针对巴基斯坦的APT攻击

1 ” Shaheen”—比肩TAO行动小组的APT组织

1.1 简介

一起特别针对巴基斯坦空军的APT行动.

注:巴基斯坦空军另一职能是该国赛博安全指挥部.

john doe 老哥文采越来越飞扬了

1.1.1 特点

  1. 豢养了一大批高水平的技术人才.
  2. 极强的圈天开发能力.
  3. 非”小米加步枪”式武器库,而是”海陆空”成建制的武器利用平台.
  4. 依目标环境不同随时研发客制化工具.
  5. 政治目的挂帅,横向可对目标线上机器资产轻松犁清,纵向可对目标线下人员信息全盘掌控.
  6. 步步为营,攻守结合,攻能一次性过主流杀软,守能有意识的丢弃曝光的武器牵制安全分析人员的精力.

1.1.2 隐蔽

  1. 特马编写过程中:尽量使用开源的技术方案,熵值不可考,PDB字符串不可考 个人代码风格不可考.
  2. 特马投递中:检查目标执行环节是否安全,是否是被病毒分析人员捕获到了,如果是,马上干净利落的自杀.
  3. 特马运行中:payload以五层套娃式混淆方案重点保护,并且对安全公司的运作机制异常熟稔,完美绕过了安全公司病毒分析人员的一切常规分析手段.
  4. 特马Beacon中:选用被黑的服务器,选用不可追踪来源的服务器.杜绝以个人信息注册一切基础设施.

REF:https://threatvector.cylance.com/en_us/home/the-white-company-inside-the-operation-shaheen-espionage-campaign.html

发表评论

电子邮件地址不会被公开。 必填项已用*标注