【APT组织情报】Longhorn

【APT组织情报】Longhorn

团伙概况

团伙名称Longhorn
攻击者类型国家背景组织
技术能力0-day漏洞
负责国家/地区美国
最早活动时间2007-12-31
影响行业金融,电信,能源,航空航天,信息技术,教育,自然资源 政府,国际运营组织
别名Longhorn,APT-C-39,Lamberts
攻击方式
攻击频率未知
影响国家/地区中东,欧洲,亚洲,非洲
最近活动时间2020-03-03
常用语言英语

团伙描述

Longhorn由国外安全厂商赛门铁克在 Vault 7 泄漏间谍工具后命名。

Longhorn 至少从2011年开始活动,Longhorn感染了来自至少16个国家包括中东、欧洲、亚洲和非洲等的40个目标,主要影响金融、电信、能源、航空航天、信息科技、教育、和自然资源等部门。它使用了多种后门木马结合0day漏洞进行攻击。

在2014年,赛门铁克捕获到使用word文档的零日漏洞 CVE-2014-4148 的Plexor ,注意到了Longhorn的攻击活动。

2019年9月,奇安信威胁情报中心红雨滴团队发布《美国中央情报局网络武器库分析与披露》,详细对历史曝光的CIA网络武器及相关资料进行研究,并发现了多种网络武器文件,并且根据分析的结果与现有公开资料内容进行了关联和判定。并且还发现这些网络武器曾用于攻击中国的目标人员和机构,其相关攻击活动主要发生在2012年到2017年(与Vault7资料公开时间相吻合),并且在其相关资料被曝光后直至2018年末,依然维持着部分攻击活动,目标可能涉及国内的航空行业。

2020年3月2号,奇虎360发布报告,发现从2008年(从2008年9月到2019年6月)开始,主长达十一年的攻击活动,攻击目标要分布在北京、广东、浙江等省份。并命名为APT-C-39。 使用恶意软件

Fluxwire Trojan.Corentry Backdoor.Plexor Backdoor.Trojan.LH1和Backdoor.Trojan.LH2 CVE-2014-4148 Black Lambert, Blue Lambert, Corentry, Gray Lambert, Green Lambert, Green OS X Lambert, LH1, LH2, Pink Lambert, Plexor and White Lambert.

历史报告

发现时间报告名称发布厂商
2020-03-03披露美国中央情报局CIA攻击组织(APT-C-39)对中国关键领域长达十一年的网络渗透攻击360集团
2019-11-21Registers as “Default Print Monitor”, but is a malicious downloader. Meet DePriMonESET
2019-09-30美国中央情报局⽹络武器库分析与披露奇安信
2018-10-11Threats in the NetherlandsKaspersky
2018-03-09Breadcrumbs Of CIA And DNC Hackers Left At The Same Chinese CompanyForbes

