Skip to content

Hide Navigation Hide TOC

Edit

360.net Threat Actors

Known or estimated adversary groups as identified by 360.net.

Authors
Authors and/or Contributors
360.net

CIA - APT-C-39

APT-C-39是一个来自美国,与NSA存在联系,系属于CIA的高规格,高水平的APT组织。对中国关键领域进行了长达十一年的网络渗透攻击。中国航空航天、科研机构、石油行业、大型互联网公司以及政府机构等多个单位均遭到不同程度的攻击

Internal MISP references

UUID 988e1441-0350-5c39-979d-b0ca99c8d20b which can be used as unique global reference for CIA - APT-C-39 in MISP communities and other software using the MISP galaxy

External references
Associated metadata
Metadata key Value
country america
suspected-victims ['中国']
target-category ['媒体通讯', '工业科研', '政府', '教育']

海莲花 - APT-C-00

海莲花(OceanLotus)APT团伙是一个高度组织化的、专业化的境外国家级黑客组织,其最早由360发现并披露。该组织至少自2012年4月起便针对中国政府、科研院所、海事机构、海域建设、航运企业等相关重要领域展开了有组织、有计划、有针对性的长时间不间断攻击。

Synonyms

"synonyms" in the meta part typically refer to alternate names or labels that are associated with a particular 海莲花 - APT-C-00.

Known Synonyms
OceanLotus
Internal MISP references

UUID ad1a6df6-2251-5e47-a245-8693c1ace8fb which can be used as unique global reference for 海莲花 - APT-C-00 in MISP communities and other software using the MISP galaxy

External references
Associated metadata
Metadata key Value
country vietnam
suspected-victims ['中国', '印度', '孟加拉国', '澳大利亚', '马来西亚']
target-category ['政府', '科研', '教育', '信息技术', '外交', '医疗', '制造', '金融', '国防军工']
Related clusters

To see the related clusters, click here.

摩诃草 - APT-C-09

摩诃草组织(APT-C-09),又称HangOver、VICEROY TIGER、The Dropping Elephant、Patchwork,是一个来自南亚地区的境外APT组织,该组织已持续活跃了12年。摩诃草组织最早由Norman安全公司于2013年曝光,随后又有其他安全厂商持续追踪并披露该组织的最新活动,但该组织并未由于相关攻击行动曝光而停止对相关目标的攻击,相反从2015年开始更加活跃。摩诃草组织主要针对中国、巴基斯坦等亚洲地区国家进行网络间谍活动,其中以窃取敏感信息为主。相关攻击活动最早可以追溯到2009年11月,至今还非常活跃。在针对中国地区的攻击中,该组织主要针对政府机构、科研教育领域进行攻击,其中以科研教育领域为主。

Synonyms

"synonyms" in the meta part typically refer to alternate names or labels that are associated with a particular 摩诃草 - APT-C-09.

Known Synonyms
HangOver
Patchwork
The Dropping Elephant
VICEROY TIGER
Internal MISP references

UUID 231a81cd-4e24-590b-b084-1a4715b30d67 which can be used as unique global reference for 摩诃草 - APT-C-09 in MISP communities and other software using the MISP galaxy

External references
Associated metadata
Metadata key Value
country india
suspected-victims ['中国及中国驻外大使馆', '孟加拉国', '巴基斯坦']
target-category ['外交军事', '信息和通信', '科研机构', '政府等重要机构']
Related clusters

To see the related clusters, click here.

黄金鼠 - APT-C-27

从2014年11月起至今,黄金鼠组织(APT-C-27)对叙利亚地区展开了有组织、有计划、有针对性的长时间不间断攻击。攻击平台从开始的Windows平台逐渐扩展至Android平台,截至目前我们一共捕获了Android平台攻击样本29个,Windows平台攻击样本55个,涉及的C&C域名9个。将APT-C-27组织命名为黄金鼠,主要是考虑了以下几方面的因素:一是该组织在攻击过程中使用了大量的资源,说明该攻击组织资源丰富,而黄金鼠有长期在野外囤积粮食的习惯,字面上也有丰富的含义;二、该攻击组织通常是间隔一段时间出来攻击一次,这跟鼠有相通的地方;三是黄金仓鼠是叙利亚地区一种比较有代表性的动物。

Internal MISP references

UUID b3b6f113-fe2c-5d75-ba41-b333ce726f4a which can be used as unique global reference for 黄金鼠 - APT-C-27 in MISP communities and other software using the MISP galaxy

External references
Associated metadata
Metadata key Value
country mideast
suspected-victims ['叙利亚', '约旦', '土耳其']

Lazarus - APT-C-26

Lazarus组织是疑似来自朝鲜的APT组织,该组织长期对韩国、美国进行渗透攻击,此外还对全球的金融机构进行攻击,堪称全球金融机构的最大威胁。该组织最早的攻击活动可以追溯到2007年。据国外安全公司的调查显示,Lazarus组织与2014 年索尼影业遭黑客攻击事件,2016 年孟加拉国银行数据泄露事件,2017年美国国防承包商、美国能源部门及英国、韩国等比特币交易所被攻击等事件有关。而2017年席卷全球的最臭名昭著的安全事件“Wannacry”勒索病毒也被怀疑是该组织所为。

Synonyms

"synonyms" in the meta part typically refer to alternate names or labels that are associated with a particular Lazarus - APT-C-26.

