jù)被盜。

2018年對國際奧委會的攻擊，該組織通過向國際奧委會官員發(fā)送帶有惡意附件的網(wǎng)絡(luò)釣魚電子郵件，以與平昌冬奧會有關(guān)的國際奧委會為目標(biāo)。

對北約成員國政府和軍事組織的攻擊，目的是竊取機密、戰(zhàn)略和軍事信息。

該團體還因以下方面而聞名：

●魚叉式網(wǎng)絡(luò)釣魚活動用作惡意軟件部署或憑據(jù)捕獲的初始向量

●使用自定義惡意軟件：Fancy Bear開發(fā)并使用自定義惡意軟件以在受害者網(wǎng)絡(luò)中持久存在。與Fancy Bear相關(guān)的惡意軟件包括X-Agent、Sednit、Zebrocy和DealersChoice

●使用零日漏洞：該組織被發(fā)現(xiàn)利用零日漏洞（即尚未已知和修復(fù)的威脅）通過授予持久和特權(quán)訪問權(quán)限來滲透受害者網(wǎng)絡(luò)

Periscope

APT40/Periscope是一個據(jù)稱由政府資助的APT組織，自2013年初以來一直在運營。他們專注于經(jīng)濟間諜活動，針對主要在東南亞開展業(yè)務(wù)的海事、能源和電信行業(yè)公司。

據(jù)觀察，APT40利用各種技術(shù)進行初始妥協(xié)，包括利用Web服務(wù)器、提供公開可用和定制后門的網(wǎng)絡(luò)釣魚活動以及戰(zhàn)略性Web妥協(xié)。

該小組最常用的是：

●Web Shell-用于獲得組織的初始入口點。

●魚叉式網(wǎng)絡(luò)釣魚：通常也通過利用OneDrive鏈接來利用惡意附件

●漏洞利用：新發(fā)現(xiàn)的漏洞的利用通常嵌入到剛剛提到的網(wǎng)絡(luò)釣魚活動中，眾所周知，它們已被使用：

●CVE-2012-0158

●CVE-2017-0199

●CVE-2017-8759

●CVE-2017-11882

●憑證填充：一旦從網(wǎng)絡(luò)釣魚活動中獲取憑證，就會發(fā)現(xiàn)APT40使用這些憑證進行VPN門戶或RDP登錄

●后門：一旦訪問受害者的基礎(chǔ)設(shè)施，就會發(fā)現(xiàn)APT40使用各種公共后門或已知被其他威脅參與者使用，例如：

●第一階段的Airbreak和Freshair

●BadFlick和ChinaChopper

●權(quán)限升級：一旦進入安全，APT40就會使用HomeFry、AirBreak和BadFlick等工具進行憑證轉(zhuǎn)儲和破解，以及著名的SysInternal套件工具，如ProcDump和WCE（Windows憑證編輯器）

●橫向運動：APT40使用多種方法來執(zhí)行橫向運動，其中包括：

●自定義腳本

●SSH隧道

●遠程開發(fā)計劃

Stone Panda

APT10/Stone Panda自2009年以來一直在運營，是一個據(jù)稱與政府有關(guān)聯(lián)的APT組織。他們針對高科技、航空和電信領(lǐng)域的組織開展了各種工業(yè)間諜活動。

該組織最著名的攻擊是針對日本國防部門的攻擊，在有針對性的攻擊之后，他們獲得了有關(guān)該國軍事能力、軍備和安全政策的信息。

在該小組使用的技術(shù)和工具中，我們提到：

●HTran：APT10用于隱藏受感染機器與命令與控制服務(wù)器之間通信的隧道工具

●RedLeaves：由APT10創(chuàng)建的自定義惡意軟件，用于初始訪問階段，用于收集敏感信息并確保在受感染網(wǎng)絡(luò)中的持久性。

●PlugX：APT10使用RAT來遠程控制受感染的機器，從而促進間諜活動、數(shù)據(jù)盜竊和傳播更多惡意軟件

●水坑攻擊：該組織使用的技術(shù)，包括感染目標(biāo)目標(biāo)經(jīng)常訪問的合法網(wǎng)站。因此，訪問受感染網(wǎng)站的用戶會受到惡意軟件的攻擊或被重定向到更多惡意網(wǎng)站

●魚叉式網(wǎng)絡(luò)釣魚：APT10據(jù)觀察，大量使用魚叉式網(wǎng)絡(luò)釣魚活動來欺騙用戶并獲取對受害者網(wǎng)絡(luò)的訪問權(quán)限。使用的電子郵件通常偽裝成來自信譽良好的組織或權(quán)威人物的合法通信。

●利用零日漏洞：據(jù)觀察，APT10利用未知或尚未修補的安全漏洞來滲透受害者網(wǎng)絡(luò)。

這些只是已知并與網(wǎng)絡(luò)恐怖主義世界相關(guān)的一些APT：事實上，還有許多其他團體，通常由國家資助，對關(guān)鍵實體進行破壞性活動或間諜活動，但尚未得到認可或認可且在全球范圍內(nèi)建立。

本文分析的各種APT組織是國家和準(zhǔn)恐怖組織如何利用數(shù)字技術(shù)宣傳其極端主義意識形態(tài)并開展網(wǎng)絡(luò)恐怖主義和間諜活動的重要例子。了解這些組織使用的策略并采取適當(dāng)?shù)膶Σ邔τ诒Ｗo數(shù)字基礎(chǔ)設(shè)施和維護現(xiàn)代社會的安全與穩(wěn)定至關(guān)重要。

這些團體的行為造成了嚴(yán)重的社會、政治和經(jīng)濟后果。例如，網(wǎng)上宣傳的傳播助長了對弱勢群體的灌輸，助長了暴力和激進行為。DDoS攻擊擾亂了在線服務(wù)，造成了財務(wù)損失并損害了受影響組織的聲譽。此外，虛假信息的傳播加劇了數(shù)字環(huán)境中的恐慌和不信任。

為了應(yīng)對這些組織的威脅，必須采取各種對策和防御措施。

其中可能包括實施穩(wěn)健的網(wǎng)絡(luò)安全政策、對用戶進行網(wǎng)絡(luò)威脅教育和認識、使用先進的網(wǎng)絡(luò)安全解決方案，例如XDR（擴展檢測和響應(yīng)）、NDR（網(wǎng)絡(luò)檢測和響應(yīng)）和多因素身份驗證系統(tǒng)。確保您有一個日志管理系統(tǒng)，例如SIEM。

采用SOC來監(jiān)控您的基礎(chǔ)設(shè)施和威脅獵人的形象也變得至關(guān)重要，旨在及時識別和減輕已知或未知的威脅。