【APT组织情报】方程式

【APT组织情报】方程式

团伙概况

团伙名称方程式
攻击者类型国家背景组织
技术能力
负责国家/地区美国
最早活动时间2001-01-01
影响行业政府和外交机构,电信,航空航天,能源,核研究,油气,军事,纳米技术,伊斯兰活动家和学者,大众媒体,交通,金融机构,开发密码技术的公司
别名Equation Group,Tilded Team,EQGRP,Five Eyes,NSA,APT-C-40
攻击方式鱼叉邮件,或直接通过防火墙漏洞攻击
攻击频率未知
影响国家/地区伊朗,俄罗斯,叙利亚,阿富汗,哈萨克斯坦,比利时,索马里,香港,利比亚,阿拉伯联合酋长国,伊拉克,尼日利亚,厄瓜多尔,墨西哥,马来西亚,美国,苏丹,黎巴嫩,巴勒斯坦,法国,德国,新加坡,卡塔尔,中国,巴基斯坦,也门,马里,瑞士,孟加拉国,南非,菲律宾,英国,印度和巴西
最近活动时间2022-03-02
常用语言英语

团伙描述

方程式组织于2015年被卡巴斯基首次披露并命名,名字源自该组织喜欢在攻击活动中使用各种加密方法和混淆策略。由于该组织在Stuxnet和Flame行动之前就接触到相关0day漏洞,卡巴斯基认为该组织与Stuxnet和Flame行动背后组织具有密切联系。该组织被认为与美国国家安全局(NSA)有关。 自2001年,该组织攻击活动的受害者遍布全球多个国家,涉及多个行业领域,包括政府外交机构、电信部门、航空、能源、核研究、油气、军事、纳米科技、伊斯兰活动家及学者、大众媒体、交通、金融机构以及开发加密技术的企业。 方程式组织使用的工具极其复杂,开发成本极高,使用多种RAT工具并掌握多个0day漏洞,卡巴斯基于2015年披露的工具有EquationLaser, EquationDrug, DoubleFantasy, TripleFantasy, Fanny和GrayFish。攻击组件中包含能重编码机械硬盘驱动固件的模块,从而实现持久化和恶意软件隐藏,该模块支持超过20种流行的机械硬盘品牌。Fanny蠕虫工具可以通过感染U盘从物理隔离网络中收集信息。该组织投递恶意软件不仅通过网络,还采用物理投递的方式,即截取物理世界中的物品(比如光盘)并将其替换为植入木马的版本。方程式组织拥有庞大的C2基础设施,截至2015年披露,卡巴斯基发现了300多个关联域名以及超过100台服务器,服务器托管在包括美国、英国、意大利、德国、荷兰、巴拿马、哥斯达黎加、马来西亚、哥伦比亚和捷克共和国在内的多个国家。 2016年8月,黑客组织影子经纪人(The Shadow Brokers)公布NSA泄露数据,主要为NSA黑客工具,其中包括针对企业防火墙、杀毒软件以及微软产品的多个0day漏洞,影子经纪人声称泄露的工具来自隶属于NSA的方程式组织。 2017年4月,影子经纪人再度公开的NSA数据完整曝光了方程式组织在2012年7月至2013年9月期间对中东地区最大的银行SWIFT服务提供商EastNets攻击行动的详细信息。

技战法

拥有丰富的0day漏洞攻击技术和完备的攻击渗透工具集,卡巴斯基披露出的攻击平台如下: EQUATIONDRUG:主要的攻击平台,支持插件,实时升级 DOUBLEFANTASY:探测木马用于确保目标是有价值的设备,确认则升级为EQUATIONDRUG或GRAYFISH EQUESTRE:类似于EQUATIONDRUG TRIPLEFANTASY:疑似DOUBLEFANTASY的升级版,可用于和GRAYFISH的串联。 GRAYFISH:最重要的部分,用于bootik级别的自启动 FANNY:2008年出现的蠕虫,主要活跃于中西亚,中招的机器从DOUBLEFANTASY升级为EQUATIONDRUG,使用的两个0day在震网中被使用 EQUATIONLASER:早期的工具(2001-2004)

