日前,360安全研究团队发布了名为《美人鱼行动》的APT报告,披露了中东某国的APT组织针对多国政府机构的攻击活动,在这一持续间长达6年的网络间谍活动中,目前针对丹麦外交部的攻击已被证实。
据了解,这个组织的攻击行动最早可以追溯到2010年4月。最近一次攻击则是在2016年1月。截至目前,360天眼追日团队总共捕获到恶意代码样本284个,C&C域名35个。
另据报道,2016年1月,丹麦国防部情报局(DDIS)所属的网络安全中心(CFCS,Centre for Cyber Security)发布了一份名为“关于对外交部APT攻击的报告”的APT研究报告,披露了一起从2014年12月至2015年7月针对丹麦外交部的APT攻击,相关攻击主要利用鱼叉邮件进行载荷投递。
360追日团队负责人田阗介绍了发现攻击活动的过程:2015年6月,追日团队首次注意到美人鱼行动中涉及的恶意代码。通过大数据关联分析,追日团队确定相关攻击行动最早可以追溯到2010年4月,并关联出上百个恶意样本文件。另外,追日团队疑似载荷投递采用了水坑攻击的方式,进一步结合恶意代码中诱饵文件的内容和其他情报数据,我们初步判定这是一次以窃取敏感信息为目的的针对性攻击。
田阗表示,丹麦网络安全中心(CFCS)揭露的这次APT攻击,就是追日团队在2015年6月发现的美人鱼行动。针对丹麦外交部的相关鱼叉邮件攻击属于美人鱼行动的一部分。从丹麦网络安全中心的报告中,追日团队确定了美人鱼行动的攻击目标至少包括以丹麦外交部为主的政府机构,其载荷投递方式至少包括鱼叉式钓鱼邮件攻击。
另外,目前基本确定美人鱼行动幕后组织来自中东地区。通过对诱饵PPT、后门程序、作息时间以及C&C域名的注册邮箱信息的分析,追日团队安全人员初步推测美人鱼行动幕后组织来自中东地区。
360天眼追日团队近期利用大数据安全分析技术发现了多个网络攻击活动与APT组织。2016年2月,360天眼追日团队发布了名为《洋葱狗”行动》的APT报告,披露了2013年开始持续到2015、针对韩国,涉及政府、交通、能源等行业的攻击活动。
2016年初,360天眼追日团队发布《APT年度报告》,披露了29个针对中国境内机构进行APT攻击的黑客组织。
文章原文链接:https://www.anquanke.com/post/id/83995