{ "authors": [ "360.net" ], "category": "actor", "description": "Known or estimated adversary groups as identified by 360.net.", "name": "360.net Threat Actors", "source": "https://apt.360.net/aptlist", "type": "360net-threat-actor", "uuid": "20de4abf-f000-48ec-a929-3cdc5c2f3c23", "values": [ { "description": "APT-C-39是一个来自美国,与NSA存在联系,系属于CIA的高规格,高水平的APT组织。对中国关键领域进行了长达十一年的网络渗透攻击。中国航空航天、科研机构、石油行业、大型互联网公司以及政府机构等多个单位均遭到不同程度的攻击", "meta": { "country": "america", "refs": [ "https://apt.360.net/report/apts/96.html", "https://apt.360.net/report/apts/12.html" ], "suspected-victims": [ "中国" ], "synonyms": [], "target-category": [ "媒体通讯", "工业科研", "政府", "教育" ] }, "uuid": "988e1441-0350-5c39-979d-b0ca99c8d20b", "value": "CIA - APT-C-39" }, { "description": "海莲花(OceanLotus)APT团伙是一个高度组织化的、专业化的境外国家级黑客组织,其最早由360发现并披露。该组织至少自2012年4月起便针对中国政府、科研院所、海事机构、海域建设、航运企业等相关重要领域展开了有组织、有计划、有针对性的长时间不间断攻击。", "meta": { "country": "vietnam", "refs": [ "https://apt.360.net/report/apts/93.html", "https://apt.360.net/report/apts/1.html", "https://apt.360.net/report/apts/94.html" ], "suspected-victims": [ "中国", "印度", "孟加拉国", "澳大利亚", "马来西亚" ], "synonyms": [ "OceanLotus" ], "target-category": [ "政府", "科研", "教育", "信息技术", "外交", "医疗", "制造", "金融", "国防军工" ] }, "related": [ { "dest-uuid": "aa29ae56-e54b-47a2-ad16-d3ab0242d5d7", "tags": [ "estimative-language:likelihood-probability=\"likely\"" ], "type": "similar" }, { "dest-uuid": "247cb30b-955f-42eb-97a5-a89fef69341e", "tags": [ "estimative-language:likelihood-probability=\"likely\"" ], "type": "similar" }, { "dest-uuid": "37808cab-cbb3-560b-bebd-375fa328ea1e", "tags": [ "estimative-language:likelihood-probability=\"likely\"" ], "type": "similar" } ], "uuid": "ad1a6df6-2251-5e47-a245-8693c1ace8fb", "value": "海莲花 - APT-C-00" }, { "description": "摩诃草组织(APT-C-09),又称HangOver、VICEROY TIGER、The Dropping Elephant、Patchwork,是一个来自南亚地区的境外APT组织,该组织已持续活跃了12年。摩诃草组织最早由Norman安全公司于2013年曝光,随后又有其他安全厂商持续追踪并披露该组织的最新活动,但该组织并未由于相关攻击行动曝光而停止对相关目标的攻击,相反从2015年开始更加活跃。摩诃草组织主要针对中国、巴基斯坦等亚洲地区国家进行网络间谍活动,其中以窃取敏感信息为主。相关攻击活动最早可以追溯到2009年11月,至今还非常活跃。在针对中国地区的攻击中,该组织主要针对政府机构、科研教育领域进行攻击,其中以科研教育领域为主。", "meta": { "country": "india", "refs": [ "https://apt.360.net/report/apts/110.html", "https://apt.360.net/report/apts/6.html" ], "suspected-victims": [ "中国及中国驻外大使馆", "孟加拉国", "巴基斯坦" ], "synonyms": [ "HangOver", "VICEROY TIGER", "The Dropping Elephant", "Patchwork" ], "target-category": [ "外交军事", "信息和通信", "科研机构", "政府等重要机构" ] }, "related": [ { "dest-uuid": "e2b87f81-a6a1-4524-b03f-193c3191d239", "tags": [ "estimative-language:likelihood-probability=\"likely\"" ], "type": "similar" }, { "dest-uuid": "18d473a5-831b-47a5-97a1-a32156299825", "tags": [ "estimative-language:likelihood-probability=\"likely\"" ], "type": "similar" }, { "dest-uuid": "17862c7d-9e60-48a0-b48e-da4dc4c3f6b0", "tags": [ "estimative-language:likelihood-probability=\"likely\"" ], "type": "similar" } ], "uuid": "231a81cd-4e24-590b-b084-1a4715b30d67", "value": "摩诃草 - APT-C-09" }, { "description": "从2014年11月起至今,黄金鼠组织(APT-C-27)对叙利亚地区展开了有组织、有计划、有针对性的长时间不间断攻击。攻击平台从开始的Windows平台逐渐扩展至Android平台,截至目前我们一共捕获了Android平台攻击样本29个,Windows平台攻击样本55个,涉及的C&C域名9个。