历史报告

发现时间报告名称发布厂商
2022-03-02网络战序幕:美国国安局NSA(APT-C-40)对全球发起长达十余年无差别攻击Qihoo 360
2022-02-23Bvp47——来自美国国安局方程式组织的顶级后门奇安信
2021-12-27研究团队披露Equation使用的DanderSpritz的技术分析CheckPoint
2020-03-04安天对“超高能力网空威胁行为体”系列分析回顾安天
2019-06-01安天发布“方程式组织”攻击中东SWIFT服务商事件复盘分析报告安天
2018-12-13

Tildeb: Analyzing the 18-year-old Implant from the Shadow Brokers’ LeakTrend Micro
2017-01-16方程式组织EQUATION DRUG平台解析—方程式组织系列分析报告之四安天
2016-11-04从“方程式”到“方程组”EQUATION攻击组织高级恶意代码的全平台能力解析安天
2016-08-16The Equation giveaway Rare implementation of RC5/RC6 in ‘ShadowBrokers’ dump connects them to Equation malwareKaspersky
2015-03-20Equation Group硬盘固件后门修改模块浅析翰海源
2015-03-11Inside the EquationDrug Espionage PlatformKaspersky
2015-03-05修改硬盘固件的木马探索方程式(EQUATION)组织的攻击组件安天
2015-02-19Equation Group: from Houston with loveKaspersky
2015-02-17A Fanny Equation: “I am your father, Stuxnet”Kaspersky
2015-02-16Equation: The Death Star of Malware GalaxyKaspersky

情报信息

文件hash情报

文件类型文件哈希值
MD503718676311de33dd0b8f4f18cffd488
MD50a209ac0de4ac033f31d6ba9191a8f7a
MD50a5e9b15014733ee7685d8c8be81fb0d
MD511fb08b9126cdb4668b3f5135cf7a6c5
MD515d39578460e878dd89e8911180494ff
MD520506375665a6a62f7d9dd22d1cc9870
MD5214f7a2c95bdc265888fbcd24e3587da
MD521c278c88d8f6faea64250df3bffd7c6
MD524a6ec8ebf9c0867ed1c097f4a653b8d
MD52a12630ff976ba0994143ca93fecd17f
MD52b444ac5209a8b4140dd6b747a996653
MD5311d4923909e07d5c703235d83bf4479
MD54556ce5eb007af1de5bd3b457f0b216d
MD5562be0b1930fe5de684c2c530619d659
MD55767b9d851d0c24e13eca1bfd16ea424
MD560dab5bb319281747c5863b44c5ac60d
MD569e7943f3d48233de4a39a924c59ed2c
MD56fe6c03b938580ebf9b82f3b9cd4c4aa
MD574de13b5ea68b3da24addc009f84baee
MD5752af597e6d9fd70396accc0b9013dbe
MD5769d099781220004540a8f6697a9cef1
MD58d87a1845122bf090b3d8656dc9d60a8
MD59180d5affe1e5df0717d7385e7f54386
MD59245184228af33d3d97863daecc8597e
MD598dea1bce37bf7087360e1958400589b
MD59b1ca66aab784dc5f1dfe635d8f8a904
MD59f3f6f46c67d3fad2479963361cf118b
MD5a6662b8ebca61ca09ce89e1e4f43665d
MD5b2c7339e87c932c491e34cdcd99feb07
MD5b3487fdd1efd2d1ea1550fef5b749037
MD5b8c0eb946de83fe8440fefbacf7de4a2
MD5ba39212c5b58b97bfc9f5bc431170827
MD5bb8f56874189d5dfe9294f0553a49b83
MD5c17e16a54916d3838f63d208ebab9879
MD5c3af66b9ce29efe5ee34e87b6e136e3a
MD5c4f8671c1f00dab30f5f88d684af1927
MD5ef40fcf419954226d8c029aac8540d5a
MD5ef4405930e6071ae1f7f6fa7d4f3397d
MD5f6bf3ed3bcd466e5fd1cbaf6ba658716
MD58486ec3112e322f9f468bdea3005d7b5
MD558b6696496450f254b1423ea018716dc
MD58f137a9100a9fcc8b512b3729878a373

