证券简称:天融信 证券代码:002212
全天候7x24小时服务: 400-777-0777

APT安全

什么是APT?

APT(Advanced Persistent Threat)即高级可持续性威胁,是指对特定目标进行的一系列高复杂度攻击,通常综合运用社会工程学、漏洞、恶意程序等攻击手段,并采用高级隐遁技术实现对目标的组合性攻击和持续性威胁。从无具体目标只是为了技术炫耀和获得自我满足的普通攻击,演变为针对特定目标为了获得经济利益或达到政治目的发起的APT攻击,其对攻击目标造成了严重甚至无可挽回的损失。

APT组织跟踪
  • 疑似归属:朝鲜
    主要攻击国家/地区:澳大利亚、孟加拉国、巴西、加拿大、中国、法国、德国
    主要攻击行业:航空、金融、政府、媒体、科研、工控
    组织简介:lazarus组织主要针对全球范围目标进行以经济收益为动机的攻击活动,曾多次攻击各国银行部门窃取货币,并且长期使用勒索软件进行资金收集,如wannacry。同时也会按照其国家需求针对目标国家组织进行定点攻击,以窃取机密数据,目前攻击面能够覆盖windows、linux、MacOS和android平台
    攻击方式:主要通过邮件附件、水坑网站或合法网络服务进行钓鱼攻击,向受害者投递多类型诱饵文档,包括chm文件、office文档和各类脚本文件,执行后会释放如RATANKBA、Volgmer等后门木马收集受害主机信息,再进行二阶段控制。常用木马有HOPLIGHT、HotCroissant和TYPEFRAME等。
  • 疑似归属:俄罗斯
    主要攻击国家/地区:中东、中亚、远东亚洲、欧洲、北美、南美,以及前苏联成员国
    主要攻击行业:军事,外交部门,政府,高校,商务,科研,制药,能源,航空,非政府组织,通讯
    组织简介:Turla组织主要针对美国、德国、英国、芬兰、比利时、瑞士等发达国家以及前苏联成员国家进行攻击,重点关注政府、军事、外交等行业,攻击面覆盖windows、linux和MacOS平台,具备劫持卫星通讯、rootkit开发、0Day使用等能力,该组织以其高水平技战术闻名于世。
    攻击方式:主要通过鱼叉式钓鱼邮件或水坑网站进行初始访问,投递KopiLuwak等有效载荷建立立足点,利用各类漏洞进行特权提升,继而使用mimikatz、windowsAPI等进行信息收集,最终达到窃取受害者数据的目的。常用特马有Carbon、ComRAT、Uroburos等
  • 疑似归属:印度
    主要攻击国家/地区:中国,巴基斯坦,印度,美国,日本,英国
    主要攻击行业:政府,外交,军事,科研,金融
    组织简介:白象组织的攻击活动最早可追溯至2009年,攻击目标主要倾向于巴基斯坦,中国,以及周边一些国家,攻击区域覆盖亚洲、欧洲,攻击行业涵盖政府机构、军工、科研、教育等行业,攻击面覆盖windows、Android、MacOS平台。该组织具备使用nDay漏洞能力,并且能够针对开源工具进行定制化修改,形成自己的武器库。
    攻击方式:主要通过钓鱼邮件以及水坑攻击投递诱饵文件,一般为文档类型文件内嵌恶意宏代码或使用远程模板注入进行初始访问,多阶段下载执行后最终通过powershell、cmd或rundll32加载最终后门木马。常用特马有BADNEWS,CnCRAT等
  • 疑似归属:越南
    主要攻击国家/地区:中国,美国,菲律宾,越南,老挝,柬埔寨,泰国
    主要攻击行业:政府,政治团体,军事,高校,立法机关,媒体,企业,科研
    组织简介:海莲花组织主要以中国、越南、柬埔寨、老挝等越南周边国家为主要目标,以在越外企和目标国家重要机构为主要攻击对象,目前已能够覆盖windows、MacOS和Android平台。该组织具备充足的开发资源,能够针对目标受害者进行定制化攻击,以达到长期控制,窃取机密数据的目的。
    攻击方式:主要通过钓鱼邮件以及大规模水坑攻击筛选目标受害者,根据获取的受害者信息决定是否进行下一步定制化攻击,然后通过KerrDown等多阶段下载器部署后续后门模块。常用特马有Denis、KOMPROGO、Goopy等。
  • 疑似归属:俄罗斯
    主要攻击国家/地区:中国,荷兰,白俄罗斯,法国,美国,中亚,德国,土耳其,欧洲等
    主要攻击行业:政府,国防,外交,军工,科研机构等
    组织简介:APT28组织是一个具有军方情报机构背景的APT组织。该组织最早的攻击活动可以追溯到2004年至2007年之间,攻击行业涵盖政府、外交、国防、军工、科研部等目标。攻击目的以窃取敏感信息为主,具有强烈的政治背景。
    攻击方式:以鱼叉式钓鱼邮件为主,经常使用0day漏洞配合攻击,投递文件主要为Office 文件和伪装图标exe,具备PC端、Linux平台、MAC OS以及安卓平台攻击能力,常用zebrocy、X-AGENT、X-Tunnel进行信息窃取并执行下一阶段攻击组件。
  • 疑似归属:南韩
    主要攻击国家/地区:中国,荷兰,白俄罗斯,法国,美国,中亚,德国,土耳其,欧洲等
    主要攻击行业:国防,能源,政府,医疗,科研部门
    组织简介:DarkHotel组织是一个长期针对企业高管、国防工业、电子工业等重要机构实施网络间谍攻击活动的APT组织。该组织最早的攻击活动可以追溯到2010年,攻击目的以窃取敏感信息为主,具有强烈的政治背景。
    攻击方式:以鱼叉式钓鱼邮件为主,经常使用0day漏洞配合攻击从而达到权限提升以及远程RCE执行,常常通过快捷方式进行多个阶段攻击的跳板,具备PC端、Linux平台、安卓平台攻击能力。
  • 疑似归属:中国台湾
    主要攻击国家/地区:中国
    主要攻击行业:中国国防、政府、科技、教育以及海事机构等重点单位和部门
    组织简介:从2007年开始至今,毒云藤组织对中国国防、政府、科技、教育以及海事机构等重点单位和部门进行了长达数十年的网络间谍活动。该组织主要关注军工、中美关系、两岸关系和海洋相关领域。
    攻击方式:以鱼叉式钓鱼邮件攻击以及水坑攻击为主,配合0day漏洞发起攻击,多次使用云盘进行跳板传输资料,常用office文档漏洞、SFX自解压、RLO伪装技术。常用的RAT包括ZxShell,Poison ivy,KanboxRAT,gh0st,XRAT,HttpBot。
  • 疑似归属:中国台湾
    主要攻击国家/地区:中国
    主要攻击行业:政府、军工、科研、金融等重点单位和部门
    组织简介:从2011年开始持续至今,高级攻击组织蓝宝菇(APT-C-12)对我国政府、军工、科研、金融等重点单位和部门进行了持续的网络间谍活动。该组织主要关注核工业和科研等相关信息。被攻击目标主要集中在中国大陆境内。
    攻击方式:主要采用鱼叉邮件携带二进制可执行文件的攻击方法,使用动态域名及指定IP进行命令控制,经常仿冒官方邮件进行鱼叉攻击,攻击样本常用RLO伪装以及LNK文件进行攻击,常用Posion lvy木马生成器、Bfnet后门。
APT研究报告