将APT-C-27组织命名为黄金鼠,主要是考虑了以下几方面的因素:一是该组织在攻击过程中使用了大量的资源,说明该攻击组织资源丰富,而黄金鼠有长期在野外囤积粮食的习惯,字面上也有丰富的含义;二、该攻击组织通常是间隔一段时间出来攻击一次,这跟鼠有相通的地方;三是黄金仓鼠是叙利亚地区一种比较有代表性的动物。", "meta": { "country": "mideast", "refs": [ "https://apt.360.net/report/apts/100.html", "https://apt.360.net/report/apts/98.html", "https://apt.360.net/report/apts/26.html" ], "suspected-victims": [ "叙利亚", "约旦", "土耳其" ], "synonyms": [] }, "uuid": "b3b6f113-fe2c-5d75-ba41-b333ce726f4a", "value": "黄金鼠 - APT-C-27" }, { "description": "Lazarus组织是疑似来自朝鲜的APT组织,该组织长期对韩国、美国进行渗透攻击,此外还对全球的金融机构进行攻击,堪称全球金融机构的最大威胁。该组织最早的攻击活动可以追溯到2007年。据国外安全公司的调查显示,Lazarus组织与2014 年索尼影业遭黑客攻击事件,2016 年孟加拉国银行数据泄露事件,2017年美国国防承包商、美国能源部门及英国、韩国等比特币交易所被攻击等事件有关。而2017年席卷全球的最臭名昭著的安全事件“Wannacry”勒索病毒也被怀疑是该组织所为。", "meta": { "country": "korea", "refs": [ "https://apt.360.net/report/apts/9.html", "https://apt.360.net/report/apts/101.html", "https://apt.360.net/report/apts/90.html" ], "suspected-victims": [ "中国", "韩国", "美国", "印度等国家" ], "synonyms": [ "APT38" ], "target-category": [ "教育", "通信运营商", "制造", "外交", "信息技术", "医疗", "国防军工", "金融", "建筑", "能源" ] }, "related": [ { "dest-uuid": "68391641-859f-4a9a-9a1e-3e5cf71ec376", "tags": [ "estimative-language:likelihood-probability=\"likely\"" ], "type": "similar" }, { "dest-uuid": "00f67a77-86a4-4adf-be26-1a54fc713340", "tags": [ "estimative-language:likelihood-probability=\"likely\"" ], "type": "similar" } ], "uuid": "e6f4af06-fbb5-5471-82ae-b0bdb4d446ce", "value": "Lazarus - APT-C-26" }, { "description": "黄金雕组织的活动主要影响中亚地区,大部分集中在哈萨克斯坦国境内,攻击目标涉及教育行业、政府机关人员、科研人员、媒体工作人员、部分商务工业、军方人员、宗教人员、政府异见人士和外交人员等。该组织使用社会工程学、物理接触、无线电监听等方式进行网络攻击,同时也采购了HackingTeam、NSO Group等网络军火商的武器,具备0day漏洞的高级入侵能力。360参照中亚地区擅长驯养猎鹰进行狩猎的习俗特性,将该组织命名为黄金雕(APT-C-34)。", "meta": { "country": "kaz", "refs": [ "https://apt.360.net/report/apts/11.html" ], "suspected-victims": [ "俄罗斯", "中国", "哈萨克斯坦" ], "synonyms": [], "target-category": [ "教育", "外交", "医疗", "科研", "政府", "国防军工" ] }, "uuid": "03e70e52-ec27-5961-bb53-d4c8c737addc", "value": "黄金雕 - APT-C-34" }, { "description": "从2018年4月起至今,一个疑似来自南美洲的APT组织盲眼鹰(APT-C-36)针对哥伦比亚政府机构和大型公司(金融、石油、制造等行业)等重要领域展开了有组织、有计划、针对性的长期不间断攻击。其攻击平台主要为Windows,攻击目标锁定为哥伦比亚政企机构。由于该组织攻击的目标中有一个特色目标是哥伦比亚盲人研究所,而哥伦比亚在足球领域又被称为南美雄鹰,结合该组织的一些其它特点以及360威胁情报中心对 APT 组织的命名规则,我们将该组织命名为盲眼鹰(APT-C-36)。", "meta": { "country": "namerica", "refs": [ "https://apt.360.net/report/apts/83.html" ], "suspected-victims": [ "厄瓜多尔", "西班牙", "哥伦比亚", "巴拿马" ], "synonyms": [], "target-category": [ "通信运营商", "医疗", "制造", "金融" ] }, "uuid": "c111ae65-f889-56b0-b266-f54342977da5", "value": "盲眼鹰 - APT-C-36" }, { "description": "2018年11月25日,360高级威胁应对团队就在全球范围内第一时间发现了一起针对俄罗斯的APT攻击行动,攻击目标则指向俄罗斯总统办公室所属的医疗机构,此次攻击行动使用了Flash 0day漏洞CVE-2018-15982和Hacking Team的RCS后门程序,结合被攻击目标医疗机构的职能特色,360将此次APT攻击命名为“毒针”行动。", "meta": { "country": "kaz", "refs": [ "https://apt.360.net/report/apts/10.html" ], "suspected-victims": [ "俄罗斯" ], "synonyms": [], "target-category": [ "政府", "医疗" ] }, "uuid": "5ae4eb64-5431-5b5c-987b-891e7ab5858c", "value": "毒针 - APT-C-31" }, { "description": "2016年7月,360发现一起针对伊朗Android手机用户长达两年之久的APT攻击活动。攻击者借助社交软件Telegram分享经过伪装的ArmaRat木马,入侵成功后攻击者可以完全控制用户手机,并对用户手机进行实时监控。由于该木马演变过程中C&C及代码结构均出现“arma”关键字,所以我们将该组织命名为“ArmaRat”。", "meta": { "country": "mideast", "refs": [ "https://apt.360.net/report/apts/48.html" ], "suspected-victims": [ "伊朗" ], "synonyms": [] }, "uuid": "e66dfa3d-3295-503c-bdea-64d88e2b310d", "value": "ArmaRat - APT-C-33" }, { "description": "从2015年7月起至今,军刀狮组织(APT-C-38)在中东地区展开了有组织、有计划、针对性的不间断攻击,其攻击平台为Windows和Android。