背景
报告主要内容。
ThreatConnect Inc.与Defense Group Inc.(DGI)合作发现,“Naikon”APT小组隶属于xxx局(部队编号7xxx)。这一判断是有根据的,我们通过技术分析Naikon小组的威胁活动,并通过研究7xxx部队军官葛xx的一些言论,最终得出了这一结论。
读后感
我对这份报告的期待点主要在于,APT的攻击手段以及该安全公司是如何确定攻击者的身份的。
APT的攻击手段似乎并不复杂。
为了进入目标网络,Naikon会依靠邮件作为攻击途径,并结合社会工程来准确的识别目标。在发动攻击前,他们首先会收集目标的姓名,邮箱地址,出生日期,感兴趣的事件,国籍,性别,以前的邮件和社交网络通信。卡巴斯基注意到,这个小组利用了一些诱饵内容来发动攻击,包括 “联合国就核扩散和裁军的讨论和投票” “马航MH370失联” “雷神公司在菲律宾建设国家海岸监控中心”等诱饵文档。Naikon经常利用地区性话题作为诱饵,从中不难推测,他们的具体目标是谁,并且每经过一段时间就会用新的诱饵主题,这一点也要比其他常规的恶意攻击者更显著。
在确定攻击者身份的进程中,最初的突破口在木马C&C服务器的域名greensky27.vicp.net,根据greensky27找到了作者的腾讯微博,自此开始全线崩溃。本文根据greensky27的整个探索过程有一定借鉴的价值。
[1] Project CameraShy
[2] 部分翻译-乌云知识库