天融信自1995年成立以来,始终专注于网络安全领域,多年来公司陆续成立天融信阿尔法实验室、听风者实验室、赤霄实验室、天璇实验室、工控实验室等,以及博士后科研工作站和安全技术研究院。其中听风者实验室致力于帮助用户了解企业面临的内外部高级安全威胁、APT组织新型攻击手法,以及评估其威胁防御检测能力,并对发生的安全事件进行追踪溯源。

基于对APT攻击的持续跟踪与研究,推出了系列报告,同时不断完善自身产品与技术,助力企业提升对抗能力。

相关推荐
天融信下一代防火墙(以下简称NGFW)是依托自研NGTOS安全操作系统与高性能多核硬件架构,采用高效一体化智能过滤引擎,集精准访问控制与深度应用识别等能力于一体的下一代防火墙产品。天融信作 为国内第一台防火墙的缔造者,始终引领网络安全防护技术,NGFW可有效帮助用户应对日益严峻的网络安全威胁。
天融信专业安全应急响应服务,依托本地化专业安全服务技术团队和远程技术分析团队,针对客户突发的安全事件,以现场、远程等多种服务方式提供7×24小时的专业应急响应服务。当事件发生后,迅速采取措施和行动,以最快速的方式阻止安全事件的损 害扩大,同时降低安全事件带来的影响,恢复业务到正常服务状态,调查安全事件发生的原因,并协助进行整改加固,避免同类安全事件再次发生。
天融信高级可持续威胁安全监测系统(以下简称TopAPT)是天融信根据APT攻击特点,推出的一款未知威胁检测产品。TopAPT能够对APT攻击中广泛采用的0day/Nday漏洞、特种木马、渗透入侵技术等进行深度检测分析,挖掘并识别出网络空间中已知或未知的高级威胁,对其进行追踪与定位,结合攻击事件关联,提供木马报告、趋势分析报表等多种可视化统计图表,实现对APT攻击全生命周期的检测分析与预警, 帮助客户全面、直观掌握网络安全风险状况。同时,可与天融信防火墙联动,建立APT监测与阻断防御体系,形成攻击防御闭环。
天融信全流量威胁溯源系统是一款高性能、全量流量采集存储和解析检索的软硬一体化平台。该平台在捕获流量的同时进行数据包深度解析,并将解析结果与流量数据关联存储,为后续检索分析 提供强有力的数据支撑。通过该平台可以发现网络事件中的蛛丝马迹,是威胁回溯分析和数据挖掘的利器。
天融信专业安全应急响应服务,依托本地化专业安全服务技术团队和远程技术分析团队,针对客户突发的安全事件,以现场、远程等多种服务方式提供7×24小时的专业应急响应服务。当事件发生后,迅速采取措施和行动,以最快速的方式阻止安全事件的损害扩大,同时降低安全事件带来的影响,恢复业务到正常服务状态,调查安全 事件发生的原因,并协助进行整改加固,避免同类安全事件再次发生。
           
电话咨询

售前:010-82776666
售后:400-777-0777
   7*24小时服务

联系邮箱

servicing@topsec.com.cn

扫码关注