由于军刀狮组织的攻击目标有一个主要的特色目标是西亚中东某国的库尔德人,另Windows端RAT包含的PDB路径下出现多次的“Saber”,而亚洲狮为该中东国家的代表动物,结合该组织的一些其它特点以及360对 APT 组织的命名规则,我们将该组织命名为军刀狮(APT-C-38)。", "meta": { "country": "mideast", "refs": [ "https://apt.360.net/report/apts/30.html" ], "suspected-victims": [ "中东地区" ], "synonyms": [] }, "uuid": "671197ae-ba70-5a81-90a5-1ba5e2ad6f76", "value": "军刀狮 - APT-C-38" }, { "description": "拍拍熊组织(APT-C-37)针对极端组织“伊斯兰国”展开了有组织、有计划、针对性的长期不间断攻击,其攻击平台为Windows和Android。", "meta": { "country": "mideast", "refs": [ "https://apt.360.net/report/apts/28.html", "https://apt.360.net/report/apts/103.html" ], "suspected-victims": [ "巴勒斯坦", "叙利亚", "以色列" ], "synonyms": [], "target-category": [ "政府" ] }, "uuid": "74f08d5a-e94d-53cb-bdd7-31d2f8c8db2b", "value": "拍拍熊 - APT-C-37" }, { "description": "人面狮行动是活跃在中东地区的网络间谍活动,主要目标可能涉及到埃及和以色列等国家的不同组织,目的是窃取目标敏感数据信息。活跃时间主要集中在2014年6月到2015年11月期间,相关攻击活动最早可以追溯到2011年12月。主要利用社交网络进行水坑攻击,截止到目前总共捕获到恶意代码样本314个,C&C域名7个。", "meta": { "country": "mideast", "refs": [ "https://apt.360.net/report/apts/8.html" ], "suspected-victims": [ "埃及", "以色列" ], "synonyms": [], "target-category": [ "国防军工" ] }, "uuid": "55177506-57bf-503e-8a24-9ed06bd28f16", "value": "人面狮 - APT-C-15" }, { "description": "美人鱼组织(APT-C-07),来自于中东的境外APT组织,已持续活跃了9年。 主要针对政府机构进行网络间谍活动,以窃取敏感信息为目的,已经证实有针对丹麦外交部的攻击。", "meta": { "country": "mideast", "refs": [ "https://apt.360.net/report/apts/4.html" ], "suspected-victims": [ "丹麦", "印度", "澳大利亚", "罗马尼亚", "美国" ], "synonyms": [], "target-category": [ "政府", "外交", "制造" ] }, "uuid": "51954972-101b-5213-971c-b335ceb810ea", "value": "美人鱼 - APT-C-07" }, { "description": "2016年5月起至今,双尾蝎组织(APT-C-23)对巴勒斯坦教育机构、军事机构等重要领域展开了有组织、有计划、有针对性的长时间不间断攻击。攻击平台包括Windows与Android,攻击范围主要为中东地区,截至目前我们一共捕获了Android样本24个,Windows样本19个,涉及的C&C域名29个。将APT-C-23组织命名为双尾蝎,主要是考虑了以下几方面的因素:一是该组织同时攻击了巴勒斯坦和以色列这两个存在一定敌对关系的国家,这种情况在以往并不多见;二是该组织同时在Windows和Android两种平台上发动攻击。虽然以往我们截获的APT组织中也有一些进行多平台攻击的例子,如海莲花,但绝大多数APT组织攻击的重心仍然是Windows平台。而同时注重两种平台,并且在Android平台上攻击如此活跃的APT组织,在以往并不多见。第三个原因就是蝎子在巴以地区是一种比较有代表性的动物。", "meta": { "country": "mideast", "refs": [ "https://apt.360.net/report/apts/27.html" ], "suspected-victims": [ "巴勒斯坦", "中国等驻外大使馆", "约旦", "利比亚", "加拿大" ], "synonyms": [], "target-category": [ "政府", "军事", "教育", "信息技术", "通信运营商" ] }, "uuid": "ce0bcfbd-9924-5c82-9ad3-845db745e7f7", "value": "双尾蝎 - APT-C-23" }, { "description": "从2011年开始持续至今,高级攻击组织蓝宝菇(APT-C-12)对我国政府、军工、科研、金融等重点单位和部门进行了持续的网络间谍活动。该组织主要关注核工业和科研等相关信息。被攻击目标主要集中在中国大陆境内。", "meta": { "country": "taiwan", "refs": [ "https://apt.360.net/report/apts/7.html" ], "suspected-victims": [ "中国" ], "synonyms": [ "核危机行动(Operation NuclearCrisis)" ], "target-category": [ "政府", "国防军工", "科研", "金融" ] }, "uuid": "7094494b-a91b-532f-9968-082fa683bfc4", "value": "蓝宝菇 - APT-C-12" }, { "description": "APT-C-01又名毒云藤,是一个长期针对中国境内的APT组织,至少从2007年开始活跃。曾对中国国防、政府、科技、教育以及海事机构等重点单位和部门进行了长达11年的网络间谍活动,主要关注军工、中美关系、两岸关系和海洋相关的领域,旨在窃取重大决策及敏感信息。