信息來源：mottoin

一轉眼，2019年只剩下最后一個月了。過去11個月里，威脅領域的變化十分明顯。從2018年下半年到2019年上半年，研究人員發(fā)現(xiàn)了新的對手以及更公開的網絡攻擊方法。

新的對手——RedCurl

2019 年，一個名為RedCurl的新晉黑客組織開始嶄露頭角，這個組織既當間諜又搞金融盜竊，而且攻擊范圍很廣，保險、咨詢、采礦、煉鋼、零售與建筑公司一個都不放過。Group-IB表示，RedCurl 背后的黑客技術超群，非常難追蹤。RedCurl 能一直成功隱藏自己主要還是因為其用合法服務與自己的命令與控制（C2）服務器進行通信。

為了干壞事，黑客非常依賴自定義的木馬。得手后的第一個任務就是竊取受害者的重要文檔，隨后安裝 XMRIG 來進行門羅幣挖礦活動。大佬總是挑剔的，這么厲害的組織也不是什么都要的，RedCurl組織主要針對協(xié)議、付款與合同等信息。

與以往粗狂的攻擊方式不同，RedCurl組織的釣魚攻擊方法可是相當專業(yè)。它們會針對不同的受害者定制專門的釣魚郵件，這樣成功率更高。

RedCurl的大部分受害者都分布在東歐，但北美也有一家公司中招。從釣魚郵件中所用的語言以及黑客組織使用的電郵服務來看，該組織中至少有一個人是說俄語的。

但是目前RedCurl組織的真面目還不清楚，沒人知道它們到底是網絡犯罪組織，還是某個國家的APT組織。

向錢看的組織

Group-IB列出了五個針對金融機構的活躍的網絡犯罪組織，其中有三個組織（Cobalt、 Silence以及MoneyTaker）都說俄語，可以熟練的利用木馬控制自動取款機。

其余兩個組織（Lazarus和SilentCard）都是來自肯尼亞的新興組織，主要針對非洲的銀行。雖然技術不怎么樣，但也足夠他們在非洲大陸上橫行霸道了。

 

雖然網絡上針對金融機構犯罪組織遠不止這五個，可是這五個能帶來非常嚴重的破壞。

這些組織通常會在被攻破的網絡上花費大量時間，以便它們能像被監(jiān)控的受害者一樣管理金融業(yè)務。Group-IB 繪制的網絡攻擊地圖顯示，不管成功與否，這些組織從2018 年下半年開始就進入了活躍期，幾乎每個月都有大動作。

 

目前，研究人員還沒有有關SilentCard組織的詳細信息，但確信該組織在肯尼亞運行并且成功發(fā)起過兩次攻擊。借助僅有的惡意軟件樣本，Group-IB 猜測 SilentCard 攻擊公司網絡時使用了一種自行研發(fā)的控制設備。

背后有國家撐腰的黑客

2018年下半年到2019年上半年，背后有國家撐腰的黑客（APT組織）依然很忙。在Group-IB 列出的38個組織中，有7個是今年新冒頭的組織。雖然這些組織今年才被發(fā)現(xiàn)，但他們有的最早從2011年就開始運行了。

 

其中的典型例子就是 Windshift，網絡安全公司DarkMatter去年8月份還專門對其工具與策略進行了分析。不過，它們在2017年就開始當網絡間諜，針對中東地區(qū)政府雇員和關鍵基礎設施刺探情報了。

Blue Mushroom（又名Sapphire Mushroom和APT-C-12）則是個 2011 年就開始正式運行的黑客組織，但去年年中Blue Mushroom才被發(fā)現(xiàn)。這個組織主要針對核工業(yè)與科學研究機構。

Gallmaker也是2018年才被發(fā)現(xiàn)的APT組織，賽門鐵克認為2017年年末Gallmaker組織就正式成立了。據(jù)悉，Gallmaker主要依靠自制工具對政府和軍事目標發(fā)動攻擊。

今年年初奇虎360的一份報告則顯示，名為APT-C-36（又名Blind Eagle）的南美黑客組織多次對重要公司與政府機構的商業(yè)機密進行盜竊。

名為Whitefly的黑客組織則盯上了新加坡的醫(yī)療、媒體、通訊與工程公司，Whitefly組織從2017年就開始活動，去年7月因為攻擊新加坡最大的公共衛(wèi)生機構而一戰(zhàn)成名，當時大約150萬名病人的資料被竊取。

Hexane與Lyceum則主要針對中東地區(qū)的關鍵基礎設施，今年8月份它們才被發(fā)現(xiàn)。

第七家APT組織TajMahal到現(xiàn)在才只是小荷才露尖尖角，關于它的資料還很少?？ò退够l(fā)現(xiàn)它們的攻擊框架相當高級，單是一個套件就包含了80個模組，TajMahal正是用它攻破了中亞某外交機構的防御。

網絡戰(zhàn)升級

對國家來說，網絡安全已經成了最重要的一環(huán)。從現(xiàn)有形勢來看，黑客們已經不屑于隱藏自己，反正不承認就行了。此外，黑客也不再為了錢發(fā)起攻擊，畢竟今年有許多能源廠遭受了黑客攻擊，這可不能為黑客帶來利潤。為此，政府機構也不得不加緊數(shù)字工具的升級，以防出現(xiàn)不測。

借網絡攻擊對敵人進行報復最近更是成了日常手段，比如今年夏天美國對伊朗武器系統(tǒng)的攻擊（報復伊朗擊落美軍無人機）。

2018年讓我們認識到，網絡世界是多么的脆弱，而2019 年則讓我們看見了網絡空間上的秘密軍事行動。真可謂是，長江后浪推前浪，前浪也老當益壯。