海莲花(OceanLotus)组织,似越南政府背景,攻击活动至少可追溯到2012年,长期针对中国及其他东亚国家(地区)政府、科研机构、海运企业等领域进行攻击。其会对在越南制造业、科技公司、消费品行业和酒店业中有既得利益的外国企业进行了长时间的入侵与渗透,以及一直会以外国政府和对越南持不同政治意见的个人和媒体为主要目标。从2012年至今,持续对中国政府、科研院所、海事机构、海域建设、航运企业等相关重要领域进行长时间 不间断攻击。至今十分活跃。
Lazarus组织被认为是来自朝鲜的APT组织,攻击目标遍布全球,最早的活动时间可以追溯至2007年,其主要目标包括国防、政府、金融、能源等,早期主要以窃取情报为目的,自2014年后进行业务扩张,攻击目标拓展到金融机构、虚拟货币交易所等具有较高经济价值的对象。资料显示,2014 年索尼影业遭黑客攻击事件、2016 年孟加拉国银行数据泄露事件、2017年美国国防承包商和能源部门、同年英韩等国比特币交易所攻击事件以及今年针对众多国家国防和航空航天公司的攻击等事件皆被认为与此组织有关。
人面狮行动是活跃在中东地区的网络间谍活动,主要目标可能涉及到埃及和以色列等国家的不同组织,目的是窃取目标敏感数据信息。活跃时间主要集中在 2014 年 6 月到 2015年 11 月期间,相关攻击活动最早可以追溯到 2011 年 12 月。主要采用利用社交网络进行水坑攻击。
蓝宝菇(BlueMushroom)组织,2018年才被披露,其从2011年开始就针对我国政府、军工、科研、金融、教育等重点单位和部门进行网络间谍活动,比较关注工业和科研领域,攻击对象主要都集中在中国大陆境内。
Longhorn,美国中央情报局(CIA)背景,对我国进行的长达十一年的网络攻击渗透,我国航空航天、科研机构、石油行业、大型互联网公司以及政府机构等多个单位均受到影响。其核心武器文件使用了维基解密曝光的美国中央情报局CIA网络情报中心的文件中的“Vault7(穹窿7)”项目。
黄金鼠组织长期针对叙利亚等阿拉伯国家进行网络攻击。攻击平台从开始的Windows平台逐渐扩展至Android平台。恶意样本主要伪装成聊天软件及一些特定领域常用软件,通过水坑攻击方式配合社会工程学手段进行渗透,向特定目标人群进行攻击。该组织在攻击过程中使用了大量的资源,说明其资源丰富。并且他们的攻击主要以窃取信息为主的间谍活动。
Magic Hound是一个由伊朗赞助的威胁组织,主要在中东活跃,该组织最早的活动可追溯到2014年。Magic Hound主要针对能源、政府和技术部门的组织,这些组织都在沙特阿拉伯有业务基础,或在沙特阿拉伯有商业利益。 Magic Hound与{{Rocket Kitten,Newscaster,NewsBeef}}和{ITG18}的一些基础设施有重叠。
2016年5月起至今,双尾蝎组织对巴勒斯坦教育机构、军事机构等重要领域展开了有组织、有计划、有针对性的长时间不间断攻击。攻击平台主要包括Windows与Android,攻击范围主要为中东地区。使用的后门程序主要伪装成文档、播放器、聊天软件以及一些特定领域常用软件,通过鱼叉或水坑等攻击方式配合社会工程学手段进行渗透,向特定目标人群进行攻击。
蔓灵花(Bitter)是一个来自南亚某国的APT组织,长期针对中国及巴基斯坦的政府、军工、电力、核等部门发动网络攻击,窃取敏感资料,具有较强的政治背景。是目前活跃的针对境内目标进行攻击的境外APT组织之一。该组织最早在2016由美国安全公司Forcepoint进行了披露,他们发现攻击者使用的远程访问工具(RAT)变体使用的网络通信头包含 “BITTER”,所以该这次攻击命名为“BITTER”。其攻击活动最早可追溯到2013年,从2016年始出现对国内的攻击活动。
