十大危險(xiǎn)的黑客組織
安全研究人員表示,這些黑客組織都是臭名昭著的全球網(wǎng)絡(luò)犯罪團(tuán)伙,且其背后有國(guó)家支持。
幾十年前,黑客入侵剛剛興起的時(shí)候,從事黑客活動(dòng)的大多是計(jì)算機(jī)和網(wǎng)絡(luò)狂熱愛(ài)好者,他們對(duì)學(xué)習(xí)有關(guān)計(jì)算機(jī)和網(wǎng)絡(luò)的一切充滿(mǎn)熱情。如今,民族國(guó)家黑客不斷開(kāi)發(fā)越來(lái)越復(fù)雜的網(wǎng)絡(luò)間諜工具,網(wǎng)絡(luò)罪犯則忙著對(duì)從財(cái)富500強(qiáng)公司到醫(yī)療機(jī)構(gòu)的一切目標(biāo)下手,持續(xù)變現(xiàn)成千上萬(wàn)美元。
網(wǎng)絡(luò)攻擊從未如此復(fù)雜、如此賺錢(qián),甚或如此令人困惑。有時(shí)候,清晰界定各種不同類(lèi)型的黑客活動(dòng)很是困難。民族國(guó)家有時(shí)會(huì)為了共同的目標(biāo)而互相聯(lián)手,有時(shí)候他們甚至似乎與網(wǎng)絡(luò)犯罪團(tuán)伙合作。而且,惡意工具一旦發(fā)布,往往會(huì)被競(jìng)爭(zhēng)對(duì)手回收再利用。
下面我們來(lái)看看幾個(gè)最具創(chuàng)意也最危險(xiǎn)的網(wǎng)絡(luò)間諜和網(wǎng)絡(luò)犯罪組織,排名不分先后:
▶ Lazarus(又名Hidden Cobra、Guardians of Peace、APT38、Whois Team、Zinc)
作為與朝鮮相關(guān)聯(lián)的黑客組織,Lazarus一戰(zhàn)成名是因?yàn)橐黄鹂赡苁怯惺芬詠?lái)最大型的網(wǎng)絡(luò)劫案:孟加拉央行黑客攻擊事件。這起事件發(fā)生在2016年2月,造成超過(guò)1億美元失竊。然而,該組織的所作所為遠(yuǎn)遠(yuǎn)不止于此。
過(guò)去十年來(lái),Lazarus一直是多起黑客攻擊事件的背后黑手,從對(duì)韓國(guó)網(wǎng)站的DDoS攻擊開(kāi)始,然后繼續(xù)深入到攻擊韓國(guó)的金融機(jī)構(gòu)和基礎(chǔ)設(shè)施,2014年對(duì)索尼影業(yè)下手,2017年又發(fā)起了著名的WannaCry勒索軟件攻擊。
近些年來(lái),Lazarus開(kāi)始投身勒索軟件和加密貨幣領(lǐng)域,同時(shí)緊盯安全研究人員,獲取正在進(jìn)行的漏洞研究的相關(guān)信息。據(jù)卡巴斯基安全研究員Dmitry Galov介紹,該組織擁有“無(wú)限的資源和非常好的社會(huì)工程技術(shù)”。
仍在持續(xù)的新冠肺炎疫情期間,Lazarus將這些社會(huì)工程技術(shù)用在了醫(yī)藥公司身上,包括疫苗制造商在內(nèi)的相關(guān)企業(yè),成了他們最首要的目標(biāo)。微軟表示,這些黑客發(fā)送魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)電子郵件,郵件中含有“精心編造的職位描述”,意圖誘使其目標(biāo)點(diǎn)擊其中的惡意鏈接。
Malwarebytes Labs主管Adam Kujawa稱(chēng):“該組織不同于其他黑客組織,因?yàn)楸M管是國(guó)家支持的黑客組織,Lazarus的目標(biāo)卻不是國(guó)家政府,而是可能持有或能接觸到朝鮮間諜感興趣的信息的那些企業(yè)和個(gè)人。”
Lazarus使用各種定制惡意軟件,包括后門(mén)、隧道構(gòu)建程序、數(shù)據(jù)挖掘程序和破壞性惡意軟件,這些惡意軟件有時(shí)候是內(nèi)部開(kāi)發(fā)的。該組織不遺余力地持續(xù)從事黑客攻擊活動(dòng)。
