DarkSide组织主要是通过投递Darkside勒索软件对目标进行攻击的,该团伙于2020年8月出现,据统计已经袭击了近百个受害者,从被Darkside团伙攻击过的行业来看,该团伙的攻击目标涉及了IT、石油和天然气等多个领域。2021年DarskSide先后对油管道运营商Colonial Pipeline、东芝公司(Toshiba Tec Corp)、化学品分销集团Brenntag等企业进行了网络攻击。
攻击事件1:2021年5月7日,DarkSide组织袭击了美国最大成品油管道运营商Colonial Pipeline公司的工业控制系统。该事件导致Colonial Pipeline公司被迫中断了东部沿海主要城市输送油气的管道系统运营,随后美国政府宣布进入紧急状态。据悉,Colonial Pipeline是美国最大的成品油管道运营商,每天通过管道系统输送超过1亿加仑的燃料,该管道系统连接得克萨斯州休斯顿和新泽西州林登,跨度长达5500多英里,美国东海岸45%的燃料都由该管道系统提供,受此事件影响,此次燃油管道关闭有可能导致油价攀升。
攻击事件2:2021年5月14日,DarkSide组织对东芝集团(Toshiba Tec Corp)欧洲子公司进行了网络攻击,为了防止损害的扩散,东芝停止了在日本和欧洲之间以及在欧洲子公司之间运营的网络和系统,同时采取了恢复措施和数据备份。
攻击事件3:2021年5月初,化学品分销巨头Brenntag遭受了网络攻击,网络犯罪分子不仅对该公司网络上的设备数据进行了加密,还窃取了大量未加密的文件。DarkSide勒索软件组织声称在本次攻击期间窃取了150GB的数据。为了解救被网络攻击者加密的数据,并防止被盗数据的公开泄露,Brenntag被迫向DarkSide勒索软件团伙支付了价值440万美元的比特币赎金。
Patchwork是一个至少从2015年就开始进行网络攻击的APT组织,疑似来自印度。这个APT组织还有“摩诃草”、Dropping Elephant、Chinastrats、APT-C-09、Quilted Tiger和ATK 11等称谓。该组织主要是从事信息窃取和间谍活动,其针对的目标包含了中国、巴基斯坦、日本、英国和美国等多个国家,涉及的目标行业多为航空、国防、能源、金融、IT和政府等。攻击手法有投递恶意宏文档,利用钓鱼网站和使用esp漏洞(CVE-2017-0261)等。
攻击事件1:2021年1月,威胁情报平台捕获到一起涉及中国和巴基斯坦的样本,通过分析发现,该样本名为“Chinese_Pakistani_fighter_planes_play_war_games.docx.”,(译文:中国巴基斯坦战斗机参加战争游戏.docx)。该样本利用esp漏洞进行攻击,当用户点击执行docx文档后,该恶意样本便会通过文档目录 “ word/_rels/document.xml.rels ” 中的加载项加载 “media/image1.eps”,利用esp释放同名诱饵文档以迷惑用户,诱饵文档内容则与中国和巴基斯坦的空军演习相关报道相关,同时还会释放FakeJLI后门病毒,以进行信息窃取等恶意操作。
攻击事件2:2021年12月21日,威胁情报平台捕获了一起Patchwork组织对中国发起的攻击事件。该组织在此次攻击中利用了带有CVE-2017-11882漏洞的诱饵文档,伪装成《中华人民共和国国家卫生健康委员会登记表》进行攻击,登记表内需要填写的内容包含姓名、出生日期、地址、邮箱以及电话等隐私信息。一旦目标打开诱饵文档,攻击者就会利用文档漏洞执行一段 shellcode,从而在目标系统内隐秘释放远控木马。
Lazarus Group是一个自2007年就开始对目标进行网络攻击的威胁组织,该组织又被称为Group 77、Hastati Group、Hidden Cobra、APT-C-26、T-APT-15、Zinc和Nickel Academy等,是现今最活跃的威胁组织之一。该组织来自朝鲜,具有国家背景,除了擅长信息盗取、间谍活动外,还会通过蓄意破坏电脑系统以获取经济利益,攻击的国家包括中国、德国、澳大利亚、日本等,涉及的领域有航空航天、政府、医疗、金融和媒体等。
攻击事件1:2021年5月11日,威胁情报平台捕获到一起Lazarus Group组织的攻击事件。此攻击事件中,该组织使用的诱饵文档内容主要是关于创建员工奖金和激励计划,通过溯源得知该文章从加拿大MaRS网站上摘抄得来。在这起攻击事件中,攻击者利用钓鱼邮件等方式向目标投递名为“New Bonus Announcemnet.zip”压缩包,在压缩包内有两个文件:“New Bonus Announcemnet.docx”“Password.txt.lnk”。因为文档“New Bonus Announcemnet.docx”被攻击者加密,所以需要目标用户点击“Password.txt.lnk”获取密码进行解密操作,而“Password.txt.lnk”的快捷方式文件则指向一段恶意JS代码,所以目标用户在获取密码的同时也会被该 JS 代码所释放的恶意程序远程控制。
攻击事件2:2021年10月22日,捕获到Lazarus Group组织另一起安全事件。此次攻击事件中,攻击者利用钓鱼邮件等方式向目标投递名为“Profitability Statement Report.zip”压缩包,当目标用户解压压缩包后会得到名为“Profit and Loss Statement.xlsx.lnk”的快捷方式文件,该快捷方式指向一段JS代码,攻击者利用这段JS代码打开诱饵文档迷惑用户,诱饵文档内 容是一张盈利报表,里面记录了4 到9月份期间销售盈利和各方面的花销等内容,同时还会释放恶意程序以达到对目标用户计算机进行远程控制的目的。
Transparent Tribe是一个自2013年以来一直在活跃着的威胁组织。这个组织又被称为“透明部落”、APT 36、ProjectM、Mythic Leopard和is,有信息表明该组织疑似为巴基斯坦背景,由国家支持,其主要目的是信息盗窃和间谍活动,攻击目标包括阿富汗、印度、哈萨克斯坦和沙特阿拉伯等国家,涉及行业多为教育、国防和政府等领域。
攻击事件1:2021年4月,威胁情报平台捕获到一起针对印度国防大学(NATIONAL DEFENCE COLLEGE(NDC))的攻击事件,攻击者投放的样本是个带宏文档的PPT,名为“NDCUpdates.ppt”。当目标用户点击样本执行宏后,样本会在计算机上释放内容为印度国防大学(NATIONAL DEFENCE COLLEGE(NDC))的诱饵文档及 Crimson 远控木马,攻击者通过诱饵文档迷惑用户,并在后台执行Crimson远控木马进行信息窃取等恶意操作。
攻击事件2:2021年6月18。