Patchwork组织, 是一个来自于南亚地区的境外APT组织。该组织最早由Norman安全公司于2013年曝光,随后又有其他安全厂商持续追踪并披露该组织的最新活动,但该组织并未由于相关攻击行动曝光而停止对相关目标的攻击。白象APT组织主要针对中国、巴基斯坦等亚洲地区国家进行网络间谍活动,其中以窃取敏感信息为主.相关攻击活动最早可以追溯到2009年11月,至今还非常活跃.在针对中国地区的攻击中,该组织主要针对政府机构、科研教育领域进行攻击,其中以科研教育领域为主。
黑格莎组织是2019年披露的一个来自朝鲜半岛的专业APT组织,因为其常用higaisa作为加密密码而得名。该组织具有政府背景,其活动至少可以追溯到2016年,且一直持续活跃。该组织常利用节假日、朝鲜国庆等朝鲜重要时间节点来进行钓鱼活动,诱饵内容包括新年祝福、元宵祝福、朝鲜国庆祝福,以及重要新闻、海外人员联系录等等。被攻击的对象包括跟朝鲜相关的外交实体(如驻各地大使馆官员)、政府官员、人权组织、朝鲜海外居民、贸易往来人员等,受害国家包括中国、朝鲜、日本、尼泊尔、新加坡、俄罗斯、波兰、瑞士等。
APT37是一个疑似来自朝鲜的网络间谍组织,至少从2012年开始就已经活跃,该组织主要针对韩国,日本,越南,俄罗斯,尼泊尔,中国,印度,罗马尼亚,科威特和中东等国家或地区进行攻击。国内主要目标为外贸公司、在华外企高管,甚至政府部门等。
APT29归属于俄罗斯,政府背景,和俄罗斯一个或多个情报机构有关,其收集情报以支持外交和安全政策做决定,至少自2008年开始就已经运作。APT29似乎针对不同的目标项目拥有不同的小组。其目标包括军事、政府、能源、外交、电信等。主要针对西方政府和相关组织,例如政府部门和机构,政治智囊团和政府分包商;还包括独立国家联合体成员国的政府;亚洲、非洲和中东国家的政府;与车臣极端主义有关的组织;以及从事管制药物和毒品非法贸易的俄罗斯发言人等。
军刀狮(ZooPark)是一个网络间谍组织,至少从2015年6月开始就一直对位于中东地区的多个国家的安卓设备用户进行攻击。这些攻击行动似乎是针对该地区政治组织、激进主义者和其他政治和社会机构目标。 该组织在过去几年的行动中不断演变,攻击的重点放在埃及、约旦、摩洛哥、黎巴嫩和伊朗的受害者身上。
Bluenoroff是Lazarus组织的分支小组,专门从事金融相关的网络攻击,并负责处理资金转移事项。
从2018年4月起至今,一个疑似来自南美洲的APT组织盲眼鹰针对哥伦比亚政府机构和大型公司(金融、石油、制造等行业)等重要领域展开了有组织、有计划、针对性的长期不间断攻击。
毒云藤,又名绿斑、APT-C-01等,是一个长期针对国内国防、政府、科技和教育领域的重要机构实施网络间谍攻击活动的APT团伙,最早可以追溯到2007年。该组织惯用鱼叉式钓鱼网络攻击,会选取与攻击目标贴合的诱饵内容进行攻击活动,惯用的主题包括通知、会议材料、研究报告等或是采用攻击时间段时事主题。除了附件投递木马外,毒云藤还惯用钓鱼网站钓鱼,窃取目标的账户密码,进而获得更多重要信息。该组织主要关注方向包括:海事、军工、涉台两岸关系、中美关系等。
肚脑虫(Donot)组织,具有印度背景,主要针对巴基斯坦、克什米尔地区等南亚地区国家进行网络间谍活动的组织,通常以窃密敏感信息为目的。该组织具备针对Windows与Android双平台的攻击能力,其主要使用yty和EHDevel等恶意软件框架。攻击活动最早发现在2016年4月,目前仍持续活跃。国内受影响度相对较小。