APT-C-01由360威胁情报中心首次披露,结合该组织关联地区常见的蔓藤植物,因此将其命名为“毒云藤”。", "meta": { "country": "taiwan", "refs": [ "https://apt.360.net/report/apts/2.html" ], "suspected-victims": [ "中国" ], "synonyms": [ "穷奇", "白海豚", "绿斑" ], "target-category": [ "政府", "科研", "教育", "国防军工" ] }, "uuid": "98df38d1-f83c-5c28-ad11-75aa6b493fe7", "value": "毒云藤 - APT-C-01" }, { "description": "Darkhotel(APT-C-06)是一个长期针对企业高管、国防工业、电子工业等重要机构实施网络间谍攻击活动的APT组织。2014年11月,卡巴斯基实验室的安全专家首次发现了Darkhotel APT组织,并声明该组织至少从2010年就已经开始活跃,目标基本锁定在韩国、中国、俄罗斯和日本。卡巴斯基将该组织命名为Darkhotel(暗黑客栈),是因为他们的一次攻击行动被曝光,主要是利用酒店的无线网络有针对性的瞄准生产制造、国防、投资资本、私人股权投资、汽车等行业的精英管理者。", "meta": { "country": "southKorea", "refs": [ "https://apt.360.net/report/apts/97.html", "https://apt.360.net/report/apts/3.html" ], "suspected-victims": [ "中国", "日本", "俄罗斯", "朝鲜半岛" ], "synonyms": [ "Luder", "Karba", "Tapaoux", "Dubnium", "SIG25" ], "target-category": [ "信息技术", "科研", "医疗", "能源", "国防军工", "制造", "金融", "服务业" ] }, "related": [ { "dest-uuid": "b8c8b96d-61e6-47b1-8e38-fd8ad5d9854d", "tags": [ "estimative-language:likelihood-probability=\"likely\"" ], "type": "similar" }, { "dest-uuid": "9e729a7e-0dd6-4097-95bf-db8d64911383", "tags": [ "estimative-language:likelihood-probability=\"likely\"" ], "type": "similar" }, { "dest-uuid": "b56af6ab-69f8-457a-bf50-c3aefa6dc14a", "tags": [ "estimative-language:likelihood-probability=\"likely\"" ], "type": "similar" }, { "dest-uuid": "0a4ddab3-a1a6-5372-b11f-5edc25c0e548", "tags": [ "estimative-language:likelihood-probability=\"likely\"" ], "type": "similar" } ], "uuid": "f52ab8b8-71f2-5a88-946f-853dc3441efe", "value": "Darkhotel - APT-C-06" }, { "description": "APT28(APT-C-20),又称Pawn Storm、Sofacy、Sednit、Fancy Bear和Strontium。APT28组织被怀疑幕后和俄罗斯政府有关,该组织相关攻击时间最早可以追溯到2004年。其主要目标包括国防工业、军队、政府组织和媒体。期间使用了大量0day漏洞,相关恶意代码除了针对windows、Linux等PC操作系统,还会针对苹果IOS等移动设备操作系统。早前也曾被怀疑与北大西洋公约组织网络攻击事件有关。APT28组织在2015年第一季度有大量的活动,用于攻击NATO成员国和欧洲、亚洲、中东政府。目前有许多安全厂商怀疑其与俄罗斯政府有关,而早前也曾被怀疑秘密调查MH17事件。从2016年开始该组织最新的目标瞄准了土耳其高级官员。", "meta": { "country": "russia", "refs": [ "https://apt.360.net/report/apts/120.html", "https://apt.360.net/report/apts/72.html" ], "suspected-victims": [ "美国", "欧洲", "乌克兰" ], "synonyms": [ "APT28", "Pawn Storm", "Sofacy Group", "Sednit", "Fancy Bear", "STRONTIUM" ], "target-category": [ "媒体", "国防工业", "政府", "军事等重要机构" ] }, "related": [ { "dest-uuid": "5b4ee3ea-eee3-4c8e-8323-85ae32658754", "tags": [ "estimative-language:likelihood-probability=\"likely\"" ], "type": "similar" }, { "dest-uuid": "bef4c620-0787-42a8-a96d-b7eb6e85917c", "tags": [ "estimative-language:likelihood-probability=\"likely\"" ], "type": "similar" }, { "dest-uuid": "213cdde9-c11a-4ea9-8ce0-c868e9826fec", "tags": [ "estimative-language:likelihood-probability=\"likely\"" ], "type": "similar" }, { "dest-uuid": "8d84d7b0-7716-5ab3-a3a4-f373dd148347", "tags": [ "estimative-language:likelihood-probability=\"likely\"" ], "type": "similar" } ], "uuid": "3d9f700c-5eb5-5d36-a6e7-47b55f2844cd", "value": "奇幻熊 - APT-C-20" }, { "description": "沙虫组织的主要目标领域有:政府、教育、能源机构和电信运营商。进一步主要针对欧美国家政府、北约,以及乌克兰政府展开间谍活动。该组织曾使用0day漏洞(CVE-2014-4114)针对乌克兰政府发起了一次钓鱼攻击。而在威尔士举行的讨论乌克兰危机的北约峰会针对美国也进行了攻击。该组织还使用了BlackEnergy恶意软件。而且沙虫组织不仅仅只进行常规的网络间谍活动,还针对SCADA系统进行了攻击,研究者认为相关活动是为了之后的网络攻击进行侦查跟踪。另外有少量证据表明,针对乌克兰电力系统等工业领域的网络攻击中涉及到了BlackEnergy恶意软件。