FireEye曼迪安特威脅情報(bào)表示:“APT38之所以獨(dú)特,在于其在行動(dòng)中毫不懼怕大肆破壞證據(jù)或受害網(wǎng)絡(luò)。該組織謹(jǐn)慎、精明,并且表現(xiàn)出想要長(zhǎng)久維持受害環(huán)境訪(fǎng)問(wèn)權(quán)的意愿,以便了解網(wǎng)絡(luò)布局、所需權(quán)限,以及系統(tǒng)技術(shù),從而達(dá)成其目標(biāo)。”
▶ UNC2452(又名Dark Halo、Nobelium、SilverFish、StellarParticle)
2020年,數(shù)千家企業(yè)和機(jī)構(gòu)下載了帶后門(mén)的SolarWinds Orion軟件更新,給攻擊者留下了進(jìn)入其系統(tǒng)的入口。美國(guó)國(guó)防部、英國(guó)政府、歐洲議會(huì),以及全球多個(gè)政府機(jī)構(gòu)及企業(yè)均成為了該供應(yīng)鏈攻擊的受害者。
直到2020年12月8日曝光之前,這起網(wǎng)絡(luò)間諜行動(dòng)至少暗中行事了九個(gè)月。曝光這起行動(dòng)的安全公司FireEye也是其受害者,宣稱(chēng)自己被此國(guó)家支持的黑客組織盜取了幾款紅隊(duì)工具。實(shí)際情況比最初預(yù)想的還要糟糕。SolarWinds Orion軟件供應(yīng)鏈攻擊不過(guò)是攻擊者所用的入口渠道之一。研究人員還發(fā)現(xiàn)了另一起供應(yīng)鏈攻擊,這次中招的是微軟云服務(wù)。而且,研究人員發(fā)現(xiàn),微軟和VMware產(chǎn)品中也有幾個(gè)漏洞被利用了。
FireEye曼迪安特威脅情報(bào)高級(jí)副總裁兼首席技術(shù)官Charles Carmakal表示:“UNC2452是我們追蹤的黑客組織中最先進(jìn)、最有紀(jì)律、最難以捉摸的。他們的諜報(bào)技術(shù)出類(lèi)拔萃。攻擊技術(shù)和防御技術(shù)兩方面他們都掌控自如,并且運(yùn)用此類(lèi)知識(shí)精煉自身入侵技巧,堂而皇之地藏身目標(biāo)環(huán)境之中。UNC2452展現(xiàn)出了極少見(jiàn)的操作安全水平,能夠長(zhǎng)久駐留政府機(jī)構(gòu)和企業(yè)內(nèi)部而不被發(fā)現(xiàn)。”
美國(guó)國(guó)家安全局(NSA)、聯(lián)邦調(diào)查局(FBI)和其他幾個(gè)機(jī)構(gòu)稱(chēng)此黑客組織受到俄羅斯的支持,并實(shí)施了制裁。這些美國(guó)機(jī)構(gòu)辯稱(chēng),SolarWinds供應(yīng)鏈攻擊可能是俄羅斯聯(lián)邦對(duì)外情報(bào)局(SVR)的手筆。其他線(xiàn)索則指向Cozy Bear/APT29黑客組織。
然而,情況似乎更為混亂。卡巴斯基研究人員注意到,有幾個(gè)代碼片段可將此攻擊與俄語(yǔ)區(qū)黑客團(tuán)伙Turla(又名Snake、Uroburos)掛鉤,該團(tuán)伙主要攻擊歐洲和美國(guó)的政府和外交官。Secureworks發(fā)布的另一份報(bào)告則宣稱(chēng),位于中國(guó)的黑客組織Spiral在另一起黑客行動(dòng)中同樣針對(duì)的SolarWinds客戶(hù)。
▶ Equation Group(方程式組織,又名EQGRP、Housefly、Remsec)
Equation Group是又一個(gè)技術(shù)精湛且資源豐富的黑客組織。早在21世紀(jì)初,甚至可能更早些時(shí)候,該組織就開(kāi)始營(yíng)業(yè)了。但直到2015年,卡巴斯基安全研究人員發(fā)布報(bào)告披露其幾款尖端工具之后,該黑客組織才見(jiàn)諸報(bào)端,為大眾所熟知。這篇報(bào)道的標(biāo)題之一是這么寫(xiě)的:“與網(wǎng)絡(luò)間諜之‘神’會(huì)面”。
研究人員將該黑客組織命名為Equation Group,是因?yàn)槠洳捎昧藦?qiáng)加密和先進(jìn)的混淆方法。該組織的工具極端復(fù)雜,且與NSA的特定情報(bào)獲取行動(dòng)(TAO)組相關(guān)。
