团伙概况
| 团伙名称 | 方程式 |
| 攻击者类型 | 国家背景组织 |
| 技术能力 | 高 |
| 负责国家/地区 | 美国 |
| 最早活动时间 | 2001-01-01 |
| 影响行业 | 政府和外交机构,电信,航空航天,能源,核研究,油气,军事,纳米技术,伊斯兰活动家和学者,大众媒体,交通,金融机构,开发密码技术的公司 |
| 别名 | Equation Group,Tilded Team,EQGRP,Five Eyes,NSA,APT-C-40 |
| 攻击方式 | 鱼叉邮件,或直接通过防火墙漏洞攻击 |
| 攻击频率 | 未知 |
| 影响国家/地区 | 伊朗,俄罗斯,叙利亚,阿富汗,哈萨克斯坦,比利时,索马里,香港,利比亚,阿拉伯联合酋长国,伊拉克,尼日利亚,厄瓜多尔,墨西哥,马来西亚,美国,苏丹,黎巴嫩,巴勒斯坦,法国,德国,新加坡,卡塔尔,中国,巴基斯坦,也门,马里,瑞士,孟加拉国,南非,菲律宾,英国,印度和巴西 |
| 最近活动时间 | 2022-03-02 |
| 常用语言 | 英语 |
团伙描述
方程式组织于2015年被卡巴斯基首次披露并命名,名字源自该组织喜欢在攻击活动中使用各种加密方法和混淆策略。由于该组织在Stuxnet和Flame行动之前就接触到相关0day漏洞,卡巴斯基认为该组织与Stuxnet和Flame行动背后组织具有密切联系。该组织被认为与美国国家安全局(NSA)有关。 自2001年,该组织攻击活动的受害者遍布全球多个国家,涉及多个行业领域,包括政府外交机构、电信部门、航空、能源、核研究、油气、军事、纳米科技、伊斯兰活动家及学者、大众媒体、交通、金融机构以及开发加密技术的企业。 方程式组织使用的工具极其复杂,开发成本极高,使用多种RAT工具并掌握多个0day漏洞,卡巴斯基于2015年披露的工具有EquationLaser, EquationDrug, DoubleFantasy, TripleFantasy, Fanny和GrayFish。攻击组件中包含能重编码机械硬盘驱动固件的模块,从而实现持久化和恶意软件隐藏,该模块支持超过20种流行的机械硬盘品牌。Fanny蠕虫工具可以通过感染U盘从物理隔离网络中收集信息。该组织投递恶意软件不仅通过网络,还采用物理投递的方式,即截取物理世界中的物品(比如光盘)并将其替换为植入木马的版本。方程式组织拥有庞大的C2基础设施,截至2015年披露,卡巴斯基发现了300多个关联域名以及超过100台服务器,服务器托管在包括美国、英国、意大利、德国、荷兰、巴拿马、哥斯达黎加、马来西亚、哥伦比亚和捷克共和国在内的多个国家。 2016年8月,黑客组织影子经纪人(The Shadow Brokers)公布NSA泄露数据,主要为NSA黑客工具,其中包括针对企业防火墙、杀毒软件以及微软产品的多个0day漏洞,影子经纪人声称泄露的工具来自隶属于NSA的方程式组织。 2017年4月,影子经纪人再度公开的NSA数据完整曝光了方程式组织在2012年7月至2013年9月期间对中东地区最大的银行SWIFT服务提供商EastNets攻击行动的详细信息。
技战法
拥有丰富的0day漏洞攻击技术和完备的攻击渗透工具集,卡巴斯基披露出的攻击平台如下: EQUATIONDRUG:主要的攻击平台,支持插件,实时升级 DOUBLEFANTASY:探测木马用于确保目标是有价值的设备,确认则升级为EQUATIONDRUG或GRAYFISH EQUESTRE:类似于EQUATIONDRUG TRIPLEFANTASY:疑似DOUBLEFANTASY的升级版,可用于和GRAYFISH的串联。 GRAYFISH:最重要的部分,用于bootik级别的自启动 FANNY:2008年出现的蠕虫,主要活跃于中西亚,中招的机器从DOUBLEFANTASY升级为EQUATIONDRUG,使用的两个0day在震网中被使用 EQUATIONLASER:早期的工具(2001-2004)
历史报告
| 发现时间 | 报告名称 | 发布厂商 |
| 2022-03-02 | 网络战序幕:美国国安局NSA(APT-C-40)对全球发起长达十余年无差别攻击 | Qihoo 360 |
| 2022-02-23 | Bvp47——来自美国国安局方程式组织的顶级后门 | 奇安信 |
| 2021-12-27 | 研究团队披露Equation使用的DanderSpritz的技术分析 | CheckPoint |
| 2020-03-04 | 安天对“超高能力网空威胁行为体”系列分析回顾 | 安天 |
| 2019-06-01 | 安天发布“方程式组织”攻击中东SWIFT服务商事件复盘分析报告 | 安天 |
| 2018-12-13 | Tildeb: Analyzing the 18-year-old Implant from the Shadow Brokers’ Leak | Trend Micro |
| 2017-01-16 | 方程式组织EQUATION DRUG平台解析—方程式组织系列分析报告之四 | 安天 |
| 2016-11-04 | 从“方程式”到“方程组”EQUATION攻击组织高级恶意代码的全平台能力解析 | 安天 |
| 2016-08-16 | The Equation giveaway Rare implementation of RC5/RC6 in ‘ShadowBrokers’ dump connects them to Equation malware | Kaspersky |
| 2015-03-20 | Equation Group硬盘固件后门修改模块浅析 | 翰海源 |
| 2015-03-11 | Inside the EquationDrug Espionage Platform | Kaspersky |
| 2015-03-05 | 修改硬盘固件的木马探索方程式(EQUATION)组织的攻击组件 | 安天 |
| 2015-02-19 | Equation Group: from Houston with love | Kaspersky |
| 2015-02-17 | A Fanny Equation: “I am your father, Stuxnet” | Kaspersky |
