windows系统|游走在黑暗森林里的“狩猎者”与“黑店”组织的十年斗法
看似平静的网络空间 , 实则暗潮汹涌 , 其中不乏无数勇立潮头的捍卫者 , 时刻守护着网络空间的安全 。 在此其中 , 一支安全团队脱颖而出——360高级威胁研究院(ATA) 。
近期 , 360高级威胁研究院(ATA)又一次独家发现了APT组织Darkhotel(译名“黑店”)的新实锤 , 并登上ISC 2020大会 , 首次重磅发布了这次魔道斗法的全过程 。
一边是游走在网络空间里的安全捍卫者 , 曾实力捕获全球约40个APT组织;一边是时刻企图肆虐网络的威胁制造者 , 曾连续针对我国各领域发起网络侵袭 , 此次再度掀起风云对话 , 战局走势不免引人关注 。
追踪十年“黑店”
【windows系统|游走在黑暗森林里的“狩猎者”与“黑店”组织的十年斗法】360 ATA再度披露惊天恶绩
首先 , 说起拥有着东亚背景APT组织Darkhotel , 其相关攻击行动最早可以追溯到2007年 。 因为长期针对企业高管、政府机构、国防工业、电子工业等重要机构实施网络间谍攻击活动 , 其一系列的作恶行径让网络安全领域波澜迭起 。
而在2014年11月 , 当这个专门将攻击目标锁定为企业高管的间谍组织开始浮出水面 , 其足迹早已遍布中国、朝鲜、日本、缅甸、俄罗斯等全球多国 。
刀尖行走势必会百密一疏 。 随着Darkhotel露出马脚 , 360高级威胁研究院开始了对其的长期持续性追踪 , 一夕间 , 从所向披靡到被处处针对 , Darkhotel似乎尝尽败绩 。
l 2018年4月 , 360高级威胁研究院率先监测到Darkhotel组织瞄准中、俄、日、韩等国政府及组织机构或企业单位 , 尤其针对中国重点省份外贸企业单位和相关机构展开攻击;
l 今年2月 , 在Win 7停服之际 , 360高级威胁研究院全球首家捕获Darkhotel组织利用“双星”0day漏洞 , 瞄准我国商贸相关的政府机构发动攻击;
l 今年3月 , 360高级威胁研究院再次捕获到Darkhotel组织 , 劫持某VPN厂商下发恶意文件 , 锁定中国驻外机构、政府相关单位发动定向攻击 。
交手数次 , 360高级威胁研究院发现老对头Darkhotel组织近年攻击行动越发频繁和“肆无忌惮” , 其中已知的行为就包括W行动、Darkhotel、Erebus、Daybreak、Thinmon等 。 不仅如此 , 该组织使用的恶意代码极为复杂 , 漏洞武器库也极其充实 , 囊括双杀0day、双星0day等在内 。
本文插图
就在今年3月的这次攻击中 , 360高级威胁研究院利用360安全大脑发现DarkHotel使用了一个从未被披露过的全新后门框架 , 并根据该攻击组件的文件名将其命名为“Thinmon”后门框架 。
继续深挖之下 , 这个神秘的全新后门框架实际上掩盖着另一个惊天秘密——自2017年起 , Darkhotel利用这一框架 , 对我国实施了长达三年的持续性攻击 。
360 ATA独家披露全新秘密武器
Thinmon究竟是何方神圣?
“后门程序” , 如同“开天窗”的管理员身份 。 Thinmon这一后门程序其中不乏屏幕截图、文件窃取、键盘记录、远程监控等功能 , 且其插件在计算机中皆以二进制加密的形式存放在临时目录 , 只有在需要被加载启动时 , 调度模块才会对其解密并加载 。
本文插图
本文插图
可以说 , Thinmon是黑客组织长期潜伏渗透 , 进行情报窃取的绝佳间谍手段 。
利用这款秘密武器 , 黑店针对我国东部沿海地区以及靠近朝鲜半岛的地区发起攻击 , 涵盖了政府、驻华机构、外贸、新闻媒体等多个行业 , 其中与贸易有关的企业占比最多达到1/4 , 其次是政府机构、新闻媒体 , 大型国企、高等院校 。 在最近的VPN劫持攻击事件中 , 有多个中国驻外机构受到了攻击 。
推荐阅读
- 防撞|基于DSP的汽车防撞雷达系统设计,快去给自己的车也搞一个
- 中华中学|教育部科技司司长雷朝滋调研清帆“AI主动安防”系统
- 科学|在太空中,免疫系统是否有影响?
- 新机发布|今年无缘华为鸿蒙系统手机,余承东:明年可能会公布相应计划
- Android系统|华为EMUI 11提前泄密,这三点将大幅提升,鸿蒙OS 2.0同步亮相
- 小谦|小米手表迎来全新系统升级,“小习惯”功能成最大亮点
- 技术|最新《中国禁止出口限制出口技术目录》发布,新增操作系统、密码芯片安全技术
- Android系统|小米10尊享版更新MIUI12.0.8:支持长焦取景窗快速移出屏幕功能
- 趣头条|安卓11系统可无线连接车载安卓多媒体
- 电脑使用技巧|微软重新发布补丁对Windows 10更新:修复磁盘优化程序等