Equation Group的目標(biāo)橫跨多個(gè)領(lǐng)域:政府、軍隊(duì)和外交機(jī)構(gòu);金融機(jī)構(gòu);以及從事電信、航空、能源、油氣、媒體和交通運(yùn)輸行業(yè)的各大公司。很多受害者都位于伊朗、巴基斯坦、阿富汗、印度、敘利亞和馬里。
Equation Group最強(qiáng)大的工具是一款可以重編程各制造商硬盤(pán)固件的模塊,受害硬盤(pán)廠商包括希捷、西部數(shù)據(jù)、東芝和IBM。借助該模塊,攻擊者可以在受害硬盤(pán)上創(chuàng)建秘密存儲(chǔ)保險(xiǎn)箱,其中內(nèi)容甚至可以扛過(guò)硬盤(pán)擦除和重格。該組織還創(chuàng)立了一套基于USB的命令與控制機(jī)制,能夠映射物理隔離網(wǎng)絡(luò)。在類(lèi)似功能集成到震網(wǎng)(Stuxnet)之前,該機(jī)制就完成了。
這些先進(jìn)的技術(shù)最終落到了其他民族國(guó)家黑客的手中。據(jù)賽門(mén)鐵克透露,Equation Group的工具被中國(guó)網(wǎng)絡(luò)間諜組織Buckeye(又名Gothic Panda、APT3、UPS Team)獲取并另作他用,在2016年用于攻擊歐洲和亞洲的公司。CheckPoint的研究人員發(fā)現(xiàn),中國(guó)支持的另一個(gè)黑客組織Zirconium (APT31)克隆了Equation Group的EpMeWindows提權(quán)漏洞利用程序,創(chuàng)建了一款名為Jian的工具。所有這些都發(fā)生在2017年Shadow Brokers(影子經(jīng)紀(jì)人)數(shù)據(jù)泄露事件之前,該起事件中Equation Group開(kāi)發(fā)的多款黑客工具現(xiàn)身網(wǎng)上,包括WannaCry攻擊中所用臭名昭著的EternalBlue(永恒之藍(lán))漏洞利用程序。
CheckPoint研究員Eyal Itkin和Itay Cohen寫(xiě)道:“網(wǎng)絡(luò)武器天生是數(shù)字化且易變的。盜竊網(wǎng)絡(luò)武器并轉(zhuǎn)移到另一個(gè)大洲就好像發(fā)送一封電子郵件那么簡(jiǎn)單。”
▶ Carbanak(又名Anunak、Cobalt——與FIN7重疊)
2013年,多家金融機(jī)構(gòu)被同一黑客攻擊手法所黑。攻擊者先發(fā)送魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)電子郵件來(lái)滲透這些機(jī)構(gòu),然后再使用各種工具進(jìn)駐個(gè)人電腦或服務(wù)器,以便后續(xù)抽取數(shù)據(jù)或金錢(qián)。這些攻擊背后的網(wǎng)絡(luò)罪犯團(tuán)伙Carbanak嚴(yán)謹(jǐn)仔細(xì)地執(zhí)行攻擊活動(dòng),就像高級(jí)可持續(xù)威脅(APT)一樣,常常在受害者的系統(tǒng)中悄無(wú)聲息地潛伏數(shù)月時(shí)間。
Carbanak黑客組織的總部可能位于烏克蘭,其目標(biāo)金融公司主要位于俄羅斯、美國(guó)、德國(guó)和中國(guó)。Carbanak的受害者之一因ATM詐騙損失了730萬(wàn)美元,而另一家受害者在自身網(wǎng)上銀行平臺(tái)被黑后損失了1000萬(wàn)美元。有時(shí)候,該黑客組織會(huì)命令A(yù)TM機(jī)在預(yù)定的時(shí)間吐鈔,無(wú)需現(xiàn)場(chǎng)人為干預(yù)。