Known Synonyms
APT38
Internal MISP references

UUID e6f4af06-fbb5-5471-82ae-b0bdb4d446ce which can be used as unique global reference for Lazarus - APT-C-26 in MISP communities and other software using the MISP galaxy

External references
Associated metadata
Metadata key Value
country korea
suspected-victims ['中国', '韩国', '美国', '印度等国家']
target-category ['教育', '通信运营商', '制造', '外交', '信息技术', '医疗', '国防军工', '金融', '建筑', '能源']
Related clusters

To see the related clusters, click here.

黄金雕 - APT-C-34

黄金雕组织的活动主要影响中亚地区,大部分集中在哈萨克斯坦国境内,攻击目标涉及教育行业、政府机关人员、科研人员、媒体工作人员、部分商务工业、军方人员、宗教人员、政府异见人士和外交人员等。该组织使用社会工程学、物理接触、无线电监听等方式进行网络攻击,同时也采购了HackingTeam、NSO Group等网络军火商的武器,具备0day漏洞的高级入侵能力。360参照中亚地区擅长驯养猎鹰进行狩猎的习俗特性,将该组织命名为黄金雕(APT-C-34)。

Internal MISP references

UUID 03e70e52-ec27-5961-bb53-d4c8c737addc which can be used as unique global reference for 黄金雕 - APT-C-34 in MISP communities and other software using the MISP galaxy

External references
Associated metadata
Metadata key Value
country kaz
suspected-victims ['俄罗斯', '中国', '哈萨克斯坦']
target-category ['教育', '外交', '医疗', '科研', '政府', '国防军工']

盲眼鹰 - APT-C-36

从2018年4月起至今,一个疑似来自南美洲的APT组织盲眼鹰(APT-C-36)针对哥伦比亚政府机构和大型公司(金融、石油、制造等行业)等重要领域展开了有组织、有计划、针对性的长期不间断攻击。其攻击平台主要为Windows,攻击目标锁定为哥伦比亚政企机构。由于该组织攻击的目标中有一个特色目标是哥伦比亚盲人研究所,而哥伦比亚在足球领域又被称为南美雄鹰,结合该组织的一些其它特点以及360威胁情报中心对 APT 组织的命名规则,我们将该组织命名为盲眼鹰(APT-C-36)。

Internal MISP references

UUID c111ae65-f889-56b0-b266-f54342977da5 which can be used as unique global reference for 盲眼鹰 - APT-C-36 in MISP communities and other software using the MISP galaxy

External references
Associated metadata
Metadata key Value
country namerica
suspected-victims ['厄瓜多尔', '西班牙', '哥伦比亚', '巴拿马']
target-category ['通信运营商', '医疗', '制造', '金融']

毒针 - APT-C-31

2018年11月25日,360高级威胁应对团队就在全球范围内第一时间发现了一起针对俄罗斯的APT攻击行动,攻击目标则指向俄罗斯总统办公室所属的医疗机构,此次攻击行动使用了Flash 0day漏洞CVE-2018-15982和Hacking Team的RCS后门程序,结合被攻击目标医疗机构的职能特色,360将此次APT攻击命名为“毒针”行动。

Internal MISP references

UUID 5ae4eb64-5431-5b5c-987b-891e7ab5858c which can be used as unique global reference for 毒针 - APT-C-31 in MISP communities and other software using the MISP galaxy

External references
Associated metadata
Metadata key Value
country kaz
suspected-victims ['俄罗斯']
target-category ['政府', '医疗']

ArmaRat - APT-C-33

2016年7月,360发现一起针对伊朗Android手机用户长达两年之久的APT攻击活动。攻击者借助社交软件Telegram分享经过伪装的ArmaRat木马,入侵成功后攻击者可以完全控制用户手机,并对用户手机进行实时监控。由于该木马演变过程中C&C及代码结构均出现“arma”关键字,所以我们将该组织命名为“ArmaRat”。

Internal MISP references

UUID e66dfa3d-3295-503c-bdea-64d88e2b310d which can be used as unique global reference for ArmaRat - APT-C-33 in MISP communities and other software using the MISP galaxy

External references
Associated metadata
Metadata key Value
country mideast
suspected-victims ['伊朗']

军刀狮 - APT-C-38

从2015年7月起至今,军刀狮组织(APT-C-38)在中东地区展开了有组织、有计划、针对性的不间断攻击,其攻击平台为Windows和Android。由于军刀狮组织的攻击目标有一个主要的特色目标是西亚中东某国的库尔德人,另Windows端RAT包含的PDB路径下出现多次的“Saber”,而亚洲狮为该中东国家的代表动物,结合该组织的一些其它特点以及360对 APT 组织的命名规则,我们将该组织命名为军刀狮(APT-C-38)。

Internal MISP references

UUID 671197ae-ba70-5a81-90a5-1ba5e2ad6f76 which can be used as unique global reference for 军刀狮 - APT-C-38 in MISP communities and other software using the MISP galaxy

External references
Associated metadata
Metadata key Value
country mideast
suspected-victims ['中东地区']