索伦之眼为2016年赛门铁克披露的一个针对俄罗斯、中国等国家发动高级攻击的APT组织,其主要以窃取敏感信息为主要目的,活动最早可追溯到2010年。国内受影响用户包括科研教育、军事、政府机构、基础设施、水利、海洋等行业领域。专注于收集高价值情报。综合能力不弱于震网、火焰等。
方程式组织是一个由卡巴斯基实验室于2015年发现并曝光的尖端网络犯罪组织,该组织被称为世界上最尖端的网络攻击组织之一,同震网(Stuxnet)和火焰(Flame)病毒的制造者紧密合作且在幕后操作。方程式组织的名字来源于他们在网络攻击中对使用强大加密方法的偏好。其与美国国家安全局(NSA)存在联系。并且该组织使用的C2地址早在1996年就被注册,暗示了其存在了20年之久。该组织实力雄厚,在漏洞方面具有绝对优势,并且拥有强大的武器库。涉及的行业包括政府和外交机构、电信、航天、能源、核研究、军事、纳米技术、宗教活动家、媒体、运输业、金融行业等。
Turla是一个总部位于俄罗斯的威胁组织,自2004年以来,已经在45个国家/地区感染了受害者,其中包括政府,大使馆,军队,教育,研究和制药公司等行业。2015年中期,活动增多。 Turla以进行水坑和鱼叉式钓鱼运动以及利用内部工具和恶意软件而闻名。 Turla的间谍平台主要用于Windows机器,但也被用于对抗macOS和Linux机器。
OilRig组织于2016年首次被 Palo Alto Networks威胁情报小组 Unit 42发现,该组织至少从2014年开始运营。OilRig攻击的组织机构甚多,覆盖行业甚广,从政府、媒体、能源、交通、物流一直到技术服务供应商。 研究人员认为,OilRig组织主要集中在有利于伊朗民族国家利益的侦察工作上,并评估APT34代表伊朗政府工作,其基础设施细节包括提及伊朗、使用伊朗基础设施以及符合民族国家利益的目标。 OilRig有1个子组: 1. {{Subgroup: Greenbug, Volatile Kitten}} 至少从2017年起,OilRig似乎与{APT 33,Elfin,Magnallium}和{DNSpionage}}密切相关。
Kimsuky是位于朝鲜的威胁组织,卡巴斯基实验室的研究人员发现了针对韩国军事智库的大规模网络间谍活动,并引用恶意代码中词语“Kimsuky”对其命名。 Kimsuky APT组织作为一个十分活动的APT组织,其针对南韩的活动次数也愈来愈多,同时该组织不断的使用hwp文件,释放诱饵文档可执行文件(scr),恶意宏文档的方式针对Windows目标进行相应的攻击,同时恶意宏文档还用于攻击MacOs目标之中。该组织与有相同背景的Lazarus组织和Konni组织有一定的相似之处。 同时该组织的载荷也由之前的PE文件载荷逐渐变为多级脚本载荷,但是其混淆的策略不够成熟,所以其对规避杀软的能力还是较弱。该组织的后门逐渐采取少落地或者不落地的方式,这在一定层面上加大了检测的难度。 该组织的攻击目标主要针对韩国政府机构、世宗研究所、韩国外交部门、韩国国防分析研究所(KIDA)、韩国统一部、北朝鲜相关研究领域。在海外情况下,联合国和朝鲜研究人员,朝鲜组织和媒体公司是主要目标,目的是收集与朝鲜有关的信息。 由于北韩的经济状况由于持续的制裁而继续恶化,攻击者似乎除了其政治目的外,还攻击金融公司和加密货币组织谋求经济利益。