2014年時(shí),多家安全公司調(diào)查了Carbanak黑客事件,但結(jié)論迥異。卡巴斯基高級(jí)安全研究員Ariel Jungheit稱(chēng):“Carbanak似乎是使用同一款?lèi)阂廛浖膬蓚€(gè)不同組織。其中一個(gè)組織主要針對(duì)金融機(jī)構(gòu)(卡巴斯基重點(diǎn)研究了這個(gè)組織),另一個(gè)組織則更偏重零售公司。盡管其他人對(duì)此有爭(zhēng)議,但主要結(jié)論是,一開(kāi)始是一個(gè)組織,后來(lái)分裂成了幾個(gè)小組。”
2018年3月,歐洲刑警組織(Europol)宣稱(chēng),經(jīng)過(guò)一番“復(fù)雜深入的調(diào)查”,已逮捕了Carbanak組織的首腦。然而,直至今日,該網(wǎng)絡(luò)犯罪團(tuán)伙的很多成員仍然活躍,可能加入了其他黑客組織。FIN7網(wǎng)絡(luò)犯罪團(tuán)伙主要對(duì)零售和餐飲業(yè)感興趣,而Cobalt專(zhuān)注金融機(jī)構(gòu)。
FireEye曼迪安特威脅情報(bào)高級(jí)分析經(jīng)理Jeremy Kennelly表示:“如果司法行動(dòng)的對(duì)象是與FIN7這種資源豐富的大型犯罪組織相關(guān)聯(lián)的個(gè)人,那其影響就難以判斷了,因?yàn)橹饕?zé)任往往可以由多名個(gè)人或多個(gè)團(tuán)隊(duì)承擔(dān)。逮捕行動(dòng)之后,F(xiàn)IN7的戰(zhàn)術(shù)、技術(shù)和程序并沒(méi)有出現(xiàn)太大的變化。
▶ Sandworm(沙蟲(chóng),又名Telebots、Electrum、Voodoo Bear、Iron Viking)
俄羅斯網(wǎng)絡(luò)間諜組織Sandworm涉嫌過(guò)去十年來(lái)的幾起重大破壞性安全事件,包括2015年和2016年的烏克蘭大停電、2017年以投放勒索軟件為開(kāi)端的NotPetya供應(yīng)鏈攻擊、2018年俄羅斯籍運(yùn)動(dòng)員因使用禁藥而被禁賽后平昌冬奧會(huì)遭受的一系列攻擊,以及與多個(gè)國(guó)家的競(jìng)選相關(guān)的黑客攻擊行動(dòng),例如美國(guó)2016大選、法國(guó)2017總統(tǒng)競(jìng)選和2019年格魯吉亞大選。
FireEye曼迪安特威脅情報(bào)副總裁John Hultquist稱(chēng):“2019年10月對(duì)格魯烏(GRU:俄羅斯總參謀部情報(bào)部)官員的起訴書(shū),讀起來(lái)就像是我們所見(jiàn)過(guò)的諸多重大網(wǎng)絡(luò)攻擊事件的清單。我們高度確信,俄羅斯軍事情報(bào)機(jī)構(gòu)格魯烏的74455部隊(duì)在支持Sandworm活動(dòng)。”
最近幾年,該組織的戰(zhàn)術(shù)、技術(shù)和程序變成了集成勒索軟件,但研究人員對(duì)此轉(zhuǎn)變毫不驚訝。曼迪安特威脅情報(bào)分析總監(jiān)Ben Read表示:“基于加密的勒索軟件通常與大范圍廣撒網(wǎng)式網(wǎng)絡(luò)犯罪活動(dòng)相關(guān),很容易被網(wǎng)絡(luò)間諜組織重新利用來(lái)進(jìn)行破壞性攻擊。”
▶ Evil Corp(又名Indrik Spider)
Evil Corp得名于美劇《黑客軍團(tuán)》(Mr. Robot),但其成員和漏洞利用程序均在劇集播出之前就活躍于網(wǎng)絡(luò)上了。這個(gè)說(shuō)俄語(yǔ)的黑客組織是史上最危險(xiǎn)銀行木馬之一Dridex(也稱(chēng)為Cridex或Bugat)的創(chuàng)建者。該組織在2020年攻擊了佳明公司和其他數(shù)十家企業(yè)。
法庭文件顯示,Evil Corp采用特許經(jīng)營(yíng)模式,付出10萬(wàn)美元和收益的50%,就可以得到Dridex訪(fǎng)問(wèn)權(quán)。FBI估計(jì),過(guò)去十年來(lái),該黑客組織盜取了不少于1億美元。