| 2015-02-16 | Equation: The Death Star of Malware Galaxy | Kaspersky |
情报信息
文件hash情报
| 文件类型 | 文件哈希值 |
|---|---|
| MD5 | 03718676311de33dd0b8f4f18cffd488 |
| MD5 | 0a209ac0de4ac033f31d6ba9191a8f7a |
| MD5 | 0a5e9b15014733ee7685d8c8be81fb0d |
| MD5 | 11fb08b9126cdb4668b3f5135cf7a6c5 |
| MD5 | 15d39578460e878dd89e8911180494ff |
| MD5 | 20506375665a6a62f7d9dd22d1cc9870 |
| MD5 | 214f7a2c95bdc265888fbcd24e3587da |
| MD5 | 21c278c88d8f6faea64250df3bffd7c6 |
| MD5 | 24a6ec8ebf9c0867ed1c097f4a653b8d |
| MD5 | 2a12630ff976ba0994143ca93fecd17f |
| MD5 | 2b444ac5209a8b4140dd6b747a996653 |
| MD5 | 311d4923909e07d5c703235d83bf4479 |
| MD5 | 4556ce5eb007af1de5bd3b457f0b216d |
| MD5 | 562be0b1930fe5de684c2c530619d659 |
| MD5 | 5767b9d851d0c24e13eca1bfd16ea424 |
| MD5 | 60dab5bb319281747c5863b44c5ac60d |
| MD5 | 69e7943f3d48233de4a39a924c59ed2c |
| MD5 | 6fe6c03b938580ebf9b82f3b9cd4c4aa |
| MD5 | 74de13b5ea68b3da24addc009f84baee |
| MD5 | 752af597e6d9fd70396accc0b9013dbe |
| MD5 | 769d099781220004540a8f6697a9cef1 |
| MD5 | 8d87a1845122bf090b3d8656dc9d60a8 |
| MD5 | 9180d5affe1e5df0717d7385e7f54386 |
| MD5 | 9245184228af33d3d97863daecc8597e |
| MD5 | 98dea1bce37bf7087360e1958400589b |
| MD5 | 9b1ca66aab784dc5f1dfe635d8f8a904 |
| MD5 | 9f3f6f46c67d3fad2479963361cf118b |
| MD5 | a6662b8ebca61ca09ce89e1e4f43665d |
| MD5 | b2c7339e87c932c491e34cdcd99feb07 |
| MD5 | b3487fdd1efd2d1ea1550fef5b749037 |
| MD5 | b8c0eb946de83fe8440fefbacf7de4a2 |
| MD5 | ba39212c5b58b97bfc9f5bc431170827 |
| MD5 | bb8f56874189d5dfe9294f0553a49b83 |
| MD5 | c17e16a54916d3838f63d208ebab9879 |
| MD5 | c3af66b9ce29efe5ee34e87b6e136e3a |
| MD5 | c4f8671c1f00dab30f5f88d684af1927 |
| MD5 | ef40fcf419954226d8c029aac8540d5a |
| MD5 | ef4405930e6071ae1f7f6fa7d4f3397d |
| MD5 | f6bf3ed3bcd466e5fd1cbaf6ba658716 |
| MD5 | 8486ec3112e322f9f468bdea3005d7b5 |
| MD5 | 58b6696496450f254b1423ea018716dc |
| MD5 | 8f137a9100a9fcc8b512b3729878a373 |
域名/IP情报
| 类型 | IOC列表 |
|---|---|
| 域名 | 247adbiz.net |
| 域名 | ad-void.com |
| 域名 | ad-noise.net |
| 域名 | adservicestats.com |
| 域名 | afkarehroshan.com |
| 域名 | ad-servicestats.net |
| 域名 | adsbizsimple.com |
| 域名 | amazinggreentechshop.com |
| 域名 | arabtechmessenger.net |
| 域名 | arm2pie.com |
| 域名 | bazandegan.com |
| 域名 | aynachatsrv.com |
| 域名 | brittlefilet.com |
| 域名 | businessdirectnessource.com |
| 域名 | business-made-fun.com |
| 域名 | charmedno1.com |
| 域名 | cigape.net |
| 域名 | darakht.com |
| 域名 | coffeehausblog.com |
| 域名 | customerscreensavers.com |
| 域名 | cribdare2no.com |
| 域名 | crisptic01.net |
| 域名 | damavandkuh.com |
| 域名 | dowelsobject.com |
| 域名 | downloadmpplayer.com |
| 域名 | easyadvertonline.com |
