報告稱中國黑客組織APT10攻擊全球各IT服務供應商
更多全球網路安全資訊盡在E安全官網www.easyaq.com
E安全4月5日訊 普華永道與BAE Systems(BAE系統公司,世界第三大軍工企業)聯合發布了一份名為《以云為跳板——新一輪持續性全球網路間諜活動》的報告,懷疑某個來自中國的黑客組織可能正是一系列針對託管服務供應商之攻擊活動的幕後黑手,而其計劃利用此類方式從託管服務商之客戶手中竊取知識產權。
這一被稱為APT10(也被稱為石熊貓,Stone Panda)的黑客組織利用自定義惡意軟體與魚叉式網路釣魚攻擊獲取受害者系統的訪問權。
一旦APT10滲透進網路,就會進行偵查確保在部署mimikatz(抓取Windows密碼的工具)或PwDump(Windows密碼破解和恢復工具)之前獲取合法憑證,以從被感染的MSP中竊取額外的憑證、管理員憑證和數據。
MSP基礎設施的共享特性成就了APT10的成功,允許黑客在MSP和客戶端之間秘密活動——因而得名Cloud Hopper。
在順利入侵之後,他們隨即利用目標公司所掌握的憑證對其企業客戶發動進一步攻擊。
目前APT10利用這種攻擊手段對美國、加拿大、英國、法國、瑞士、南非、斯堪的納維亞、泰國、韓國、印度和日本等國家發動過網路攻勢。
APT10的攻擊步驟手法
供應鏈的安全性一直被公認為安全體系中的最大弱點,特別是在2013年,攻擊者曾經利用HVAC服務供應商作為跳板成功入侵了美國Target零售網路。就目前來看,APT10正在以更大的規模使用這種攻擊方式。
ATP10攻擊MSP並向全球各客戶發動網路間諜活動普華永道的網路安全實踐部門與BAE Systems配合英國國家網路安全中心(簡稱NCSC)共同發現了該黑客組織的行跡。
這一間諜活動的規模只在2016年年末才有所體現,不過該間諜活動被認為是迄今為止全球範圍內規模最大的持續性網路間諜行為之一。
普華永道與BAE Systems方面表示,APT10通過攻擊外包IT託管服務供應商的方式,向其全球各客戶發動間諜活動,並藉此獲得了前所未有的大規模知識產權與敏感數據。
據稱,該黑客組織曾於2014年進行過此類活動,並在2016年年初大幅提高活動規模,包括增加新的開發者與入侵操作人員以不斷提升攻擊能力。
APT10偽裝成日本政府機構進行網路間諜活動普華永道與BAE Systems方面表示,APT10已經從多家受害者企業中提取到大量數據,同時利用其它受到入侵的網路將這些數據隱藏在世界各地。
一系列日本組織機構亦被分別作為針對性打擊對象,作為嫌疑最大的攻擊方,APT10很可能將自身偽裝成為日本政府方面的合法職能實體。
根據面向攻擊時間以及所使用之工具與技術進行的取證分析,調查人員得出結論稱,該黑客組織可能設立於中國,但除此之外尚不清楚APT10背後的實際人員組成以及為何將矛頭指向這些受害組織。
普華永道公司網路威脅檢測與響應事務合伙人克里斯·麥康凱表示,這一間接性攻擊方法的出現表明,各類組織機構有必要全面了解其可能面臨的威脅,特別是來自供應鏈的威脅因素。
他解釋稱,這一存在巨大潛在影響結果的全球性黑客活動需要得到高度重視,這意味著世界各地的組織機構應該與其安全小組及供應商保持密切合作,共同檢測網路中出現的關鍵性警告標誌並確保具備合理的應對與自我保護能力。
普華永道公司網路安全合伙人理查德·崔恩則補充表示,通過多方共同努力,他們得以向全球各安全機構、託管服務供應商以及已知最終受害者發布了相關發現,以幫助其預防、偵測並應對此類攻擊活動。如果單純憑藉其中一方,則他們根本無法發現這一新型間接性攻擊活動。
目前英國國家網路安全中心(NCSC)和澳大利亞國家網路安全中心(ACSC)已經對所在國的企業發布相關安全告警。
E安全讀者可在微信公眾號內回復「APT10」下載《以云為跳板——新一輪持續性全球網路間諜活動》原文報告。
E安全註:本文系E安全獨家編譯報道,轉載請聯繫授權,並保留出處與鏈接,不得刪減內容。聯繫方式:① 微信號zhu-geliang ②郵箱eapp@easyaq.com
※企業有效運維離不開威脅模式驗證
※慎重!物聯網時代情趣用品真的適合聯網么?
※日本計劃花5-10年時間開發一套防黑客衛星系統
※有動靜?Splunk正在泄露您的個人數據(含Poc)
※美國是如何發現俄羅斯干涉總統大選最新證據的?
TAG:E安全 |
※APT 28 黑客組織 「平行攻擊」全球所有外交事務機構
※黑客組織TA505利用LoLbin和新型後門攻擊金融行業
※國外安全研究者爆料中國黑客組織針對越南政府的APT攻擊樣本
※總局辦公廳關於組織參加BIRTV2019的通知
※VPIS 信息組織
※白宮或將啟動全球APT黑客組織全面調查
※PLATINUM回歸——黑客組織使用隱寫技術躲避安全雷達
※朝鮮APT組織Lazarus使用KEYMARBLE後門攻擊俄羅斯
※專訪 IJCAI 當地組織委員會主席鞏志國:「東道主」澳門為 IJCAI 19 所做的努力
※AMD加入CXL開放組織:聯盟Intel研究CPU/加速器內存共享方案
※AMD加入CXL開放組織:聯盟Intel研究CPU/加速器內存共享方案
※中國B站新加入,日本AR/VR 3D虛擬角色組織VRM掛牌新聯盟
※美國政府最新技術警報:警惕朝鮮黑客組織Hidden Cobra正在使用的兩款RAT和蠕蟲病毒
※APT28網路間諜組織瞄準軍事和政府機構
※3GPP國際標準官方組織批准了5G最新標準規範支持VR/AR
※3GPP國際標準官方組織批准了5G最新標準規範 支持VR/AR
※Nature:世衛組織ICD-11首次納入中醫系統,世界向中醫敞開
※新聞 | 國際標準化組織/中醫藥技術委員會(ISO/TC 249)第十次全體成員大會在泰國曼谷召開
※俄羅斯APT組織——Turla新面孔
※匿名者組織針對銀行系統的OpIcarus 2018攻擊預警