情报信息

文件hash情报

文件类型文件哈希值
md5d01606c6b6ee92475fa5bd4c87a8dfd0
md5d6eade9176d7e19454cf5e60c67574fc
md58987652f26732607b769247adb4e9cce
md582e950a2caf7844cc305c94ad1cc1288
md55dbdade5d72feca45c6bc08f05d9bdb0
md57260cd78fbe583da47f992fca5bb4137
md5b76e8611057d9607c6ce0acc0ba4de2b
md579e263f78e69110c09642bbb30f09ace
md541fe4ea8912918cedd6528ab99f3d999
md542793c3ed137f999b525b1020b52d432
md57397a01c220392444ed3b81d6a6c8fa3
md51a27ba4f541d3f6066c90822f9f25e9f
md599b9a986f92c0720414cedb3c3d17a0d
md5517d86f7f494a9d7f2405020b44521eb
md533118348b533434a995e477a6aa9b9a9
md54a16643a1c0ddb03f4833d28f80edcad
md54dcd011b08ff854b3789c3188b8ee95b
md5853c44d5408781395f3ac65e768f7e65
md5672351dee7f6a05f0ed60dc72b95988a
md5628b3aa25724b00ea995b43dc2bc7ce2
md5cb434677126a06ce6eb66c4aedf98bfe
md541575fc8e178672d3f53714cdcbbaf02
md5dd8c03517abc9760d662ad51555f030b
md542f43edc9937e4aa5f985773f5ea9daa
md58eb5c5ed448288ee3b7536f571284631
md56c466283e7f8757973ba253aa6080d8c
md56d1e003143b5a5b6cc3cba9c5433c07a
md52a8d9b5c18d314a36e7ef82f0ac3635e
md5d6f6ffd201709e4f03cef21b1fec5f25
md599ef1e473ac553cf80f6117b2e95e79b
md5a4863fcea90680a474a6eaa1e790ace5
md5c55a70c3413818cb5be7913002c1c486
md5f0b812de90184e91ce2ec056e7ef3279
md5c60b4b5f0e6982787c204aa169c65b8b
md503bc7a8584fadeceb3d948304b531c3f
md5683afdef710bf3c96d42e6d9e7275130
md574e94cd60ba77069ed9c4d43845739b3
md552d750ab9e557cf4f358a63593be6e99
md521a5d5f7ec429822a3caf3ed782bf787
md5116f4e1288862c4f8714e133cf45a1e8
md5459f8181e7fbaa0e1bf86c15f97de0ba
md5d857d7e49324a67bbf3e0f845a273a19
md55f060940b231db5ba3fff4cb12abb7f7
md57bfa16de414bdd6e02aeb9c5f1fbc586
md55b92b64e41353ecf11ddd908d365ad45
md50ca4f3e99e9a6f834bf6eaf8209a8147
md5452d86e050ad691dfc46a7abc0ef8a2f
md59935a4541edeb6dd8f0bafff6bc322b9
md5b84f2b6fea1550f49109fabf0c396b54
md5ba38a75f6b2669098710b56afdf1d7d1
md5e0127cc8567b0d8d8bb6d205a258283b
md55df76f1ad59e019e52862585d27f1de2
md57a408d78298dcb16df70b2d8b787cfc0
md5511a473e26e7f10947561ded8f73ffd0
md5c06d422656ca69827f63802667723932
md5e2a2e859f7004f5251b807edc572b3bd
md5e20d5255d8ab1ff5f157847d2f3ffb25
md5e435293a62e3dfddf4df7ce3e401b908
md51e88735dce142637f4e892fc5d0f4379
md5289a2a849f56765195017fc0a152d420
md5a301cb94305bb9e010972599c87ffa29
md5c2bca118b4a72faf3e975ddf82108b42
md5d4dffdcf3c948c2587aee2997cab99f0
md5dc3a694bf0063e17c29868520d623f34
md58ff8ac8f77752302ca8e5bd780da6715
md5adae4f66d12387ffaa4e67d9fedadb15
md5e2ea0da7698d464280d550bcb7b95f8c
md541e967f5fec473a378820a630acc0ffa
md55485266a34e8d6a9e13fe54535ae80a3
md51faed65cc7109472192d84eaf2279b8f
md53cef5fb921ad153768bf63d463c3abe4
md59a768957e02cc73d8c3eea4ec54bca67
md5abd1a5531e4300707456034511f90460
md5cb2df7f60e2db4dd91411c587f980fce
md5ed09e2f292de9286cd77700475bce215
md571ac96234a2be56581986f9b44943bba
md520a7f3c5d958fac3d57f9e9fc2b089bd
md525193866758814240946413f4379d2af
md53ecc1bc2138943f2e679cf3f114b1d03
md54e0777eed466053b85b286b51f0ff080
md55483c7da065e548aa2f189592484190d
md5089c7732c096f01bb455020c222fb4a9
md54dce07fa3755a0a9f3defc031df0d925
md50c6a20d7507105638cd49cea4ffbf10b
md5055d0aa624c4a86464303c5f3217f9a5
md515bf089b750f59169c380ca9de4abebe
md560c017f83c98bc2dad99c3c325989c9c
md51a9e2265495978d05023ffb33c656e5b
md5bc9813cab225aebe39776efb7c342495
sha102b38f6e8b54885fa967851a5580f61c14a0aab6
sha103e047dd4cecb16f513c44599bf9b8ba82d0b7cb
sha10996c280ab704e95c9043c5a250cce077df9c8b2
sha115ebe328a501b1d603e66762fbb4583d73e109f7
sha11911f6e8b05e38a3c994048c759c5ea2b95ce5f7
sha12b30be3f39def1f404264d8858b89769e6c032d9
sha12d80b235cdf41e09d055dd1b01fd690e13be0ac7
sha16db79671a3f31f7a9bb870151792a56276619dc1
sha16fab7aa0479d41700981983a39f962f28ccfbe29
sha17d0b08654b47329ad6ae44b8ff158105ea736bc3
sha17e8a7273c5a0d49dfe6da04fef963e30d5258814
sha18b4f3a06ba41f859e4cc394985bb788d5f76c85c
sha194c0be25077d9a76f14a63cbf7a774a96e8006b8
sha1968b52550062848a717027c512afeded19254f58
sha19c4bade47865e8111dd3eee6c5c4bc83f2489f5b
sha1aa59cb6715cfff545579861e5e77308f6caeac36
sha1c2388c2b2ed6063eacba8a4021ce32eb0929fad2
sha1ca34050771678c65040065822729f44b35c87b0c
sha1d38045b42c7e87c199993ab929ad92ade4f82398
sha1e272fda0e9ba1a1b8ef444ff5f2e8ee419746384
sha1e2d39e290201010f49652ee6116fd9b35c9ad882
sha1f413eee3cfd85a60d7afc4d4ecc4445bb1f0b8bc
sha18987652f26732607b769247adb4e9cce

域名/IP情报

类型IOC列表
域名alwatantrade.com
域名almawaddrial.com
域名babmaftuh.com
域名elehenishing.com
域名img.dealscienters.net
域名m8.zabbix-tech.com
域名mdeastserv.com
域名notify.growlupdate.com
域名shayalyawm.com
域名srv8.zabbix-tech.com
域名teknikgorus.com
域名wnupdnew.com
域名www.zabbix-tech.com
域名www.alwatantrade.com
域名www2.uaefinance.org
域名www.babmaftuh.com
域名www.shayalyawm.com

© 版权声明
THE END
喜欢就支持一下吧
点赞27 分享
评论 共2条

请登录后发表评论