2018 APT (Advanced Persistent Threat)攻击大事件

攻击入口：鱼叉邮件攻击

主要攻击战术技术：

1.鱼叉邮件投递内嵌恶意宏的Word文档

2.利用PowerShell实现的图片隐写技术，其使用开源工具Invoke-PSImage实现

3.利用失陷网站用于攻击载荷的分发和控制回传

4.伪装成韩国国家反恐中心（NCTC）的电子邮件地址发送鱼叉邮件，以及注册伪装成韩国农业和林业部的恶意域名

2.VPNFilter：针对乌克兰IOT设备的恶意代码攻击事件

攻击入口：利用IOT设备漏洞远程获得初始控制权

主要攻击战术技术：

1.使用多阶段的载荷植入，不同阶段载荷功能模块实现不同

2.使用针对多种型号IOT设备的公开漏洞利用技术和默认访问凭据获得对设备的控制权

3.实现包括：数据包嗅探、窃取网站登录凭据、以及监控Modbus SCADA工控协议

4.针对多种CPU架构编译和执行

5.使用Tor或SSL加密协议进行C2通信

3. APT28针对欧洲、北美地区的一系列定向攻击事件

相关漏洞：Office文档模板注入、疑似Lojack软件缺陷或0day漏洞

攻击入口：鱼叉邮件、Office模板注入

主要攻击战术技术：

1.鱼叉邮件发送使用了Office模板注入攻击技术的恶意文档

2.远程注入恶意宏代码并执行

3.释放Delphi版的Cannon和.Net和C#等多个语言版本的Zebrocy木马进行远程控制

4.以及针对LoJack计算机防盗软件植入UEFI rootkit木马程序，实现重装系统及更换硬盘都无法消除的持久化远程控制

4.蓝宝菇APT组织针对中国的一系列定向攻击事件

相关漏洞：无

攻击入口：鱼叉邮件和水坑攻击

主要攻击战术技术：

1.鱼叉邮件投递内嵌PowerShell脚本的LNK文件，并利用邮件服务器的云附件方式进行投递

2.当受害者被诱导点击恶意LNK文件后，会执行LNK文件所指向的PowerShell命令，进而提取出LNK文件中的其他诱导文件、持久化后门和PowerShell后门脚本。 PowerShell后门 会通过对受害者的电脑中的特定格式文件进行打包并上传到第三方云空间（如：亚马逊云，新浪云等）

3.从网络上接受新的PowerShell后门代码执行，从而躲避了一些杀软的查杀

5.海莲花APT组织针对我国和东南亚地区的定向攻击事件

相关漏洞：微软Office漏洞、MikroTik路由器漏洞、永恒之蓝漏洞

攻击入口：鱼叉邮件和水坑攻击

主要攻击战术技术：

1.鱼叉邮件投递内嵌恶意宏的Word文件、HTA文件、快捷方式文件、SFX自解压文件、捆绑后的文档图标的可执行文件等

2.入侵成功后通过一些内网渗透 工具 扫描渗透内网并横向移动，入侵重要服务器，植入Denis家族木马进行持久化控制

3.通过横向移动和渗透拿到域控或者重要的服务器权限，通过对这些重要机器的控制来设置水坑、利用第三方工具并辅助渗透

4.横向移动过程中还会使用一些逃避杀软检测的技术：包括白利用技术、PowerShell混淆技术等

6.蔓灵花APT组织针对中国、巴基斯坦的一系列定向攻击事件

相关漏洞：InPage文字处理软件漏洞CVE-2017-12824、微软公式编辑器漏洞等

攻击入口：鱼叉邮件攻击

主要攻击战术技术：

1.鱼叉邮件投递内嵌Inpage漏洞利用文档、微软公式编辑器漏洞利用文档、伪造成文档/图片的可执行文件等

2.触发漏洞后释放/下载执行恶意木马，与C2保持通信，并根据C2返回的命令下载指定插件执行

3.下载执行多种远控插件进行远程控制

7.APT38针对全球范围金融机构的攻击事件

攻击入口：鱼叉攻击，水坑攻击

主要攻击战术技术：

1.利用社交网络 ，搜索等多种方式对攻击目标进行详细的网络侦查

2.使用鱼叉攻击或水坑攻击 对目标人员实施攻击并获得初始控制权

3.在目标网络横向移动，最终以获得SWIFT系统终端为目标

4.伪造或修改交易数据达到窃取资金

5.通过格式化硬盘或日志等方式清除痕迹。

8.疑似DarkHotel APT组织利用多个IE 0day“双杀”漏洞的定向攻击事件

相关漏洞：CVE-2018-8174、CVE-2018-8373等

攻击入口：鱼叉邮件攻击

主要攻击战术技术：

1.鱼叉邮件投递包含IE 0day双杀漏洞的Word文档

2.漏洞利用成功后释放 白利用文件(例如Radmin、TeamView、FreeSSH等。因为是合法程序，所以AV不会清除) 执行恶意PowerShell下载下一阶段PowerShell脚本

3.下载回来的PowerShell脚本进行Bypass UAC，并通过劫持系统DLL文件下载核心木马模块

4.核心木马模块与C2地址通信下载执行更多的木马插件实现持久化控制

9.疑似APT33使用Shamoon V3针对中东地区能源企业的定向攻击事件

攻击入口：鱼叉邮件攻击

主要攻击战术技术：

1.使用随机生成的数据覆盖系统上的MBR、分区和文件

2.恶意文件的文件描述模仿合法的产品名称

10.Slingshot：一个复杂的网络间谍活动

相关漏洞：CVE-2007-5633、CVE-2010-1592、CVE-2009-0824

攻击入口：可能通过Windows漏洞利用或已感染的Mikrotik路由器

主要攻击战术技术：

1.初始loader程序将合法的Windows库‘scesrv.dll’替换为具有完全相同大小的恶意文件

2.包括内核层的加载器和网络嗅探模块，自定义的文件系统模块

3.可能通过Windows漏洞利用或已感染的Mikrotik路由器获得受害目标的初始控制权。