2018年安全界目睹了若干個(gè)技術(shù)黑客組織開展的多次大規(guī)模攻擊行動。在過去一年中，出現(xiàn)了許多新黑客組織，而一些老牌的黑客組織也在短暫蟄伏后卷土重來。

但是，很少有黑客脅組織使用一成不變的復(fù)雜的攻擊技巧和惡意軟件，這些威脅行為者通常使用不同的方法進(jìn)行攻擊。下面我們就來羅列一下過去一年中在網(wǎng)絡(luò)安全方面產(chǎn)生重大負(fù)面影響的一些著名的黑客組織。

??

[[252985]]

大型黑客組織——國家“撐腰”

Sofacy、Turla和CozyBear開展的惡意活動是今年的主要“亮點(diǎn)”。在2018年，安全研究人員發(fā)現(xiàn)這些與俄羅斯相關(guān)的黑客組織改進(jìn)了他們的工具和攻擊方式，以逃避監(jiān)測，并在目標(biāo)計(jì)算機(jī)上部署惡意軟件。

據(jù)卡巴斯基實(shí)驗(yàn)室稱，Sofacy是三大黑客組織中最活躍的。該組織也被稱為Fancy Bear或APT28，被發(fā)現(xiàn)在2018年將其攻擊重心轉(zhuǎn)移到遠(yuǎn)東地區(qū)。它以世界各地政府和軍事機(jī)構(gòu)為目標(biāo)，使用了三種著名的惡意軟件變體：SPLM，GAMEFISH和Zebrocy。

SPLM是一種后門惡意軟件，被認(rèn)為是Sofacy的主要作案工具，而Zebrocy則被用于大容量攻擊。2018年初，Sofacy攜SPLM工具瞄準(zhǔn)了中國的大型防空商業(yè)公司;另外它還以Zebrocy工具攻擊亞美尼亞、土耳其、哈薩克斯坦、塔吉克斯坦、阿富汗、蒙古、中國和日本等國的多個(gè)目標(biāo)。Sofacy也因在韓國平昌冬奧會上部署一款名為“OlympicDestroyer”的惡意軟件而聲名大噪。

??

除俄羅斯外，安全研究人員還觀察到朝鮮黑客組織Lazarus(HIDDEN COBRA)針對土耳其、亞洲和拉丁美洲等不同地區(qū)的幾個(gè)目標(biāo)機(jī)構(gòu)。該組織的目標(biāo)包括但不限于加密貨幣和金融機(jī)構(gòu)。在最近的活動中，Lazarus開始部署名為“ThreatNeedle”的新惡意軟件。

與此同時(shí)，Turla組織通過更全面的技術(shù)和黑客工具也完成自我進(jìn)化。安全研究人員指出，該組織使用一些特別的注入程序，如LightNeuron來攻擊Exchange服務(wù)器，以及利用一個(gè)新的后門惡意軟件來攻擊2017年德國聯(lián)邦外交部。另外，它還使用新的Carbon惡意軟件變種來攻擊大使館和外交事務(wù)機(jī)構(gòu)。

后起之秀——新威脅組織

今年又陸續(xù)涌現(xiàn)了許多黑客組織，主要關(guān)注的是中東和東南亞的目標(biāo)。這其中包括了新的亞洲黑客組織，如ShaggyPanther、Sidewinder、CardinalLizard、TropicTrooper、DroppingElephant、Rancor、Tick group、NineBlog、Flyfox和CactusPete——所有這些組織全年都處于活躍狀態(tài)。雖然這些團(tuán)組織并沒有多么高超的黑客技術(shù)與先進(jìn)的黑客工具，但他們能夠通過各種方法實(shí)現(xiàn)其目標(biāo)。

在中東地區(qū)，LazyMerkaats、FruityArmor、OpParliament、DarkHydrus和DomesticKitten是近來聲名顯赫的新黑客組織，它們以政府和軍事機(jī)構(gòu)為攻擊目標(biāo)。與此同時(shí)，在東歐國家和前蘇聯(lián)國家監(jiān)測到了DustSquad、ParkingBear和Gallmaker等新黑客組織的攻擊活動。

國王回歸——老牌黑客組織不甘落后

經(jīng)過漫長的蟄伏期后，幾個(gè)老牌黑客組織攜新黑客工具重新出現(xiàn)，發(fā)現(xiàn)了新的攻擊活動。

Kimsuky APT繼續(xù)專注于韓國智庫和政治活動。該組織更新了其攻擊框架，以進(jìn)行網(wǎng)絡(luò)間諜活動。其他團(tuán)體如DarkHotel、LuckyMouse和APT10也在2018年的不同攻擊活動中卷土重來。

DarkHotel帶來了新的0-day攻擊，以瞄準(zhǔn)他們的常規(guī)受害者——政府、企業(yè)高管。這些0-day攻擊被部署到入侵Internet Explorer的腳本引擎中。

??

與此同時(shí)，黑客組織LuckyMouse全年也十分活躍。它部署了水坑攻擊來攻擊中亞的國家數(shù)據(jù)中心，并被懷疑是針對阿曼攻擊的幕后操縱者。

APT10使用其惡意軟件的新版本OceanLotus對日本受害者極為“青睞”。另外，研究人員還觀察到ScarCruft組織使用名為PoorWeb的新后門在年初部署了0-day攻擊。這一組織還被高度懷疑使用了專為三星設(shè)備設(shè)計(jì)的Android惡意軟件。

據(jù)卡巴斯基報(bào)道，在世界不同地區(qū)也發(fā)現(xiàn)了MuddyWater、GazaTeam、DesertFalcons和StrongPity等組織的新惡意活動。