拍拍熊 - APT-C-37

拍拍熊组织(APT-C-37)针对极端组织“伊斯兰国”展开了有组织、有计划、针对性的长期不间断攻击,其攻击平台为Windows和Android。

Internal MISP references

UUID 74f08d5a-e94d-53cb-bdd7-31d2f8c8db2b which can be used as unique global reference for 拍拍熊 - APT-C-37 in MISP communities and other software using the MISP galaxy

External references
Associated metadata
Metadata key Value
country mideast
suspected-victims ['巴勒斯坦', '叙利亚', '以色列']
target-category ['政府']

人面狮 - APT-C-15

人面狮行动是活跃在中东地区的网络间谍活动,主要目标可能涉及到埃及和以色列等国家的不同组织,目的是窃取目标敏感数据信息。活跃时间主要集中在2014年6月到2015年11月期间,相关攻击活动最早可以追溯到2011年12月。主要利用社交网络进行水坑攻击,截止到目前总共捕获到恶意代码样本314个,C&C域名7个。

Internal MISP references

UUID 55177506-57bf-503e-8a24-9ed06bd28f16 which can be used as unique global reference for 人面狮 - APT-C-15 in MISP communities and other software using the MISP galaxy

External references
Associated metadata
Metadata key Value
country mideast
suspected-victims ['埃及', '以色列']
target-category ['国防军工']

美人鱼 - APT-C-07

美人鱼组织(APT-C-07),来自于中东的境外APT组织,已持续活跃了9年。 主要针对政府机构进行网络间谍活动,以窃取敏感信息为目的,已经证实有针对丹麦外交部的攻击。

Internal MISP references

UUID 51954972-101b-5213-971c-b335ceb810ea which can be used as unique global reference for 美人鱼 - APT-C-07 in MISP communities and other software using the MISP galaxy

External references
Associated metadata
Metadata key Value
country mideast
suspected-victims ['丹麦', '印度', '澳大利亚', '罗马尼亚', '美国']
target-category ['政府', '外交', '制造']

双尾蝎 - APT-C-23

2016年5月起至今,双尾蝎组织(APT-C-23)对巴勒斯坦教育机构、军事机构等重要领域展开了有组织、有计划、有针对性的长时间不间断攻击。攻击平台包括Windows与Android,攻击范围主要为中东地区,截至目前我们一共捕获了Android样本24个,Windows样本19个,涉及的C&C域名29个。将APT-C-23组织命名为双尾蝎,主要是考虑了以下几方面的因素:一是该组织同时攻击了巴勒斯坦和以色列这两个存在一定敌对关系的国家,这种情况在以往并不多见;二是该组织同时在Windows和Android两种平台上发动攻击。虽然以往我们截获的APT组织中也有一些进行多平台攻击的例子,如海莲花,但绝大多数APT组织攻击的重心仍然是Windows平台。而同时注重两种平台,并且在Android平台上攻击如此活跃的APT组织,在以往并不多见。第三个原因就是蝎子在巴以地区是一种比较有代表性的动物。

Internal MISP references

UUID ce0bcfbd-9924-5c82-9ad3-845db745e7f7 which can be used as unique global reference for 双尾蝎 - APT-C-23 in MISP communities and other software using the MISP galaxy

External references
Associated metadata
Metadata key Value
country mideast
suspected-victims ['巴勒斯坦', '中国等驻外大使馆', '约旦', '利比亚', '加拿大']
target-category ['政府', '军事', '教育', '信息技术', '通信运营商']

蓝宝菇 - APT-C-12

从2011年开始持续至今,高级攻击组织蓝宝菇(APT-C-12)对我国政府、军工、科研、金融等重点单位和部门进行了持续的网络间谍活动。该组织主要关注核工业和科研等相关信息。被攻击目标主要集中在中国大陆境内。

Synonyms

"synonyms" in the meta part typically refer to alternate names or labels that are associated with a particular 蓝宝菇 - APT-C-12.

Known Synonyms
核危机行动(Operation NuclearCrisis)
Internal MISP references

UUID 7094494b-a91b-532f-9968-082fa683bfc4 which can be used as unique global reference for 蓝宝菇 - APT-C-12 in MISP communities and other software using the MISP galaxy

External references
Associated metadata
Metadata key Value
country taiwan
suspected-victims ['中国']
target-category ['政府', '国防军工', '科研', '金融']

毒云藤 - APT-C-01

APT-C-01又名毒云藤,是一个长期针对中国境内的APT组织,至少从2007年开始活跃。曾对中国国防、政府、科技、教育以及海事机构等重点单位和部门进行了长达11年的网络间谍活动,主要关注军工、中美关系、两岸关系和海洋相关的领域,旨在窃取重大决策及敏感信息。APT-C-01由360威胁情报中心首次披露,结合该组织关联地区常见的蔓藤植物,因此将其命名为“毒云藤”。

Synonyms

"synonyms" in the meta part typically refer to alternate names or labels that are associated with a particular 毒云藤 - APT-C-01.