| 域名 | following-technology.com |
| 域名 | fliteilex.com |
| 域名 | forgotten-deals.com |
| 域名 | fnlpic.com |
| 域名 | foroushi.net |
| 域名 | functional-business.com |
| 域名 | gar-tech.com |
| 域名 | goldadpremium.com |
| 域名 | ghalibaft.com |
| 域名 | goodbizez.com |
| 域名 | havakhosh.com |
| 域名 | honarkhaneh.net |
| 域名 | housedman.com |
| 域名 | honarkhabar.com |
| 域名 | industry-deals.com |
| 域名 | islamicmarketing.net |
| 域名 | itemagic.net |
| 域名 | listennewsnetwork.com |
| 域名 | mashinkhabar.com |
| 域名 | meevehdar.com |
| 域名 | mimicrice.com |
| 域名 | monster-ads.net |
| 域名 | newip427.changeip.net |
| 域名 | micraamber.net |
| 域名 | noticiasftpsrv.com |
| 域名 | newjunk4u.com |
| 域名 | nickleplatedads.com |
| 域名 | nowruzbakher.com |
| 域名 | parskabab.com |
| 域名 | phoneysoap.com |
| 域名 | posed2shade.com |
| 域名 | platads.com |
| 域名 | quik-serv.com |
| 域名 | quickupdateserv.com |
| 域名 | rapidlyserv.com |
| 域名 | rampagegramar.com |
| 域名 | rubi4edit.com |
| 域名 | roshanavar.com |
| 域名 | rubriccrumb.com |
| 域名 | rehabretie.com |
| 域名 | rubiccrum.com |
| 域名 | serv-load.com |
| 域名 | sherkatkonandeh.com |
| 域名 | sherkhundi.com |
| 域名 | speedynewsclips.com |
| 域名 | subad-server.com |
| 域名 | suddenplot.com |
| 域名 | techsupportpwr.com |
| 域名 | team4heat.net |
| 域名 | standardsandpraiserepurpose.com |
| 域名 | technicads.com |
| 域名 | technicalconsumerreports.com |
| 域名 | teatac4bath.com |
| 域名 | technology-revealed.com |
| 域名 | technicserv.com |
| 域名 | technicupdate.com |
| 域名 | thesuperdeliciousnews.com |
| 域名 | tropiccritics.com |
| 域名 | unwashedsound.com |
| 域名 | toofanshadid.com |
| 域名 | unite3tubes.com |
| 域名 | wangluoruanjian.com |
| 域名 | webbizwild.com |
| 域名 | www.bazandegan.com |
| 域名 | xlivehost.com |
| 域名 | zhalehziba.com |
| 域名 | advancing-technology.com |
| 域名 | avidnewssource.com |
| 域名 | businessdealsblog.com |
| 域名 | businessedgeadvance.com |
| 域名 | charging-technology.com |
| 域名 | computertechanalysis.com |
| 域名 | globalnetworkanalys.com |
| 域名 | lsassoc.com |
| 域名 | melding-technology.com |
| 域名 | myhousetechnews.com |
| 域名 | selective-business.com |
| 域名 | slayinglance.com |
| 域名 | successful-marketing-now.com |
| 域名 | taking-technology.com |
| 域名 | techasiamusicsvr.com |
| 域名 | technicaldigitalreporting.com |
| 域名 | timelywebsitehostesses.com |
| 域名 | webuysupplystore.mooo.com |
| 域名 | www.dt1blog.com |
| 域名 | www.forboringbusinesses.com |
| 域名 | www.config.getmyip.com |
| 域名 | hostmaster.arm2pie.com |
| 域名 | ww3.computertechanalysis.com |
| 域名 | www.computertechanalysis.com |
| 域名 | www.slayinglance.com |
| 域名 | hostmaster.meevehdar.com |
| 域名 | www.havakhosh.com |
| 域名 | hostmaster.quickupdateserv.com |
© 版权声明
THE END
- 最新
- 最热
只看作者