APT组织Andariel 发展史介绍(多图预警)

最新推荐文章于 2024-08-09 07:57:05 发布
最新推荐文章于 2024-08-09 07:57:05 发布
阅读量838 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/blackorbird/article/details/102462221
版权

昨天想重点分享一个ppt,试试效果,来自韩国AhnLab(后来没发成功)

下图为所属朝鲜的所有活跃的组织,里面全是比较熟悉的名字

640?wx_fmt=png

下面开始重点对Andariel组织进行介绍,这个组织我之前也分析过,是lazarus底下专门负责对外国政府进行打击的小分队。

640?wx_fmt=png

a.著名行动:

MND (2008), DarkSeoul (2013), Operation Black Mine (2014-2015)

b.家族信息:

Malware : Andarat, Andaratm, Bmdoor, GhostRat, Rifdoor, Phandoor (packed with UPX, Themida, VMProtect)

c.该组织的比较出名的活动,窃取各种机密文件 : 

640?wx_fmt=png

https://www.ibtimes.co.uk/suspects-arrested-south-korea-atm-hacking-probe-aided-by-north-korean-1638293 

https://edition.cnn.com/2017/10/10/politics/north-korea-hackers-us-south-korea-war-plan/index.html

d.组织行动时间线

640?wx_fmt=png

e.攻击链以及感染向量

640?wx_fmt=png

f.攻击手段

鱼叉攻击:宏

水坑攻击:Active-X 0 day 

易受攻击的IT管理系统漏洞:投放免杀样本,窃密样本

供应链攻击:Installer, Updater 

640?wx_fmt=png

g.宏方面如下:

Macro Downloader (2015)

- Attack against Seoul ADEX 2015 Participants MacroDownloader

 Macro Downloader (2017)

- Disguised as diplomatic documents -> intended to activate the Macro by showing blurred text

h.ActiveX方面如下:

640?wx_fmt=png

i.易受攻击的信息管理系统方面

从下图可以看出,该组织分别从主机开放端口,提供更新服务的系统,需要更新的服务器这机房面进行入侵,进行对这些目标的IT管理系统进行漏洞利用

最低0.47元/天 解锁文章
blackorbird
关注
[网络安全自学篇] 七十四.APT攻击检测溯源与常见APT组织的攻击案例
杨秀璋的专栏
05-11 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了WannaCry蠕虫的传播机制,带领大家详细阅读源代码。这篇文章将分享APT攻击检测溯源与常见APT组织的攻击案例,并介绍防御措施。希望文章对您有所帮助~...
基于上下文感知计算的APT攻击组织追踪方法
weixin_44981569的博客
01-17 3791
基于APT组织知识进行大数据场景下的APT监控的关键技术
APT组织Andariel最新攻击事件
blackorbird的博客
06-17 307
本起事件与此前的韩国Activex 0day 的攻击方一致,均为朝鲜APT组织Lazarus属下的Andariel团伙。此次投放的均为 恶意HWP文档,并且文...
APT组织百科全书.rar
02-22
《Threat_Group_Cards》APT组织百科全书。本文件旨在创建全世界范围内所有威胁集团的完整概况,这些威胁集团已被反病毒和安全研究机构多年来慷慨分享的所有研究所确认。
推荐使用:幽灵远程访问工具——ghost
最新发布
gitblog_00053的博客
08-09 878
推荐使用:幽灵远程访问工具——ghost ghost:ghost: RAT (Remote Access Trojan) - Silent Botnet - Full Remote Command-Line Access - Download & Execute Programs - Spread Virus' & Malware项目地址:https://gitcode.com/gh_mirro...
APT(高级持久性威胁)组织
西京刀客
01-21 1342
APT(高级持久性威胁)是一种指定的网络攻击,通常由高度组织化、精心策划和长期实施的黑客或网络犯罪团伙发起。这些攻击的目的是获取敏感信息、窃取知识产权、破坏基础设施或其他形式的经济或政治间谍行为。APT攻击者通常会花费大量时间和资源来侵入目标系统,并长期隐藏在其中,以保证他们的攻击不被发现。
<网络安全>《71 微课堂<常见的国家级APT组织介绍>》
Else 的博客
04-05 1219
国家级APT(Advanced Persistent Threat,高级持续性威胁)组织是有国家背景支持的顶尖黑客团伙,专注于针对特定目标进行长期的持续性网络攻击。
APT黑客组织使用Autodesk 3ds Max软件的恶意插件来入侵公司系统
systemino的博客
09-02 396
近期,APT黑客组织利用传统3D计算机图形Autodesk软件中的一个漏洞,开始对国际建筑和视频创作公司的系统进行新的网络间谍攻击。 研究人员已经检测到了这个漏洞,并确认了是一个未知的黑客组织将恶意软件隐藏在3Ds Max插件中,攻击了来自世界各地的企业。 该组织通过使用一个用于Autodesk 3ds Max软件的恶意插件进行间谍活动。独步而且经确定,APT雇佣组织还向出价最高者提供帮助,扩大针对目标受害者的复杂攻击和网络间谍工具。 目标 根据该报告,威胁参与者始终以与房地产开发商合作的公司...
基于流量分析的安全检测解决方案
securitypaper的博客
10-02 988
近年来,具备国家和组织背景的 APT攻击日益增多,例如:2010 年攻击伊朗核电站的 “震网病毒”、针对 Google 邮件的“极光攻击”、2013 年韩国金融和电视媒体网络 被大面积入侵而瘫痪等等,2014 年 APT攻击的主要目标行业是金融和政府,分别高达 84% 和 77%。2020 年初,奇安信威胁情报中心发布了《中国高级持续性威胁(APT)2019 年报告》。
安恒信息明御APT预警平台配置详解与功能白皮书(V2.0.66)
安恒信息的明御APT攻击预警平台(数据包存储回溯系统)V2.0.66产品白皮书是一份详细介绍了该安全解决方案的专业文档。这份白皮书针对的是企业对高级持续性威胁(Advanced Persistent Threats, APT)防护的需求,尤其...
APT攻击介绍
zjdda的博客
07-16 7245
APT攻击介绍
面向APT家族分析的攻击路径预测方法研究.pdf
05-08
APT攻击现状; 基于APT恶意软件基因的可靠数据获取; 还原预测攻击者的战术意图及主攻方向; APT家族分析;
微软的APT服务器探针产品,网络探针介绍
weixin_33238239的博客
08-13 3796
一、产品简介网络探针是能够对网络流量进行采集、分析、信息提取的网络流量处理工具。该系统能够应用于百兆、千兆和万兆网络环境;能够自适应基于以太网的各类网络仿真;具备DPI功能,能够识别800种网络协议;支持百兆、千兆带宽的全包采集;支持基于复杂规则的定制化流量采集;支持针对TCP-SYN、UDP、ICMP的DDOS攻击检测;支持记录流量日志,支持DNS、HTTP、SSL等常见协议的信息采集。二、主要...
APT组织MuddyWater使用工具起底
systemino的博客
05-05 1397
简介 MuddyWater是一个APT组织,主要以中东国家的政府机构和电信部门为攻击目标,所染指的国家包括伊拉克、沙特阿拉伯、巴林、约旦、土耳其和黎巴嫩,也包含一些中东附近地区的国家,如阿塞拜疆、巴基斯坦和阿富汗等。 MuddyWater于2017年首次亮相,其间攻陷了众多组织机构,且至今一直处于活跃状态。该威胁团伙于第一阶段所使用的感染手法和诱饵文件已被众多安全机构分析过,我们在之前的文章—...
【网络间谍篇】这些知名APT组织,背后都有国家级机构支持
goalcent_tech的博客
01-12 1337
除此之外,很多国家级APT组织也成为了企业的攻击威胁主要来源之一。该组织的成员非常熟悉我国,对我国的时事、新闻热点、政府结构等都非常熟悉,如国家刚发布出个税政策时,该组织就立即使用个税改革方案作为攻击诱饵主体,此外该攻击组织常用的钓鱼主题还包括绩效、薪酬、工作报告、总结报告等,大部分邮件主体都非常本土化。通过该组织进行的多次攻击活动进行分析,该攻击组织的攻击周期较长、诱饵极具迷惑性和诱惑性、擅长使用多种加密算法,同时每次攻击所使用的工具的源代码都经过一定的修改,说明该组织还具有一定的编程能力。
[译] APT分析报告:03.OpBlueRaven揭露APT组织Fin7/Carbanak(上)Tirion恶意软件
杨秀璋的专栏
10-04 7028
这是作者新开的一个专栏,主要翻译国外知名的安全厂商APT报告文章,了解它们的安全技术,学习它们溯源APT组织的方法,希望对您有所帮助。前文分享了钓鱼邮件网址混淆URL逃避检测,这篇文章将介绍APT组织Fin7 / Carbanak的Tirion恶意软件,包括OpBlueRaven行动。
朝鲜APT组织Lazarus的分支团伙Andariel攻击事件汇总
blackorbird的博客
06-13 751
Andariel,作为朝鲜APT组织Lazarus的分支团伙,主要负责对外进行军事活动,近期被曝该团伙利用ActiveX 0day进行攻击,据相关人士透露,该漏洞...
杀软0检出!Confucius APT组织近期新活动深入分析
m0_71745754的博客
01-23 174
近日,安恒信息猎影实验室在威胁狩猎中捕获一例以请/愿书为主题的钓鱼邮件附件,该文件运行后将下载多阶段DLL文件,最终进行文件窃取。此次活动针对南亚地区宗教信仰群体,符合Confucius的历史攻击目标,经分析,最后阶段的Filestealer也与Confucius攻击样本“血缘”更近,因此活动背后的攻击者被我们判定出自Confucius之手。
360威胁情报中心:APT组织跟踪与公开情报利用
文章介绍了360威胁情报中心的团队背景和主要工作方向,强调了APT攻击活动公开披露的日益频繁,并讨论了在追踪APT攻击时所面临的问题。文中还详细列举了公开情报的收集来源,包括安全厂商报告、社交网络、友商简讯和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值