如果此次攻击的确使用了BlackEnergy恶意软件的话,那有可能幕后会关联到沙虫组织。", "meta": { "country": "russia", "refs": [ "https://apt.360.net/report/apts/87.html", "https://apt.360.net/report/apts/69.html" ], "suspected-victims": [ "欧美国家", "乌克兰", "北约" ], "synonyms": [ "SandWorm" ], "target-category": [ "政府", "教育", "能源机构", "电信运营商" ] }, "related": [ { "dest-uuid": "f512de42-f76b-40d2-9923-59e7dbdfec35", "tags": [ "estimative-language:likelihood-probability=\"likely\"" ], "type": "similar" }, { "dest-uuid": "473eb51c-36cb-5e3a-8347-2f57df809be9", "tags": [ "estimative-language:likelihood-probability=\"likely\"" ], "type": "similar" } ], "uuid": "0fdab65b-3e2b-5fd8-be36-cc18c7bcc1d7", "value": "沙虫 - APT-C-13" }, { "description": "APT-C-35(肚脑虫)组织,又称Donot,是一个针对克什米尔地区相关国家的政府机构等领域进行网络间谍活动,以窃取敏感信息为主的攻击组织。该组织于2017年3月由360追日团队首次曝光,随后有数个国内外安全团队持续追踪并披露该组织的最新攻击活动。攻击活动最早始于2016年4月,至今活跃,攻击方式主要采用鱼叉邮件进行攻击。", "meta": { "country": "india", "refs": [ "https://apt.360.net/report/apts/102.html", "https://apt.360.net/report/apts/32.html" ], "suspected-victims": [ "巴基斯坦等南亚国家" ], "synonyms": [ "Donot" ], "target-category": [ "政府", "外交", "国防" ] }, "uuid": "7592ce56-59df-5cbc-9251-6928ff23e6a5", "value": "肚脑虫 - APT-C-35" }, { "description": "蔓灵花组织利用鱼叉邮件以及系统漏洞等方式,主要攻击政府、电力和工业相关单位,以窃取敏感信息为主。国外样本最早出现在2013年11月,样本编译时间集中出现在2015年7月至2016年9月期间,2016年网络安全公司Forcepoint最早报告了这一组织,随后被多次发现,至今还非常活跃。", "meta": { "country": "india", "refs": [ "https://apt.360.net/report/apts/5.html" ], "suspected-victims": [ "中国", "巴基斯坦" ], "synonyms": [], "target-category": [ "工业", "电力", "政府" ] }, "uuid": "4d76da10-0bfe-51d4-b071-61593c8f1983", "value": "蔓灵花 - APT-C-08" }, { "description": "索伦之眼组织(APT-C-16),又称Sauron、Strider。该组织主要针对中国、俄罗斯等多个国家进行网络间谍活动,其中以窃取敏感信息为主。相关攻击活动最早可以追溯到2010年,至今还非常活跃。该组织整个攻击过程中是高度隐蔽,且针对性极强,对特定目标采用定制的恶意程序或通信设施,不会重复使用相关攻击资源。相关恶意代码复杂度可以与方程式(Equation)媲美,其综合能力不弱于震网(Stuxnet)、火焰(Flame)等APT组织。", "meta": { "country": "america", "refs": [ "https://apt.360.net/report/apts/70.html" ], "suspected-victims": [ "中国", "俄罗斯", "比利时", "伊朗" ], "synonyms": [ "Sauron", "Strider" ], "target-category": [ "教育", "信息和通信", "外交", "科学研究与技术服务" ] }, "related": [ { "dest-uuid": "f3179cfb-9c86-4980-bd6b-e4fa74adaaa7", "tags": [ "estimative-language:likelihood-probability=\"likely\"" ], "type": "similar" }, { "dest-uuid": "277d2f87-2ae5-4730-a3aa-50c1fdff9656", "tags": [ "estimative-language:likelihood-probability=\"likely\"" ], "type": "similar" } ], "uuid": "24ce266c-1860-5e04-a107-48d1d39f8ebf", "value": "索伦之眼 - APT-C-16" }, { "description": "潜行者组织主要搜集东南亚国家政府机构、国防部门、情报机构等机构敏感信息,其中针对我国就进行了超十年左右的网络攻击。主要针对政府、通信等领域重点单位,攻击最早可以关联追溯到2009年,最早的样本编译时间为2008年,攻击活动一直持续至今。", "meta": { "country": "southeast", "refs": [ "https://apt.360.net/report/apts/82.html" ], "suspected-victims": [ "中国及东南亚" ], "synonyms": [], "target-category": [ "政府", "外交", "通讯", "智库" ] }, "uuid": "4a2a754b-e59b-5f31-b9ca-1d0f920185b2", "value": "潜行者 - APT-C-30" }, { "description": "APT-C-24又名Sidewinder、Rattlesnake等,是具有印度背景的APT组织。该组织通常以巴基斯坦、中国、尼泊尔等在内的南亚及周边地区的国家为目标,主要攻击该国家/地区的政府、军事、外交等领域,最常见的感染媒介之一就是使用带有漏洞的恶意文档。