安全研究人員稱(chēng),除了Dridex之外,Evil Corp還創(chuàng)建了WastedLocker勒索軟件系列和Hades勒索軟件。網(wǎng)絡(luò)安全公司ESET也宣稱(chēng),BitPaymer勒索軟件可能是此黑客組織的杰作。Kujawa說(shuō)道:“該組織的與眾不同之處在于其攻擊有效性,很多安全攻擊都將Evil Corp的攻擊行動(dòng)與資源豐富、訓(xùn)練有素的黑客國(guó)家隊(duì)相提并論。”
2019年,美國(guó)司法部以多項(xiàng)罪名起訴了該組織的兩名重要成員,Maksim Yakubets和Igor Turashev,罪名包括串謀欺詐和電信詐騙,但該司法行動(dòng)并未阻止Evil Corp繼續(xù)其黑客活動(dòng)。CrowdStrike Intelligence高級(jí)副總裁Adam Meyers表示:“去年,該黑客組織采用了新的工具,并重新命名了幾款工具,從而規(guī)避美國(guó)財(cái)務(wù)部實(shí)施的制裁,防止受害者無(wú)法支付他們索要的贖金。盡管個(gè)別成員受到起訴,黑客行動(dòng)也受到了制裁,但該組織依然蓬勃發(fā)展。”
▶ Fancy Bear(奇幻熊,又名APT28、Sofacy、Sednit、Strontium)
2000年代中期開(kāi)始,這個(gè)說(shuō)俄語(yǔ)的黑客組織就出現(xiàn)在我們周?chē)耍涔裟繕?biāo)包括美國(guó)、西歐和南高加索的政府和軍隊(duì)機(jī)構(gòu),以及能源和媒體公司。該組織的受害者可能包括德國(guó)和挪威議會(huì)、白宮、北大西洋公約組織(NATO),以及法國(guó)電視臺(tái)TV5。
Fancy Bear最著名的案例是2016年攻入美國(guó)民主黨全國(guó)委員會(huì)和入侵希拉里·克林頓的競(jìng)選活動(dòng),據(jù)稱(chēng)影響了美國(guó)總統(tǒng)選舉的結(jié)果。據(jù)信, Fancy Bear的馬甲就是黑客組織Guccifer 2.0。據(jù)CrowdStrike介紹,另一個(gè)說(shuō)俄語(yǔ)的黑客組織,Cozy Bear(安逸熊),也藏身于民主黨的計(jì)算機(jī)網(wǎng)絡(luò)中,獨(dú)立盜取密碼。但很明顯,這兩頭熊并未意識(shí)到彼此的存在。
Fancy Bear主要通過(guò)周一和周五發(fā)送的魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)郵件來(lái)引誘受害者上鉤,偶爾也會(huì)注冊(cè)極其類(lèi)似合法網(wǎng)站的域名,構(gòu)建虛假網(wǎng)站來(lái)收割登錄憑證。
▶ LuckyMouse(又名Emissary Panda,、Iron Tiger、APT27)
這個(gè)黑客組織說(shuō)中文,活躍了十年以上,主要針對(duì)外國(guó)大使和橫跨多個(gè)不同行業(yè)的公司,如航空、國(guó)防、科技、能源、醫(yī)療保健、教育和政府。其活動(dòng)范圍包括北美、南美、歐洲、亞洲和中東。
卡巴斯基的Jungheit稱(chēng),該組織的滲透測(cè)試技術(shù)高超,通常使用Metasploit框架等公開(kāi)可用的工具。“除了作為投放手段的魚(yú)叉式網(wǎng)絡(luò)釣魚(yú),該黑客組織還在行動(dòng)中使用SWC(策略性Web攻擊),以超高成功率拿下受害者。”
趨勢(shì)科技的研究人員注意到,該組織可以快速更新并修改器工具,讓安全研究人員難以檢測(cè)。
▶ REvil(又名Sodinokibi、Pinchy Spider—與GandCrab相關(guān))
REvil黑客組織得名于電影《生化危機(jī)》(Resident Evil)及其系列游戲,位于俄語(yǔ)區(qū),運(yùn)營(yíng)著幾個(gè)最有利可圖的勒索軟件即服務(wù)(RaaS)。該黑客組織首次進(jìn)入大眾視野是在2019年4月,臭名昭著的GandCrab被關(guān)停之后不久,其業(yè)務(wù)自那以后似乎就蒸蒸日上了。該組織的受害者包括宏碁、本田、Travelex和杰克丹尼威士忌的生產(chǎn)商Brown-Forman。