Known Synonyms
白海豚
穷奇
绿斑
Internal MISP references

UUID 98df38d1-f83c-5c28-ad11-75aa6b493fe7 which can be used as unique global reference for 毒云藤 - APT-C-01 in MISP communities and other software using the MISP galaxy

External references
Associated metadata
Metadata key Value
country taiwan
suspected-victims ['中国']
target-category ['政府', '科研', '教育', '国防军工']

Darkhotel - APT-C-06

Darkhotel(APT-C-06)是一个长期针对企业高管、国防工业、电子工业等重要机构实施网络间谍攻击活动的APT组织。2014年11月,卡巴斯基实验室的安全专家首次发现了Darkhotel APT组织,并声明该组织至少从2010年就已经开始活跃,目标基本锁定在韩国、中国、俄罗斯和日本。卡巴斯基将该组织命名为Darkhotel(暗黑客栈),是因为他们的一次攻击行动被曝光,主要是利用酒店的无线网络有针对性的瞄准生产制造、国防、投资资本、私人股权投资、汽车等行业的精英管理者。

Synonyms

"synonyms" in the meta part typically refer to alternate names or labels that are associated with a particular Darkhotel - APT-C-06.

Known Synonyms
Dubnium
Karba
Luder
SIG25
Tapaoux
Internal MISP references

UUID f52ab8b8-71f2-5a88-946f-853dc3441efe which can be used as unique global reference for Darkhotel - APT-C-06 in MISP communities and other software using the MISP galaxy

External references
Associated metadata
Metadata key Value
country southKorea
suspected-victims ['中国', '日本', '俄罗斯', '朝鲜半岛']
target-category ['信息技术', '科研', '医疗', '能源', '国防军工', '制造', '金融', '服务业']
Related clusters

To see the related clusters, click here.

奇幻熊 - APT-C-20

APT28(APT-C-20),又称Pawn Storm、Sofacy、Sednit、Fancy Bear和Strontium。APT28组织被怀疑幕后和俄罗斯政府有关,该组织相关攻击时间最早可以追溯到2004年。其主要目标包括国防工业、军队、政府组织和媒体。期间使用了大量0day漏洞,相关恶意代码除了针对windows、Linux等PC操作系统,还会针对苹果IOS等移动设备操作系统。早前也曾被怀疑与北大西洋公约组织网络攻击事件有关。APT28组织在2015年第一季度有大量的活动,用于攻击NATO成员国和欧洲、亚洲、中东政府。目前有许多安全厂商怀疑其与俄罗斯政府有关,而早前也曾被怀疑秘密调查MH17事件。从2016年开始该组织最新的目标瞄准了土耳其高级官员。

Synonyms

"synonyms" in the meta part typically refer to alternate names or labels that are associated with a particular 奇幻熊 - APT-C-20.

Known Synonyms
APT28
Fancy Bear
Pawn Storm
STRONTIUM
Sednit
Sofacy Group
Internal MISP references

UUID 3d9f700c-5eb5-5d36-a6e7-47b55f2844cd which can be used as unique global reference for 奇幻熊 - APT-C-20 in MISP communities and other software using the MISP galaxy

External references
Associated metadata
Metadata key Value
country russia
suspected-victims ['美国', '欧洲', '乌克兰']
target-category ['媒体', '国防工业', '政府', '军事等重要机构']
Related clusters

To see the related clusters, click here.

沙虫 - APT-C-13

沙虫组织的主要目标领域有:政府、教育、能源机构和电信运营商。进一步主要针对欧美国家政府、北约,以及乌克兰政府展开间谍活动。该组织曾使用0day漏洞(CVE-2014-4114)针对乌克兰政府发起了一次钓鱼攻击。而在威尔士举行的讨论乌克兰危机的北约峰会针对美国也进行了攻击。该组织还使用了BlackEnergy恶意软件。而且沙虫组织不仅仅只进行常规的网络间谍活动,还针对SCADA系统进行了攻击,研究者认为相关活动是为了之后的网络攻击进行侦查跟踪。另外有少量证据表明,针对乌克兰电力系统等工业领域的网络攻击中涉及到了BlackEnergy恶意软件。如果此次攻击的确使用了BlackEnergy恶意软件的话,那有可能幕后会关联到沙虫组织。

Synonyms

"synonyms" in the meta part typically refer to alternate names or labels that are associated with a particular 沙虫 - APT-C-13.

Known Synonyms
SandWorm
Internal MISP references

UUID 0fdab65b-3e2b-5fd8-be36-cc18c7bcc1d7 which can be used as unique global reference for 沙虫 - APT-C-13 in MISP communities and other software using the MISP galaxy

External references
Associated metadata
Metadata key Value
country russia
suspected-victims ['欧美国家', '乌克兰', '北约']
target-category ['政府', '教育', '能源机构', '电信运营商']
Related clusters

To see the related clusters, click here.

肚脑虫 - APT-C-35

APT-C-35(肚脑虫)组织,又称Donot,是一个针对克什米尔地区相关国家的政府机构等领域进行网络间谍活动,以窃取敏感信息为主的攻击组织。该组织于2017年3月由360追日团队首次曝光,随后有数个国内外安全团队持续追踪并披露该组织的最新攻击活动。攻击活动最早始于2016年4月,至今活跃,攻击方式主要采用鱼叉邮件进行攻击。

Synonyms

"synonyms" in the meta part typically refer to alternate names or labels that are associated with a particular 肚脑虫 - APT-C-35.