2020年初,该组织还使用与COVID-19相关的诱饵文件对孟加拉国、中国和巴基斯坦发起了网络攻击,通过近年来对该组织的追踪发现,Sidewinder越来越倾向于利用诸如COVID-19之类的趋势话题或各种政治问题作为一种社会工程技术来攻击其目标,因此需要更加地警惕小心。", "meta": { "country": "india", "refs": [ "https://apt.360.net/report/apts/92.html" ], "suspected-victims": [ "巴基斯坦", "斯里兰卡", "孟加拉国" ], "synonyms": [ "SideWinder" ], "target-category": [ "政府", "军事", "教育", "信息通信" ] }, "related": [ { "dest-uuid": "c4ce1174-9462-47e9-8038-794f40a184b3", "tags": [ "estimative-language:likelihood-probability=\"likely\"" ], "type": "similar" }, { "dest-uuid": "3fc023b2-c5cc-481d-9c3e-70141ae1a87e", "tags": [ "estimative-language:likelihood-probability=\"likely\"" ], "type": "similar" } ], "uuid": "3dada716-34c3-506e-aa3a-1889bd975b4b", "value": "响尾蛇 - APT-C-24" }, { "description": "APT-C-28组织,又名ScarCruft、APT37 (Reaper)、Group123,是一个来自于东北亚地区的境外APT组织,其相关攻击活动最早可追溯到2012年,且至今依然保持活跃状态。APT-C-28组织主要针对韩国等亚洲国家进行网络间谍活动,其中以窃取战略军事、政治、经济利益相关的情报和敏感数据为主。APT-C-28组织最早由卡巴斯基公司于2016年6月曝光,随后各个安全厂商对其进行了持续追踪并不断曝光该组织的最新攻击活动。", "meta": { "country": "korea", "refs": [ "https://apt.360.net/report/apts/79.html" ], "suspected-victims": [ "俄罗斯", "中国等周边国家" ], "synonyms": [ "APT37(Reaper)", "Group123" ], "target-category": [ "政府", "教育", "金融", "国防军工", "信息技术", "医疗", "社会组织" ] }, "related": [ { "dest-uuid": "50cd027f-df14-40b2-aa22-bf5de5061163", "tags": [ "estimative-language:likelihood-probability=\"likely\"" ], "type": "similar" }, { "dest-uuid": "4a2ce82e-1a74-468a-a6fb-bbead541383c", "tags": [ "estimative-language:likelihood-probability=\"likely\"" ], "type": "similar" } ], "uuid": "96c3508e-f5f9-52b4-9d1e-b246d68f643d", "value": "ScarCruft - APT-C-28" }, { "description": "Turla Group又名Waterbug、Venomous Bear、Group 88等,是具有俄罗斯背景的APT组织,至少从1996年就开始活跃,2015年以后攻击活动更加频繁。Turla组织的攻击目标遍及全球多个国家,攻击对象涉及政府、外交、军事、教育、研究和医疗等多个领域,因开展水坑攻击和鱼叉式网络钓鱼攻击以及利用定制化的恶意软件而闻名。", "meta": { "country": "russia", "refs": [ "https://apt.360.net/report/apts/81.html", "https://apt.360.net/report/apts/88.html" ], "suspected-victims": [ "中国", "俄罗斯", "驻欧美国家外交机关" ], "synonyms": [ "Turla, Waterbug, Venomous Bear, Group 88" ], "target-category": [ "外交", "政府", "军事", "教育", "医疗" ] }, "uuid": "1972273e-2152-558c-b575-222c6d2f3e10", "value": "Turla - APT-C-29" }, { "description": "Carbanak(即Anunak)攻击组织,是一个跨国网络犯罪团伙。2013年起,该犯罪团伙总计向全球约30个国家和地区的100家银行、电子支付系统和其他金融机构发动了攻击,目前相关攻击活动还很活跃。", "meta": { "country": "Ukraine", "refs": [ "https://apt.360.net/report/apts/68.html" ], "suspected-victims": [ "全球" ], "synonyms": [ "Anunak" ], "target-category": [ "外贸", "金融", "能源" ] }, "related": [ { "dest-uuid": "55033a4d-3ffe-46b2-99b4-2c1541e9ce1c", "tags": [ "estimative-language:likelihood-probability=\"likely\"" ], "type": "similar" } ], "uuid": "a4aba29f-fb91-50d9-bdf9-2b184922a200", "value": "Carbanak - APT-C-11" }, { "description": "APT-C-17是360发现的一起APT攻击,我们将此次攻击行动命名为“飞鲨”行动。相关攻击行动最早可以追溯到2013年1月,持续活跃到2014年3月,主要针对中国航空航天领域,目的是窃取目标用户敏感数据信息,近期暂无监控到相关攻击事件。", "meta": { "country": "india", "refs": [ "https://apt.360.net/report/apts/71.html" ], "suspected-victims": [ "中国" ], "synonyms": [], "target-category": [ "航空航天" ] }, "uuid": "c47e631c-a3d7-509b-a87f-a7e87f8fab6c", "value": "飞鲨 - APT-C-17" }, { "description": "APT-C-40(方程式)是史上最强APT组织。该团伙已活跃近20年,并且在攻击复杂性和攻击技巧方面超越了历史上所有的网络攻击组织,并被认为是著名的震网(Stuxnet)和火焰(Flame)病毒幕后的操纵者。", "meta": { "country": "america", "refs": [ "https://apt.360.net/report/apts/85.html" ], "suspected-victims": [ "中国", "俄罗斯", "伊朗", "巴基斯坦" ], "synonyms": [], "target-category": [ "航空航天", "信息和通信产业", "科学研究与技术服务", "政府机构" ] }, "uuid": "54034021-1998-5ddf-93e7-f1f56d172f99", "value": "方程式 - APT-C-40" }, { "description": "Operation_C-Major又名Transparent Tribe、APT36、Mythic Leopard等,是具有巴基斯坦背景的APT组织,攻击活动影响范围较广,但主要攻击目标为印度国家的政府、军方等组织,此外为保障国家利益,巴基斯坦境内的民间团体或政治家也是其主要攻击对象。