美国APT首次完整的溯源——重返方程式组织攻击中东技术设施的全过程

admin 2024年2月16日11:10:56评论15 views字数 1045阅读3分29秒阅读模式

大家好,我是紫队安全研究。近期我将连载美国APT针对全球的历史安全事件,希望能帮助到大家。建议大家把公众号“紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号现在只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“紫队安全研究”,然后点击右上角的【...】,然后点击【设为星标】即可。

在2017年之前,尽管全球网络安全界对美国的网络攻击活动有一些分析,但大多停留在样本分析层面。直到2017年,“影子经纪人”的曝料为网络安全界提供了连接各种分析成果的机会。安天等安全厂商将曝光的各种信息线索进行了组合复盘,结合长期积累的研究成果,初步还原了美国“方程式组织”在攻击中东技术设施方面的全过程。

事件回顾

2017年4月14日,“影子经纪人”曝光的数据中包含一个名为SWIFT的文件夹,详细曝光了“方程式组织”针对SWIFT金融服务提供商及合作伙伴的两起网络攻击行动:“JEEPFLEA_MARKET”和“JEEPFLEA_POWDER”。其中,“JEEPFLEA_MARKET”是2012年7月至2013年9月期间,针对中东地区最大的SWIFT服务提供商EastNets发起的攻击行动,成功窃取了大量敏感信息;而“JEEPFLEA_POWDER”攻击行动则主要针对EastNets在拉美和加勒比海地区的合作伙伴BCG,但未成功。

研究分析曝光经过

2019年6月,安天发布了对“方程式组织”攻击SWIFT服务提供商EastNets事件的复盘分析报告。在该报告中,安天基于“影子经纪人”的泄露资料与历史捕获分析成果进行了关联分析,完整复盘了此次攻击事件,还原了美国的攻击路径、装备运用、战术过程等。报告详细分析了被攻击目标资产信息,绘制了网络拓扑结构图,并梳理了攻击所使用的漏洞利用工具列表。

美国APT首次完整的溯源——重返方程式组织攻击中东技术设施的全过程

报告对攻击路径进行了推测:攻击者从互联网四个跳板发起攻击,先后击穿了两层防火墙,并通过多个零日漏洞穿梭进内网体系,最终获取了攻击方感兴趣的信息。

美国APT首次完整的溯源——重返方程式组织攻击中东技术设施的全过程

小结

安全厂商通过多年的跟踪与积累,结合“影子经纪人”的爆料文件,初步实现了对美国“方程式组织”攻击事件的完整复盘。这一过程不仅帮助了全球网络安全界更好地了解顶级APT组织的攻击活动全貌,也提供了宝贵的研究资源,助力安全研究者从完整的威胁框架角度去分析网络安全事件。 

美国APT首次完整的溯源——重返方程式组织攻击中东技术设施的全过程

欢迎喜欢文章的朋友点赞、转发、赞赏,你的每一次鼓励,都是我继续前进的动力。

美国APT首次完整的溯源——重返方程式组织攻击中东技术设施的全过程

原文始发于微信公众号(紫队安全研究):美国APT首次完整的溯源——重返“方程式组织”攻击中东技术设施的全过程

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年2月16日11:10:56
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   美国APT首次完整的溯源——重返方程式组织攻击中东技术设施的全过程http://cn-sec.com/archives/2494308.html

发表评论

匿名网友 填写信息