Known Synonyms
Donot
Internal MISP references

UUID 7592ce56-59df-5cbc-9251-6928ff23e6a5 which can be used as unique global reference for 肚脑虫 - APT-C-35 in MISP communities and other software using the MISP galaxy

External references
Associated metadata
Metadata key Value
country india
suspected-victims ['巴基斯坦等南亚国家']
target-category ['政府', '外交', '国防']

蔓灵花 - APT-C-08

蔓灵花组织利用鱼叉邮件以及系统漏洞等方式,主要攻击政府、电力和工业相关单位,以窃取敏感信息为主。国外样本最早出现在2013年11月,样本编译时间集中出现在2015年7月至2016年9月期间,2016年网络安全公司Forcepoint最早报告了这一组织,随后被多次发现,至今还非常活跃。

Internal MISP references

UUID 4d76da10-0bfe-51d4-b071-61593c8f1983 which can be used as unique global reference for 蔓灵花 - APT-C-08 in MISP communities and other software using the MISP galaxy

External references
Associated metadata
Metadata key Value
country india
suspected-victims ['中国', '巴基斯坦']
target-category ['工业', '电力', '政府']

索伦之眼 - APT-C-16

索伦之眼组织(APT-C-16),又称Sauron、Strider。该组织主要针对中国、俄罗斯等多个国家进行网络间谍活动,其中以窃取敏感信息为主。相关攻击活动最早可以追溯到2010年,至今还非常活跃。该组织整个攻击过程中是高度隐蔽,且针对性极强,对特定目标采用定制的恶意程序或通信设施,不会重复使用相关攻击资源。相关恶意代码复杂度可以与方程式(Equation)媲美,其综合能力不弱于震网(Stuxnet)、火焰(Flame)等APT组织。

Synonyms

"synonyms" in the meta part typically refer to alternate names or labels that are associated with a particular 索伦之眼 - APT-C-16.

Known Synonyms
Sauron
Strider
Internal MISP references

UUID 24ce266c-1860-5e04-a107-48d1d39f8ebf which can be used as unique global reference for 索伦之眼 - APT-C-16 in MISP communities and other software using the MISP galaxy

External references
Associated metadata
Metadata key Value
country america
suspected-victims ['中国', '俄罗斯', '比利时', '伊朗']
target-category ['教育', '信息和通信', '外交', '科学研究与技术服务']
Related clusters

To see the related clusters, click here.

潜行者 - APT-C-30

潜行者组织主要搜集东南亚国家政府机构、国防部门、情报机构等机构敏感信息,其中针对我国就进行了超十年左右的网络攻击。主要针对政府、通信等领域重点单位,攻击最早可以关联追溯到2009年,最早的样本编译时间为2008年,攻击活动一直持续至今。

Internal MISP references

UUID 4a2a754b-e59b-5f31-b9ca-1d0f920185b2 which can be used as unique global reference for 潜行者 - APT-C-30 in MISP communities and other software using the MISP galaxy

External references
Associated metadata
Metadata key Value
country southeast
suspected-victims ['中国及东南亚']
target-category ['政府', '外交', '通讯', '智库']

响尾蛇 - APT-C-24

APT-C-24又名Sidewinder、Rattlesnake等,是具有印度背景的APT组织。该组织通常以巴基斯坦、中国、尼泊尔等在内的南亚及周边地区的国家为目标,主要攻击该国家/地区的政府、军事、外交等领域,最常见的感染媒介之一就是使用带有漏洞的恶意文档。2020年初,该组织还使用与COVID-19相关的诱饵文件对孟加拉国、中国和巴基斯坦发起了网络攻击,通过近年来对该组织的追踪发现,Sidewinder越来越倾向于利用诸如COVID-19之类的趋势话题或各种政治问题作为一种社会工程技术来攻击其目标,因此需要更加地警惕小心。

Synonyms

"synonyms" in the meta part typically refer to alternate names or labels that are associated with a particular 响尾蛇 - APT-C-24.

Known Synonyms
SideWinder
Internal MISP references

UUID 3dada716-34c3-506e-aa3a-1889bd975b4b which can be used as unique global reference for 响尾蛇 - APT-C-24 in MISP communities and other software using the MISP galaxy

External references
Associated metadata
Metadata key Value
country india
suspected-victims ['巴基斯坦', '斯里兰卡', '孟加拉国']
target-category ['政府', '军事', '教育', '信息通信']
Related clusters

To see the related clusters, click here.

ScarCruft - APT-C-28

APT-C-28组织,又名ScarCruft、APT37 (Reaper)、Group123,是一个来自于东北亚地区的境外APT组织,其相关攻击活动最早可追溯到2012年,且至今依然保持活跃状态。APT-C-28组织主要针对韩国等亚洲国家进行网络间谍活动,其中以窃取战略军事、政治、经济利益相关的情报和敏感数据为主。APT-C-28组织最早由卡巴斯基公司于2016年6月曝光,随后各个安全厂商对其进行了持续追踪并不断曝光该组织的最新攻击活动。

Synonyms

"synonyms" in the meta part typically refer to alternate names or labels that are associated with a particular ScarCruft - APT-C-28.