该组织于2013年被首次发现,近年来一直处于活跃状态。2020年初,利用有关印巴两国边境争端的诱饵文档,向印度政府组织、国防人员发起了鱼叉式网络攻击,也就是‘Honey Trap’行动,以此来窃取国家机密及敏感数据。", "meta": { "country": "southeast", "refs": [], "suspected-victims": [ "印度", "欧洲" ], "synonyms": [ "APT36", "ProjectM", "C-Major" ], "target-category": [ "政府", "军事", "教育" ] }, "related": [ { "dest-uuid": "acbb5cad-ffe7-4b0e-a57a-2dbc916e8905", "tags": [ "estimative-language:likelihood-probability=\"likely\"" ], "type": "similar" }, { "dest-uuid": "e44e0985-bc65-4a8f-b578-211c858128e3", "tags": [ "estimative-language:likelihood-probability=\"likely\"" ], "type": "similar" } ], "uuid": "084517bc-b8e7-5c86-a218-3f19e1379f3e", "value": "透明部落 - APT-C-56" }, { "description": "APT-C-61又名腾云蛇,最早活跃可追溯到2020年1月,至今还很活跃,主要攻击目标为巴基斯坦、孟加拉等国家的国家机构、军工、科研、国防等重要领域,攻击时通过鱼叉邮件配合社会工程学手段进行渗透,向目标设备传播恶意程序,暗中控制目标设备,持续窃取设备上的敏感文件。因其使用的C2、载荷下发、窃取的数据存储等均依赖于云服务,且使用的木马为python语言编写而得名。", "meta": { "country": "southeast", "refs": [], "suspected-victims": [ "巴基斯坦", "孟加拉" ], "synonyms": [], "target-category": [ "政府", "军事", "科研", "国防" ] }, "uuid": "724da0c4-ca9e-54be-a15c-8204472d8c99", "value": "腾云蛇 - APT-C-61" }, { "description": "Kimsuky 是位于朝鲜的APT组织,又名(Mystery Baby, Baby Coin, Smoke Screen, BabyShark, Cobra Venom)等,最早由Kaspersky在2013年披露,该组织长期针对于韩国的智囊团、政府外交、新闻组织、教育学术组织等进行攻击,在过去几年里,他们将攻击目标扩大到包括美国、俄罗斯和欧洲各国在内的国家。主要目的为窃取情报、间谍活动等。该组织十分活跃,常用的攻击载荷为带有漏洞的hwp文件、恶意宏文件、释放载荷的PE文件等。", "meta": { "country": "korea", "refs": [], "suspected-victims": [ "韩国", "美国", "朝鲜", "俄罗斯", "中国", "日本" ], "synonyms": [], "target-category": [ "政府", "教育", "外交", "媒体", "金融", "国防军工" ] }, "uuid": "84e18657-3995-5837-88f1-f823520382a8", "value": "Kimsuky - APT-C-55" }, { "description": "2019年初,国外安全厂商披露了一起疑似卢甘斯克背景的APT组织针对乌克兰政府的定向攻击活动,根据相关报告分析该组织的攻击活动至少可以追溯到2014年,曾大量通过网络钓鱼、水坑攻击等方式针对乌克兰政府机构进行攻击,在其过去的攻击活动中曾使用过开源Quasar RAT和VERMIN等恶意软件,捕获目标的音频和视频,窃取密码,获取机密文件等等。", "meta": { "country": "Ukraine", "refs": [ "https://apt.360.net/report/apts/169.html" ], "suspected-victims": [ "乌克兰" ], "synonyms": [ "APT-C-46" ], "target-category": [ "政府" ] }, "uuid": "a97037e7-7c3b-5cc2-ab4c-bd0432bc247a", "value": "卢甘斯克组织 - APT-C-46" }, { "description": "近期,360安全大脑检测到多起ClickOnce恶意程序的攻击活动,通过360高级威胁研究院的深入研判分析,发现这是一起来自半岛地区未被披露APT组织的攻击行动,攻击目标涉及与半岛地区有关联的实体机构和个人,根据360安全大脑的数据分析显示,该组织的攻击活动最早可以追溯到2018年。目前还没有任何安全厂商公开披露该组织的攻击活动,也没有安全厂商公开披露利用该技术的真实APT攻击事件。由于此次攻击活动属于360全球首次捕获披露,我们根据该组织擅长攻击技术的谐音,将其命名为“旺刺”组织,并为其分配了新编号APT-C-47。", "meta": { "country": "southKorea", "refs": [ "https://apt.360.net/report/apts/168.html" ], "suspected-victims": [ "中国" ], "synonyms": [ "APT-C-47" ] }, "uuid": "0660d5e2-f8cf-5d5e-95c8-e5af7115979e", "value": "旺刺组织 - APT-C-47" }, { "description": "Domestic Kitten(Check Point),别名APT-C-50。最早被国外安全厂商披露,自2016年以来一直在进行广泛而有针对性的攻击,攻击目标包括中东某国内部持不同政见者和反对派力量,以及ISIS的拥护者和主要定居在中东某国西部的库尔德少数民族。值得注意的是,所有攻击目标都是中东某国公民。伊斯兰革命卫队(IRGC)、情报部、内政部等中东某国政府机构可能为该组织提供支持。", "meta": { "country": "Iran", "refs": [ "https://apt.360.net/report/apts/166.html" ], "suspected-victims": [ "伊朗", "阿富汗", "伊拉克", "英国" ], "synonyms": [ "APT-C-50" ], "target-category": [ "国防军工", "社会组织" ] }, "uuid": "a6636926-ffe4-5974-9be0-34ab5dcbd59f", "value": "DomesticKitten - APT-C-50" }, { "description": "SandCat由卡巴斯基在2018年首次发现,该组织一直在使用FinFisher/ FinSpy间谍软件和CHAINSHOT攻击框架,并有使用0 Day漏洞的能力,曾经使用过CVE-2018-8589和CVE-2018-8611。