一些APT案例的未解之迷

摘要

本文收集一些值得了解细节的APT案例

XCodeGhost

What happened to the author.

证券幽灵

裁判书查询无果
持续接近十年的APT案例
黑产马仔躲山里柴油机发电搞攻击，幕后老大闹市喝茶——老司机独家揭秘真实网络对抗
http://www.leiphone.com/news/201703/hdIaIJslbjRInACE.html
而 2016 年报道的“证券幽灵”案攻击者潜伏时间之长实属罕见。
这是一起典型的 APT 攻击，在一些证券商报告发现账户异动后，邀请绿盟科技专家排查，发现一名操作人员的电脑“被搞了”，内部的服务器都被攻陷，再一查，吓人一跳！
这场“潜伏”与“信息盗窃”已经持续了 10 年。让人不可思议的是，中途入侵行为还曾被发现和处理过，但诡异的是，看上去已经打扫干净的战场却仍有敌人潜伏，而且此后的入侵手段还发生了变化和升级。
叶晓虎说：“我们调查分析发现，几乎所有漏洞都已经修复，但是，唯一一台对外的服务器端口被开了，这就导致了攻击还能持续进行，我们在其他地方也发现了类似情况，做了很多取证，前一段时间攻击者已经被判刑。”

针对 SWIFT 的攻击

孟加拉央行事件 朝鲜

针对索尼的攻击

朝鲜
lulzsec

丝绸之路

丝绸之路创始人

Mandiant FireEye 等 APT报告

Shanghai

针对 Hacking Team, FinFisher的攻击

案例及细节

伊士顿国际贸易公司

高频交易 以及 2015年6月A股暴跌

Hacking the street

案例
FireEye has discovered and is currently tracking FIN4 - a group that targets email accounts of individuals privy to the most confidential information of more than 100 companies. The group appears to have a deep familiarity with business deals and corporate communications, and their effects on financial markets.

希拉里事件 DNC邮件泄漏细节

略

https://news.ycombinator.com/item?id=13279600

关于 DNC 邮箱泄漏事件的技术报道
https://www.us-cert.gov/sites/default/files/publications/JAR_16-20296A_GRIZZLY%20STEPPE-2016-1229.pdf

py2exe + wmi == rootkit?

俄罗斯针对爱沙尼亚/格鲁吉亚行动的细节

网络战

Stuxnet/Flame等

针对伊朗等中东地区APT
针对电力系统/交通系统/金融基础设施的攻击

针对 NASDAQ 和纽交所 的攻击

俄罗斯

Citadel / ZeuS

Kolypto (俄罗斯) 被FBI抓获。

Malware as a Service
邀请制俄罗斯论坛

关于反蜜罐 Black Hat USA 2013

前事不忘 后事之师

http://www.solidot.org/story?sid=35852

Chinese Hacking Team Caught Taking Over Decoy Water Plant
https://www.technologyreview.com/s/517786/chinese-hacking-team-caught-taking-over-decoy-water-plant/

在拉斯维加斯举行的Black Hat USA 2013大会上，安全公司趋势科技的研究员Kyle Wilhoit透露，去年12月，与解放军61398部队（总参三部二局）有关联的黑客组织APT1试图入侵他们设立的假水电站工控系统——也就是俗称的蜜罐。他们利用云计算软件设立了水电站工控系统Web登录界面，攻击者突破初始访问界面将可以看到控制水电站硬件的操作面板。蜜罐共记录到了来自16个国家的74次攻击，其中一半的关键性攻击来自中国。Wilhoit称，中国黑客利用Word文档嵌入的恶意程序试图完全控制蜜罐，恶意程序及其特征显示它属于APT1组织。Wilhoit表示，他观察了整个攻击过程，黑客显然知道他们在做什么。

NSA TAO

XKeyscore program detail
http://blog.est.im/post/57017854092

这里顺带提了一下启明星辰讲师在webshell中添加后门被人溯源了的故事。
揭秘黑客界：黑吃黑事件
http://www.myhack58.com/Article/html/1/4/2013/39619_5.htm

http://blog.est.im/post/57017854092

Phish

RIMASAUSKAS

Lithuanian Man Arrested For Theft Of Over $100 Million In Fraudulent Email Compromise Scheme Against Multinational Internet Companies

https://www.justice.gov/usao-sdny/pr/lithuanian-man-arrested-theft-over-100-million-fraudulent-email-compromise-scheme