域名/IP情报

类型IOC列表
域名247adbiz.net
域名ad-void.com
域名ad-noise.net
域名adservicestats.com
域名afkarehroshan.com
域名ad-servicestats.net
域名adsbizsimple.com
域名amazinggreentechshop.com
域名arabtechmessenger.net
域名arm2pie.com
域名bazandegan.com
域名aynachatsrv.com
域名brittlefilet.com
域名businessdirectnessource.com
域名business-made-fun.com
域名charmedno1.com
域名cigape.net
域名darakht.com
域名coffeehausblog.com
域名customerscreensavers.com
域名cribdare2no.com
域名crisptic01.net
域名damavandkuh.com
域名dowelsobject.com
域名downloadmpplayer.com
域名easyadvertonline.com
域名following-technology.com
域名fliteilex.com
域名forgotten-deals.com
域名fnlpic.com
域名foroushi.net
域名functional-business.com
域名gar-tech.com
域名goldadpremium.com
域名ghalibaft.com
域名goodbizez.com
域名havakhosh.com
域名honarkhaneh.net
域名housedman.com
域名honarkhabar.com
域名industry-deals.com
域名islamicmarketing.net
域名itemagic.net
域名listennewsnetwork.com
域名mashinkhabar.com
域名meevehdar.com
域名mimicrice.com
域名monster-ads.net
域名newip427.changeip.net
域名micraamber.net
域名noticiasftpsrv.com
域名newjunk4u.com
域名nickleplatedads.com
域名nowruzbakher.com
域名parskabab.com
域名phoneysoap.com
域名posed2shade.com
域名platads.com
域名quik-serv.com
域名quickupdateserv.com
域名rapidlyserv.com
域名rampagegramar.com
域名rubi4edit.com
域名roshanavar.com
域名rubriccrumb.com
域名rehabretie.com
域名rubiccrum.com
域名serv-load.com
域名sherkatkonandeh.com
域名sherkhundi.com
域名speedynewsclips.com
域名subad-server.com
域名suddenplot.com
域名techsupportpwr.com
域名team4heat.net
域名standardsandpraiserepurpose.com
域名technicads.com
域名technicalconsumerreports.com
域名teatac4bath.com
域名technology-revealed.com
域名technicserv.com
域名technicupdate.com
域名thesuperdeliciousnews.com
域名tropiccritics.com
域名unwashedsound.com
域名toofanshadid.com
域名unite3tubes.com
域名wangluoruanjian.com
域名webbizwild.com
域名www.bazandegan.com
域名xlivehost.com
域名zhalehziba.com
域名advancing-technology.com
域名avidnewssource.com
域名businessdealsblog.com
域名businessedgeadvance.com
域名charging-technology.com
域名computertechanalysis.com
域名globalnetworkanalys.com
域名lsassoc.com
域名melding-technology.com
域名myhousetechnews.com
域名selective-business.com
域名slayinglance.com
域名successful-marketing-now.com
域名taking-technology.com
域名techasiamusicsvr.com
域名technicaldigitalreporting.com
域名timelywebsitehostesses.com
域名webuysupplystore.mooo.com
域名www.dt1blog.com
域名www.forboringbusinesses.com
域名www.config.getmyip.com
域名hostmaster.arm2pie.com
域名ww3.computertechanalysis.com
域名www.computertechanalysis.com
域名www.slayinglance.com
域名hostmaster.meevehdar.com
域名www.havakhosh.com
域名hostmaster.quickupdateserv.com

© 版权声明
THE END
喜欢就支持一下吧
点赞15 分享
评论 共4条

请登录后发表评论