主要攻击中东、非洲和东欧等地区的目标。", "meta": { "country": "Israel", "refs": [], "suspected-victims": [ "中国", "乌兹别克斯坦", "沙特阿拉伯" ], "synonyms": [], "target-category": [ "社会组织" ] }, "uuid": "bf77827a-e0f1-504f-815c-4bccfe72b644", "value": "SandCat - APT-C-32" }, { "description": "该组织于2019年发现,因为样本的pdb路径中有cnc_client字符,所以暂时叫做CNC组织。该组织定向攻击我国教育、航天、军工和医疗等行业,窃取情报。在攻击过程中会尝试使用Nday,并且有能够开发GO语言木马的开发人员。", "meta": { "country": "india", "refs": [], "suspected-victims": [ "中国" ], "synonyms": [], "target-category": [ "教育", "军事", "航天", "医疗" ] }, "uuid": "34d75138-389f-5555-85e9-f3ca5a9cce8f", "value": "CNC - APT-C-48" }, { "description": "APT-C-41,是一个具有土耳其背景的APT小组,该APT组织最早的攻击活动可以追溯到2012年。该组织主要针对意大利、土耳其、比利时、叙利亚、欧洲等地区和国家进行攻击活动。2020年,360发现了该组织针对我国相关单位的攻击,并将其命名为APT-C-41。", "meta": { "country": "trq", "refs": [ "https://apt.360.net/report/apts/158.html" ], "suspected-victims": [ "欧洲", "意大利", "土耳其", "比利时", "叙利亚", "中国" ], "synonyms": [], "target-category": [ "教育", "金融", "政府", "制造" ] }, "uuid": "75122408-5db4-5ac2-a156-88a8f149e738", "value": "蓝色魔眼 - APT-C-41" }, { "description": "El Machete由卡巴斯基首次发现,最早的攻击可以追溯至2014年,主要针对拉丁美洲。360白泽实验室发现了一款Python语言编写的新型后门病毒Pyark,通过对该后门的深入挖掘和溯源分析,我们发现了一系列从2019年起便一直活跃的高级威胁行动,攻击者通过入侵委内瑞拉的多处军事机构,部署后门病毒,不间断的监控和窃取最新的军事机密。", "meta": { "country": "namerica", "refs": [ "https://apt.360.net/report/apts/159.html" ], "suspected-victims": [ "东南亚", "南美", "欧洲" ], "synonyms": [ "Machete" ], "target-category": [ "教育", "通信运营商", "外交", "政府", "国防军工", "金融" ] }, "related": [ { "dest-uuid": "827c17e0-c3f5-4ad1-a4f4-30a40ed0a2d3", "tags": [ "estimative-language:likelihood-probability=\"likely\"" ], "type": "similar" }, { "dest-uuid": "38863958-a201-4ce1-9dbe-539b0b6804e0", "tags": [ "estimative-language:likelihood-probability=\"likely\"" ], "type": "similar" } ], "uuid": "d0b9840d-efe2-5200-89d1-2f1a37737e30", "value": "Machete - APT-C-43" }, { "description": "Gamaredon又名Primitive Bear、Winterflounder、BlueAlpha,至少从2013年就开始活跃,是由俄罗斯政府赞助的APT组织。Gamaredon组织主要针对乌克兰的政府、国防、外交、新闻媒体等发起网络间谍活动。近年来,该组成员也不断升级其技战术,开发定制化的恶意软件,这也加大了安全人员对其进行捕获与追踪的难度。", "meta": { "country": "russia", "refs": [], "suspected-victims": [ "乌克兰等东欧国家" ], "synonyms": [], "target-category": [ "政府", "国防", "外交", "新闻媒体" ] }, "uuid": "ca52d879-f02b-531e-89ff-817ffc23ce35", "value": "Gamaredon - APT-C-53" }, { "description": "北非狐组织(APT-C-44),是一个来自阿尔及利亚的境外APT组织,该组织已持续活跃了3年。北非狐组织主要针对中东地区进行网络间谍活动,以窃取敏感信息为主。相关攻击活动最早可以追溯到2017年11月,至今仍活跃着。", "meta": { "country": "algeria", "refs": [ "https://apt.360.net/report/apts/157.html" ], "suspected-victims": [ "阿尔及利亚", "约旦" ], "synonyms": [], "target-category": [ "国防军工" ] }, "uuid": "367bfb72-da65-5886-a333-389299470722", "value": "北非狐 - APT-C-44" }, { "description": "WELLMESS组织是一个较新的俄语系境外APT组织,最早发现于2017年并持续至今。该组织主要针对亚洲地区进行间谍攻击,并且曾进行过超两年的供应链攻击,同时拥有漏洞利用能力。该组织的目标主要是政府、IT、科研等单位,以窃取文件为主。", "meta": { "country": "russia", "refs": [ "https://apt.360.net/report/apts/136.html" ], "suspected-victims": [ "美国", "中国", "加拿大", "日本" ], "synonyms": [], "target-category": [ "政府", "科研" ] }, "uuid": "6560f0cf-bbbd-5bb7-8dad-b4c8ea23704f", "value": "WellMess - APT-C-42" } ], "version": 6 }