Known Synonyms
APT37(Reaper)
Group123
Internal MISP references

UUID 96c3508e-f5f9-52b4-9d1e-b246d68f643d which can be used as unique global reference for ScarCruft - APT-C-28 in MISP communities and other software using the MISP galaxy

External references
Associated metadata
Metadata key Value
country korea
suspected-victims ['俄罗斯', '中国等周边国家']
target-category ['政府', '教育', '金融', '国防军工', '信息技术', '医疗', '社会组织']
Related clusters

To see the related clusters, click here.

Turla - APT-C-29

Turla Group又名Waterbug、Venomous Bear、Group 88等,是具有俄罗斯背景的APT组织,至少从1996年就开始活跃,2015年以后攻击活动更加频繁。Turla组织的攻击目标遍及全球多个国家,攻击对象涉及政府、外交、军事、教育、研究和医疗等多个领域,因开展水坑攻击和鱼叉式网络钓鱼攻击以及利用定制化的恶意软件而闻名。

Synonyms

"synonyms" in the meta part typically refer to alternate names or labels that are associated with a particular Turla - APT-C-29.

Known Synonyms
Turla, Waterbug, Venomous Bear, Group 88
Internal MISP references

UUID 1972273e-2152-558c-b575-222c6d2f3e10 which can be used as unique global reference for Turla - APT-C-29 in MISP communities and other software using the MISP galaxy

External references
Associated metadata
Metadata key Value
country russia
suspected-victims ['中国', '俄罗斯', '驻欧美国家外交机关']
target-category ['外交', '政府', '军事', '教育', '医疗']

Carbanak - APT-C-11

Carbanak(即Anunak)攻击组织,是一个跨国网络犯罪团伙。2013年起,该犯罪团伙总计向全球约30个国家和地区的100家银行、电子支付系统和其他金融机构发动了攻击,目前相关攻击活动还很活跃。

Synonyms

"synonyms" in the meta part typically refer to alternate names or labels that are associated with a particular Carbanak - APT-C-11.

Known Synonyms
Anunak
Internal MISP references

UUID a4aba29f-fb91-50d9-bdf9-2b184922a200 which can be used as unique global reference for Carbanak - APT-C-11 in MISP communities and other software using the MISP galaxy

External references
Associated metadata
Metadata key Value
country Ukraine
suspected-victims ['全球']
target-category ['外贸', '金融', '能源']
Related clusters

To see the related clusters, click here.

飞鲨 - APT-C-17

APT-C-17是360发现的一起APT攻击,我们将此次攻击行动命名为“飞鲨”行动。相关攻击行动最早可以追溯到2013年1月,持续活跃到2014年3月,主要针对中国航空航天领域,目的是窃取目标用户敏感数据信息,近期暂无监控到相关攻击事件。

Internal MISP references

UUID c47e631c-a3d7-509b-a87f-a7e87f8fab6c which can be used as unique global reference for 飞鲨 - APT-C-17 in MISP communities and other software using the MISP galaxy

External references
Associated metadata
Metadata key Value
country india
suspected-victims ['中国']
target-category ['航空航天']

方程式 - APT-C-40

APT-C-40(方程式)是史上最强APT组织。该团伙已活跃近20年,并且在攻击复杂性和攻击技巧方面超越了历史上所有的网络攻击组织,并被认为是著名的震网(Stuxnet)和火焰(Flame)病毒幕后的操纵者。

Internal MISP references

UUID 54034021-1998-5ddf-93e7-f1f56d172f99 which can be used as unique global reference for 方程式 - APT-C-40 in MISP communities and other software using the MISP galaxy

External references
Associated metadata
Metadata key Value
country america
suspected-victims ['中国', '俄罗斯', '伊朗', '巴基斯坦']
target-category ['航空航天', '信息和通信产业', '科学研究与技术服务', '政府机构']

透明部落 - APT-C-56

Operation_C-Major又名Transparent Tribe、APT36、Mythic Leopard等,是具有巴基斯坦背景的APT组织,攻击活动影响范围较广,但主要攻击目标为印度国家的政府、军方等组织,此外为保障国家利益,巴基斯坦境内的民间团体或政治家也是其主要攻击对象。该组织于2013年被首次发现,近年来一直处于活跃状态。2020年初,利用有关印巴两国边境争端的诱饵文档,向印度政府组织、国防人员发起了鱼叉式网络攻击,也就是‘Honey Trap’行动,以此来窃取国家机密及敏感数据。

Synonyms

"synonyms" in the meta part typically refer to alternate names or labels that are associated with a particular 透明部落 - APT-C-56.

Known Synonyms
APT36
C-Major
ProjectM
Internal MISP references

UUID 084517bc-b8e7-5c86-a218-3f19e1379f3e which can be used as unique global reference for 透明部落 - APT-C-56 in MISP communities and other software using the MISP galaxy

Associated metadata
Metadata key Value
country southeast
suspected-victims ['印度', '欧洲']
target-category ['政府', '军事', '教育']
Related clusters

To see the related clusters, click here.