Jungheit稱(chēng):“REvil運(yùn)營(yíng)者索要的贖金為2021年之最。為了分發(fā)勒索軟件,REvil與在網(wǎng)絡(luò)犯罪論壇上招募的成員組織合作,分給成員組織60%到75%的贖金。”
開(kāi)發(fā)人員經(jīng)常更新REvil勒索軟件,從而避免檢測(cè)到正在進(jìn)行的攻擊。Jungheit稱(chēng):“該組織在網(wǎng)絡(luò)犯罪論壇的帖子里公布所有主要更新及其合作伙伴計(jì)劃中的空缺職位。”
Malwarebytes Labs的Kujawa表示,REvil不同于其他組織的地方在于,其開(kāi)發(fā)人員是以業(yè)務(wù)為中心的。“去年,該組織的一名成員接受了采訪(fǎng),稱(chēng)他們通過(guò)勒索和威脅要披露數(shù)收入了1億美元,而且還計(jì)劃在未來(lái)通過(guò)DDoS攻擊拓展其勒索能力。”
▶ Wizard Spider
說(shuō)俄語(yǔ)的Wizard Spider組織在2016年首次浮出水面,但在最近幾年已變得越來(lái)越復(fù)雜高端,打造了多款用于網(wǎng)絡(luò)犯罪的工具。最初,Wizard Spider以其商業(yè)化銀行惡意軟件TrickBot而聞名,但之后,該組織就擴(kuò)展了其工具集,納入了Ryuk、Conti和BazarLoader。而且,Wizard Spider仍在持續(xù)完善其武器庫(kù),以便更加有利可圖。
CrowdStrike Intelligence的Meyers稱(chēng):“Wizard Spider的惡意軟件庫(kù)并未在犯罪論壇上公開(kāi)打廣告,表明他們可能只想與信得過(guò)的犯罪組織交易或合作。”該組織的黑客活動(dòng)多種多樣,其中一些非常具體,傾向于所謂“狩獵大型獵物”的高針對(duì)性、高回報(bào)勒索軟件攻擊活動(dòng)。
Wizard Spider根據(jù)目標(biāo)的價(jià)值估算索要的贖金,似乎沒(méi)有哪個(gè)行業(yè)是禁區(qū)。新冠肺炎疫情期間,該組織用Ryuk和Conti惡意軟件攻擊了美國(guó)幾十家醫(yī)療機(jī)構(gòu)。世界各國(guó)的多家醫(yī)院也受到了影響。
▶ 彩蛋:Winnti(又名Barium、Double Dragon、Wicked Panda、APT41、Lead、Bronze Atlas)
Winnti可能是說(shuō)中文的幾個(gè)小組的集合,既從事網(wǎng)絡(luò)犯罪活動(dòng),也執(zhí)行國(guó)家支持的網(wǎng)絡(luò)攻擊。其網(wǎng)絡(luò)間諜行動(dòng)針對(duì)醫(yī)療企業(yè)和科技公司,常常盜取知識(shí)產(chǎn)權(quán)。同時(shí),其經(jīng)濟(jì)利益驅(qū)動(dòng)的網(wǎng)絡(luò)犯罪力量攻擊電子游戲產(chǎn)業(yè),操縱虛擬貨幣,并試圖部署勒索軟件。
Jungheit稱(chēng):“難以定義該黑客組織主要是因?yàn)槠鋸氖碌暮诳突顒?dòng)與其他說(shuō)中文的APT組織之間存在重疊。例如,有些工具和惡意軟件是多個(gè)說(shuō)中文的黑客組織之間共享的。”
Winnti使用的不同代碼集和工具高達(dá)數(shù)十種,而且常常依靠魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)電子郵件滲透目標(biāo)公司。曼迪安特威脅情報(bào)報(bào)告稱(chēng):“在一次持續(xù)近一年的黑客活動(dòng)中,APT41入侵了數(shù)百個(gè)系統(tǒng),使用了近150種惡意軟件,其中包括后門(mén)、憑證盜竊程序、鍵盤(pán)記錄器和rootkit。APT41還有限度地部署rootkit和主引導(dǎo)記錄(MBR)bootkit,用于在重要的受害者系統(tǒng)上隱藏其惡意軟件和維持駐留。”
