360年度报告:移动端成APT攻击“新宠”互联网

/ / 2018-02-28 11:38

APT攻击(高级持续性威胁)堪称是在网络空间里进行的军事对抗,攻击者会长期持续的对特定目标进行精准的打击。为了能够更加全面的掌握全球APT攻击态势,了解全球APT研究的前沿成果,2017年全年,360威胁情报中心旗下追日团队展开了对全球主要安全机构及安全专家发布的各类APT研究报告和研究成果的监测与追踪工作。

日前,360威胁情报中心发布了《2017年中国高级持续性威胁(APT)研究报告》,其中具体分析了2017年在全球范围内APT攻击的技术特点、分布状况,以及未来的发展趋势等。《报告》不仅指出了网络军火民用化的趋势,还指出了移动端和金融行业似乎逐渐成为APT攻击的“新宠”。

移动端安全问题日益凸显

根据《报告》显示,2017年,iOS9.3.5更新修补了三个安全漏洞,即三叉戟漏洞,随后Citizen Lab发布文章指出这三个0day被用于针对特殊目标远程植入后门。

早在2016年,360就发布了关于APT-C-15(人面狮)的报告。2017年12月Trend Micro发布报告称在一些应用商店中发现了带有网络间谍功能的恶意应用。

此外,《报告》中也提到了名为Lazarus的APT组织使用移动端恶意软件进行攻击。360威胁情报中心在2017年至2018年初先后披露的双尾蝎组织(APT-C-23)和黄金鼠组织(APT-C-27),也都把移动端作为了重要攻击目标。Trend Micro随后发布的博客还进一步披露了双尾蝎(APT-C-23)使用某移动恶意软件的一个新变种。

传统的APT行动主要是针对Windows系统进行攻击,而现今由于Android和iOS的发展带动了智能终端用户量的上升,从而导致黑客组织的攻击目标也逐渐转向移动端。对于移动平台来说,持久化和隐藏的间谍软件往往容易被忽略。尽管移动设备上的网络间谍活动与台式机或个人电脑中的网络间谍活动相比,可能少得多,攻击方式也不太一样,但其活跃程度和影响范围绝对不可低估。

针对金融行业的攻击手段多样化

《报告》中指出针对金融行业的攻击一直是APT的重点目标,比如FIN7就是一个典型的经常攻击金融行业的APT组织。近年来,除了传统的鱼叉邮件等攻击手段外,还会有APT组织攻击ATM取款机,让其定时“吐钱”。2017年卡巴斯基的一篇报告指出针对ATM的恶意软件正在黑市上售卖。

这并不是危言耸听,因为攻击ATM的事件在2016年7月就曾发生:我国台湾地区的台湾第一银行旗下20多家分行的41台ATM机遭遇黑客攻击,被盗8327余万新台币,目前该案已经破获,抓获犯罪嫌疑人并追回大部分被盗款项。

2017年,加密货币热度的持续攀升不仅仅使得勒索软件和挖矿木马蠢蠢欲动,APT组织也盯上了这块蛋糕。FireEye在2017年就发了一篇文章,认为国家支持的组织试图窃取虚拟货币,做为逃避国际社会制裁的手段。也有研究人员表示某APT组织对伦敦一家加密货币公司已经展开鱼叉攻击,并且也有人对其经济动机进行了详细剖析。

除此之外,《报告》还提到了俄罗斯总统普京的顾问宣布了筹集资金计划,用以增加俄罗斯在比特币市场中的份额;澳大利亚议会的参议员也提议发展自己国家的加密货币。虽然目前有些地区的APT组织从事金融犯罪方面的特征明显,但是这种独特性可能不会持续很长时间,因为其它国家可能会对这方面的攻击产生兴趣。

种种迹象表明,APT组织如同一头饿狼一样,在仅仅盯着金融行业的一举一动,并且试图通过各种方法来实现攻击,以此牟利。

不管是移动端的安全问题日益凸显,还是金融行业屡屡爆出的经济事件,这些都说明APT组织无时无刻不在寻找新的方法来躲避追踪、牟取暴利,并且也进一步佐证了网络军火正在逐步被民用化的趋势。未来如何与APT对抗,还需要安全厂商的共同努力。



1. 遵循行业规范,任何转载的稿件都会明确标注作者和来源;2. 的原创文章,请转载时务必注明文章作者和"来源: ",不尊重原创的行为 或将追究责任;3.作者投稿可能会经 编辑修改或补充。


阅读延展



最新快报

1
3
Baidu
map