腾云蛇 - APT-C-61

APT-C-61又名腾云蛇,最早活跃可追溯到2020年1月,至今还很活跃,主要攻击目标为巴基斯坦、孟加拉等国家的国家机构、军工、科研、国防等重要领域,攻击时通过鱼叉邮件配合社会工程学手段进行渗透,向目标设备传播恶意程序,暗中控制目标设备,持续窃取设备上的敏感文件。因其使用的C2、载荷下发、窃取的数据存储等均依赖于云服务,且使用的木马为python语言编写而得名。

Internal MISP references

UUID 724da0c4-ca9e-54be-a15c-8204472d8c99 which can be used as unique global reference for 腾云蛇 - APT-C-61 in MISP communities and other software using the MISP galaxy

Associated metadata
Metadata key Value
country southeast
suspected-victims ['巴基斯坦', '孟加拉']
target-category ['政府', '军事', '科研', '国防']

Kimsuky - APT-C-55

Kimsuky 是位于朝鲜的APT组织,又名(Mystery Baby, Baby Coin, Smoke Screen, BabyShark, Cobra Venom)等,最早由Kaspersky在2013年披露,该组织长期针对于韩国的智囊团、政府外交、新闻组织、教育学术组织等进行攻击,在过去几年里,他们将攻击目标扩大到包括美国、俄罗斯和欧洲各国在内的国家。主要目的为窃取情报、间谍活动等。该组织十分活跃,常用的攻击载荷为带有漏洞的hwp文件、恶意宏文件、释放载荷的PE文件等。

Internal MISP references

UUID 84e18657-3995-5837-88f1-f823520382a8 which can be used as unique global reference for Kimsuky - APT-C-55 in MISP communities and other software using the MISP galaxy

Associated metadata
Metadata key Value
country korea
suspected-victims ['韩国', '美国', '朝鲜', '俄罗斯', '中国', '日本']
target-category ['政府', '教育', '外交', '媒体', '金融', '国防军工']

卢甘斯克组织 - APT-C-46

2019年初,国外安全厂商披露了一起疑似卢甘斯克背景的APT组织针对乌克兰政府的定向攻击活动,根据相关报告分析该组织的攻击活动至少可以追溯到2014年,曾大量通过网络钓鱼、水坑攻击等方式针对乌克兰政府机构进行攻击,在其过去的攻击活动中曾使用过开源Quasar RAT和VERMIN等恶意软件,捕获目标的音频和视频,窃取密码,获取机密文件等等。

Synonyms

"synonyms" in the meta part typically refer to alternate names or labels that are associated with a particular 卢甘斯克组织 - APT-C-46.

Known Synonyms
APT-C-46
Internal MISP references

UUID a97037e7-7c3b-5cc2-ab4c-bd0432bc247a which can be used as unique global reference for 卢甘斯克组织 - APT-C-46 in MISP communities and other software using the MISP galaxy

External references
Associated metadata
Metadata key Value
country Ukraine
suspected-victims ['乌克兰']
target-category ['政府']

旺刺组织 - APT-C-47

近期,360安全大脑检测到多起ClickOnce恶意程序的攻击活动,通过360高级威胁研究院的深入研判分析,发现这是一起来自半岛地区未被披露APT组织的攻击行动,攻击目标涉及与半岛地区有关联的实体机构和个人,根据360安全大脑的数据分析显示,该组织的攻击活动最早可以追溯到2018年。目前还没有任何安全厂商公开披露该组织的攻击活动,也没有安全厂商公开披露利用该技术的真实APT攻击事件。由于此次攻击活动属于360全球首次捕获披露,我们根据该组织擅长攻击技术的谐音,将其命名为“旺刺”组织,并为其分配了新编号APT-C-47。

Synonyms

"synonyms" in the meta part typically refer to alternate names or labels that are associated with a particular 旺刺组织 - APT-C-47.

Known Synonyms
APT-C-47
Internal MISP references

UUID 0660d5e2-f8cf-5d5e-95c8-e5af7115979e which can be used as unique global reference for 旺刺组织 - APT-C-47 in MISP communities and other software using the MISP galaxy

External references
Associated metadata
Metadata key Value
country southKorea
suspected-victims ['中国']

DomesticKitten - APT-C-50

Domestic Kitten(Check Point),别名APT-C-50。最早被国外安全厂商披露,自2016年以来一直在进行广泛而有针对性的攻击,攻击目标包括中东某国内部持不同政见者和反对派力量,以及ISIS的拥护者和主要定居在中东某国西部的库尔德少数民族。值得注意的是,所有攻击目标都是中东某国公民。伊斯兰革命卫队(IRGC)、情报部、内政部等中东某国政府机构可能为该组织提供支持。

Synonyms

"synonyms" in the meta part typically refer to alternate names or labels that are associated with a particular DomesticKitten - APT-C-50.

