中国网络黑客组织:NO.4 APT12—神出鬼没的“卡尔克”(Calc)
[p=28, null, left][backcolor=rgb(248, 248, 248)]NO.4 APT12—神出鬼没的“卡尔克”(Calc)[/backcolor][/p][p=28, null, left][backcolor=rgb(248, 248, 248)]知名度:★★★★★[/backcolor][/p][p=28, null, left][backcolor=rgb(248, 248, 248)]攻击技巧:★★★[/backcolor][/p][p=28, null, left][backcolor=rgb(248, 248, 248)]攻击范围: ★★★★★[/backcolor][/p][p=28, null, left][backcolor=rgb(248, 248, 248)]曝光单位:纽约时报[/backcolor][/p][p=28, null, left][backcolor=rgb(248, 248, 248)]1.背景介绍[/backcolor][/p][p=28, null, left][backcolor=rgb(248, 248, 248)]谈到APT12,自然会让人联想到与中国军方有关联的APT1,而且曼迪昂特一份报告中也指出,“中国有20个类似APT1的黑客组织”,APT12自然就是其中之一。自2012年10月《纽约时报》报导中国高官家族聚敛巨额财富的新闻之后,它的计算机系统遭到了中国黑客长达4个月的攻击,黑客入侵了系统窃取了新闻记者和雇员的密码,这一黑客组织被定义为APT12(Calc Team)。在沉寂了几个月之后,根据安全公司FireEye发布的报告,APT 12再度活跃,攻击者还更新了他们使用的来自Backdoor.APT.Aumlib和Backdoor.APT.Ixeshe恶意程序家族的黑客工具;时隔不久,这一组织又再次对俄罗斯G20峰会成员国发起的大量攻击,欧盟、俄罗斯、韩国等重要经济体的财政和金融部门都遭到了不同程度的攻击。[/backcolor][/p][p=28, null, center][backcolor=rgb(248, 248, 248)]
[/backcolor][/p]
[p=28, null, left][backcolor=rgb(248, 248, 248)]2.窃密对象[/backcolor][/p][p=28, null, left][backcolor=rgb(248, 248, 248)]根据该组织历史攻击记录来看,其攻击目标主要为社交媒体、美台政府机构、大型公司和国防承包商。从这些目标中我们可以分析出,该组织主要是为了获取政府敏感文件、世界顶级科技以及经济类情报。3.攻击手法与上述三个黑客组织所用的方法有所不同的是,APT12擅长利用Dropbox等云存储工具开展攻击。攻击者通过注册一个攻击对象可能熟悉的Dropbox账号,并在空间里上传绑定了木马的合法文件,通过Dropbox自带的邮件发送功能向受害者发送分享链接,引诱对方下载点击。[/backcolor][/p][p=28, null, center][backcolor=rgb(248, 248, 248)]
">[/backcolor][/p]
[p=28, null, left][backcolor=rgb(248, 248, 248)]综合各大安全公司的分析,APT12攻击流程可分为以下几步。[/backcolor][/p][p=28, null, left][backcolor=rgb(248, 248, 248)]第一步,搜集攻击对象信息,发现与其联系密切的人员。[/backcolor][/p][p=28, null, left][backcolor=rgb(248, 248, 248)]第二步,用搜集到的人员信息注册Dropbox(早先版本的Dropbox不需要邮件验证,因此可以利用任何伪造邮箱注册)[/backcolor][/p][p=28, null, left][backcolor=rgb(248, 248, 248)]第三部,制作木马,将其连接绑定在wordpress等社交平台的博客之中,再利用博客设置转发数据。[/backcolor][/p][p=28, null, left][backcolor=rgb(248, 248, 248)]第四步,找出一份可能在上述两者之间流通的合法pdf文档,绑定木马。[/backcolor][/p][p=28, null, left][backcolor=rgb(248, 248, 248)]第五部,压缩PDF为ZIP格式从而绕过杀软查杀,上传至Dropbox。[/backcolor][/p][p=28, null, left][backcolor=rgb(248, 248, 248)]第六步,利用Dropbox邮件分享功能发送给攻击对象,等待对方点击。[/backcolor][/p]
[/backcolor][/p]
[p=28, null, left][backcolor=rgb(248, 248, 248)]2.窃密对象[/backcolor][/p][p=28, null, left][backcolor=rgb(248, 248, 248)]根据该组织历史攻击记录来看,其攻击目标主要为社交媒体、美台政府机构、大型公司和国防承包商。从这些目标中我们可以分析出,该组织主要是为了获取政府敏感文件、世界顶级科技以及经济类情报。3.攻击手法与上述三个黑客组织所用的方法有所不同的是,APT12擅长利用Dropbox等云存储工具开展攻击。攻击者通过注册一个攻击对象可能熟悉的Dropbox账号,并在空间里上传绑定了木马的合法文件,通过Dropbox自带的邮件发送功能向受害者发送分享链接,引诱对方下载点击。[/backcolor][/p][p=28, null, center][backcolor=rgb(248, 248, 248)]
">[/backcolor][/p]
[p=28, null, left][backcolor=rgb(248, 248, 248)]综合各大安全公司的分析,APT12攻击流程可分为以下几步。[/backcolor][/p][p=28, null, left][backcolor=rgb(248, 248, 248)]第一步,搜集攻击对象信息,发现与其联系密切的人员。[/backcolor][/p][p=28, null, left][backcolor=rgb(248, 248, 248)]第二步,用搜集到的人员信息注册Dropbox(早先版本的Dropbox不需要邮件验证,因此可以利用任何伪造邮箱注册)[/backcolor][/p][p=28, null, left][backcolor=rgb(248, 248, 248)]第三部,制作木马,将其连接绑定在wordpress等社交平台的博客之中,再利用博客设置转发数据。[/backcolor][/p][p=28, null, left][backcolor=rgb(248, 248, 248)]第四步,找出一份可能在上述两者之间流通的合法pdf文档,绑定木马。[/backcolor][/p][p=28, null, left][backcolor=rgb(248, 248, 248)]第五部,压缩PDF为ZIP格式从而绕过杀软查杀,上传至Dropbox。[/backcolor][/p][p=28, null, left][backcolor=rgb(248, 248, 248)]第六步,利用Dropbox邮件分享功能发送给攻击对象,等待对方点击。[/backcolor][/p]
版权声明
本作品系用户遵循 《伍林堂用户服务协议》 生成,采用 《知识共享署名-非商业性使用-禁止演绎 4.0 国际许可协议》 进行许可。 本作品地址:https://it171.wulintang.net/thread-1362.htm
最新回复 (58)
全部楼主