APT33的活动踪迹至少可以追溯至2013年,该组织很可能是为伊朗政府工作。攻击目标主要是总部位于重点关注美国、沙特阿拉伯和韩国的组织,这些组织跨越多个行业,观察APT33以往的活动可知,它尤其关注航空航天(包括军事的和商业的)和与石油化工生产有关的能源部门的组织,这表明APT33的目的可能是获取对政府或军事有益的战略情报。 APT 33似乎从2017年起就与OilRig,APT 34,Helix Kitten,Chrysene组织密切相关。
响尾蛇( Sidewinder)是2018年才被披露的网络威胁组织,疑似与印度有关。该组织长期针对中国和巴基斯坦等东南亚国家的政府,能源,军事,矿产等领域进行敏感信息窃取等攻击活动。SideWinder的最早活动可追溯到2012年,被捕获的诱饵文档中包含“巴基斯坦政府经济事务部”等关键字,可见是对特定目标的定向攻击行为。从近几年该组织活动来看也会针对国内特定目标进行攻击,如驻华大使馆,特定部门等。
Darkhotel,是一个来自朝鲜半岛的网络间谍组织,近几年来最活跃的APT组织之一,是一个老牌组织,至少存在10年以上。此前因其攻击目标是入住高端酒店的商务人士或有关国家政要,以酒店WiFi网络为入口对目标进行攻击,因此得名DarkHotel ,中文译作“黑店”。主要攻击对象包括电子通信、商贸行业、工业等企业及高管、有关国家政要人物和政要机构等,目标遍布中国、朝鲜、日本、缅甸、俄罗斯等多个国家。技术实力深厚,如在多次行动中使用0day进行攻击。
“奇幻熊”(Fancy Bear,T-APT-12)组织,也被称作APT28, Pawn Storm, Sofacy Group, Sednit或STRONTIUM,是一个长期从事网络间谍活动并与俄罗斯军方情报机构相关的APT组织,从该组织的历史攻击活动可以看出,获取国家利益一直是该组织的主要攻击目的。据国外安全公司报道,该组织最早的攻击活动可以追溯到2004年至2007年期间。
魔罗桫(Confucius)是一个印度背景的APT组织,攻击活动最早可追溯到2013年,主要针对南亚各国的政府、军事等行业目标进行攻击。该组织在恶意代码和基础设施上与Patchwork存在重叠,但目标侧重有所不同。
拍拍熊是一个中东地区背景,使用阿拉伯语且有政治动机的APT攻击组织,自2015年被发现至今,频繁进行有组织、有计划、针对性的不间断攻击,特别是针对巴勒斯坦、以色列、埃及等中东动乱国家进行攻击。该组织一直很活跃,典型的攻击目标包括政府机构、武装组织领导、媒体人士、政治活动家和外交官等。使用的木马采用了自解压、VB脚本和PowerShell无文件落地等多层技术隐藏木马实现规避杀毒软件查杀,以提高攻击的隐蔽性和持久性。
MuddyWater 是伊朗的 APT 组织,主要针对中东地区、欧洲和北美地区,目标主要是政府、电信和石油部门, 具有强烈的政治目的。 该APT组织显著的攻击特点为善于利用Powershell等脚本后门,通过Powershell在内存中执行,可以减少恶意文件落地执行。据悉,该组织自2017年11月被曝光以来,不但没有停止攻击,反而更加积极地改进攻击武器,在土耳其等国家持续活跃。
FIN7是一个以经济收益为动机的威胁组织,FIN7组织以钓鱼邮件为攻击渠道,主要对美国金融机构渗透攻击。据称已经从世界各地的公司窃取了超过10亿美元。FIN7使用精密的鱼叉式网络钓鱼邮箱,来说服目标对象下载附件,然后透过附件,让其公司网络遭到恶意软件的感染。在FIN7使用的恶意软件中,最常见的是Carbanak恶意软件的特制版本,已在针对银行的多次攻击中使用。