Known Synonyms
APT-C-50
Internal MISP references

UUID a6636926-ffe4-5974-9be0-34ab5dcbd59f which can be used as unique global reference for DomesticKitten - APT-C-50 in MISP communities and other software using the MISP galaxy

External references
Associated metadata
Metadata key Value
country Iran
suspected-victims ['伊朗', '阿富汗', '伊拉克', '英国']
target-category ['国防军工', '社会组织']

SandCat - APT-C-32

SandCat由卡巴斯基在2018年首次发现,该组织一直在使用FinFisher/ FinSpy间谍软件和CHAINSHOT攻击框架,并有使用0 Day漏洞的能力,曾经使用过CVE-2018-8589和CVE-2018-8611。主要攻击中东、非洲和东欧等地区的目标。

Internal MISP references

UUID bf77827a-e0f1-504f-815c-4bccfe72b644 which can be used as unique global reference for SandCat - APT-C-32 in MISP communities and other software using the MISP galaxy

Associated metadata
Metadata key Value
country Israel
suspected-victims ['中国', '乌兹别克斯坦', '沙特阿拉伯']
target-category ['社会组织']

CNC - APT-C-48

该组织于2019年发现,因为样本的pdb路径中有cnc_client字符,所以暂时叫做CNC组织。该组织定向攻击我国教育、航天、军工和医疗等行业,窃取情报。在攻击过程中会尝试使用Nday,并且有能够开发GO语言木马的开发人员。

Internal MISP references

UUID 34d75138-389f-5555-85e9-f3ca5a9cce8f which can be used as unique global reference for CNC - APT-C-48 in MISP communities and other software using the MISP galaxy

Associated metadata
Metadata key Value
country india
suspected-victims ['中国']
target-category ['教育', '军事', '航天', '医疗']

蓝色魔眼 - APT-C-41

APT-C-41,是一个具有土耳其背景的APT小组,该APT组织最早的攻击活动可以追溯到2012年。该组织主要针对意大利、土耳其、比利时、叙利亚、欧洲等地区和国家进行攻击活动。2020年,360发现了该组织针对我国相关单位的攻击,并将其命名为APT-C-41。

Internal MISP references

UUID 75122408-5db4-5ac2-a156-88a8f149e738 which can be used as unique global reference for 蓝色魔眼 - APT-C-41 in MISP communities and other software using the MISP galaxy

External references
Associated metadata
Metadata key Value
country trq
suspected-victims ['欧洲', '意大利', '土耳其', '比利时', '叙利亚', '中国']
target-category ['教育', '金融', '政府', '制造']

Machete - APT-C-43

El Machete由卡巴斯基首次发现,最早的攻击可以追溯至2014年,主要针对拉丁美洲。360白泽实验室发现了一款Python语言编写的新型后门病毒Pyark,通过对该后门的深入挖掘和溯源分析,我们发现了一系列从2019年起便一直活跃的高级威胁行动,攻击者通过入侵委内瑞拉的多处军事机构,部署后门病毒,不间断的监控和窃取最新的军事机密。

Synonyms

"synonyms" in the meta part typically refer to alternate names or labels that are associated with a particular Machete - APT-C-43.

Known Synonyms
Machete
Internal MISP references

UUID d0b9840d-efe2-5200-89d1-2f1a37737e30 which can be used as unique global reference for Machete - APT-C-43 in MISP communities and other software using the MISP galaxy

External references
Associated metadata
Metadata key Value
country namerica
suspected-victims ['东南亚', '南美', '欧洲']
target-category ['教育', '通信运营商', '外交', '政府', '国防军工', '金融']
Related clusters

To see the related clusters, click here.

Gamaredon - APT-C-53

Gamaredon又名Primitive Bear、Winterflounder、BlueAlpha,至少从2013年就开始活跃,是由俄罗斯政府赞助的APT组织。Gamaredon组织主要针对乌克兰的政府、国防、外交、新闻媒体等发起网络间谍活动。近年来,该组成员也不断升级其技战术,开发定制化的恶意软件,这也加大了安全人员对其进行捕获与追踪的难度。

Internal MISP references

UUID ca52d879-f02b-531e-89ff-817ffc23ce35 which can be used as unique global reference for Gamaredon - APT-C-53 in MISP communities and other software using the MISP galaxy

Associated metadata
Metadata key Value
country russia
suspected-victims ['乌克兰等东欧国家']
target-category ['政府', '国防', '外交', '新闻媒体']

北非狐 - APT-C-44

北非狐组织(APT-C-44),是一个来自阿尔及利亚的境外APT组织,该组织已持续活跃了3年。北非狐组织主要针对中东地区进行网络间谍活动,以窃取敏感信息为主。相关攻击活动最早可以追溯到2017年11月,至今仍活跃着。

Internal MISP references

UUID 367bfb72-da65-5886-a333-389299470722 which can be used as unique global reference for 北非狐 - APT-C-44 in MISP communities and other software using the MISP galaxy

External references
Associated metadata
Metadata key Value
country algeria
suspected-victims ['阿尔及利亚', '约旦']
target-category ['国防军工']

WellMess - APT-C-42

WELLMESS组织是一个较新的俄语系境外APT组织,最早发现于2017年并持续至今。该组织主要针对亚洲地区进行间谍攻击,并且曾进行过超两年的供应链攻击,同时拥有漏洞利用能力。该组织的目标主要是政府、IT、科研等单位,以窃取文件为主。

Internal MISP references

UUID 6560f0cf-bbbd-5bb7-8dad-b4c8ea23704f which can be used as unique global reference for WellMess - APT-C-42 in MISP communities and other software using the MISP galaxy

External references
Associated metadata
Metadata key Value
country russia
suspected-victims ['美国', '中国', '加拿大', '日本']
target-category ['政府', '科研']