美国APT首次完整的溯源——重返方程式组织攻击中东技术设施的全过程

大家好，我是紫队安全研究。近期我将连载美国APT针对全球的历史安全事件，希望能帮助到大家。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号现在只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

在2017年之前，尽管全球网络安全界对美国的网络攻击活动有一些分析，但大多停留在样本分析层面。直到2017年，“影子经纪人”的曝料为网络安全界提供了连接各种分析成果的机会。安天等安全厂商将曝光的各种信息线索进行了组合复盘，结合长期积累的研究成果，初步还原了美国“方程式组织”在攻击中东技术设施方面的全过程。

事件回顾

2017年4月14日，“影子经纪人”曝光的数据中包含一个名为SWIFT的文件夹，详细曝光了“方程式组织”针对SWIFT金融服务提供商及合作伙伴的两起网络攻击行动：“JEEPFLEA_MARKET”和“JEEPFLEA_POWDER”。其中，“JEEPFLEA_MARKET”是2012年7月至2013年9月期间，针对中东地区最大的SWIFT服务提供商EastNets发起的攻击行动，成功窃取了大量敏感信息；而“JEEPFLEA_POWDER”攻击行动则主要针对EastNets在拉美和加勒比海地区的合作伙伴BCG，但未成功。

研究分析曝光经过

2019年6月，安天发布了对“方程式组织”攻击SWIFT服务提供商EastNets事件的复盘分析报告。在该报告中，安天基于“影子经纪人”的泄露资料与历史捕获分析成果进行了关联分析，完整复盘了此次攻击事件，还原了美国的攻击路径、装备运用、战术过程等。报告详细分析了被攻击目标资产信息，绘制了网络拓扑结构图，并梳理了攻击所使用的漏洞利用工具列表。

报告对攻击路径进行了推测：攻击者从互联网四个跳板发起攻击，先后击穿了两层防火墙，并通过多个零日漏洞穿梭进内网体系，最终获取了攻击方感兴趣的信息。

小结

安全厂商通过多年的跟踪与积累，结合“影子经纪人”的爆料文件，初步实现了对美国“方程式组织”攻击事件的完整复盘。这一过程不仅帮助了全球网络安全界更好地了解顶级APT组织的攻击活动全貌，也提供了宝贵的研究资源，助力安全研究者从完整的威胁框架角度去分析网络安全事件。 

欢迎喜欢文章的朋友点赞、转发、赞赏，你的每一次鼓励，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：美国APT首次完整的溯源——重返“方程式组织”攻击中东技术设施的全过程