全球APT组织相关威胁情报

图片[1]-全球APT组织相关威胁情报-FancyPig's blog
图片[2]-全球APT组织相关威胁情报-FancyPig's blog

情报来源

图片[3]-全球APT组织相关威胁情报-FancyPig's blog
图片[4]-全球APT组织相关威胁情报-FancyPig's blog

附件下载

由于组织信息比较多,我们这里给大家准备了附件,您可以直接下载excel表格

相关APT组织信息

APT(Advanced Persistent Threat,高级持续性威胁)组织,通常从事间谍活动,套取情报、窃取敏感信息,以下是这些组织结构的信息

APT组织名称恶意域名恶意IP地址首次出现攻击动机攻击来源目标地域涉及行业详情描述
Longhornshayalyawm.com
www.shayalyawm.com
www.mdeastserv.com
babmaftuh.com
alwatantrade.com
elehenishing.com
www.alwatantrade.com
www.babmaftuh.com
wnupdnew.com
almawaddrial.com
mdeastserv.com
img.dealscienters.net
teknikgorus.com
www2.uaefinance.org
cdn.fmlstatic.com
2009信息窃取与间谍活动美国中国、欧洲航天、航空、教育行业、能源行业、金融行业、政府、IT行业、石油天然气、科研、通信行业Longhorn,美国中央情报局(CIA)背景,对我国进行的长达十一年的网络攻击渗透,我国航空航天、科研机构、石油行业、大型互联网公司以及政府机构等多个单位均受到影响。其核心武器文件使用了维基解密曝光的美国中央情报局CIA网络情报中心的文件中的“Vault7(穹窿7)”项目。
方程式www.config.getmyip.com
arm2pie.com
www.computertechanalysis.com
ww3.computertechanalysis.com
config.getmyip.com
computertechanalysis.com
hostmaster.arm2pie.com
timelywebsitehostesses.com
micraamber.net
hostmaster.quickupdateserv.com
www.slayinglance.com
hostmaster.meevehdar.com
www.havakhosh.com
rubriccrumb.com
techsupportpwr.com
rapidlyserv.com
havakhosh.com
mimicrice.com
charging-technology.com
industry-deals.com
2001信息窃取与间谍活动、破坏活动美国阿富汗、孟加拉、比利时、巴西、厄瓜多尔、法国、德国、香港、印度、伊朗、伊拉克、以色列、哈萨克斯坦、黎巴嫩、利比亚、马来西亚、马里、墨西哥、尼日利亚、巴基斯坦、巴勒斯坦、菲律宾、卡塔尔、俄罗斯、新加坡、索马里、南非、苏丹、瑞士、叙利亚、阿拉伯联合酋长国、英国、美国、也门航天、国防、能源行业、政府、媒体行业、石油天然气、通信行业、物流行业方程式组织是一个由卡巴斯基实验室于2015年发现并曝光的尖端网络犯罪组织,该组织被称为世界上最尖端的网络攻击组织之一,同震网(Stuxnet)和火焰(Flame)病毒的制造者紧密合作且在幕后操作。方程式组织的名字来源于他们在网络攻击中对使用强大加密方法的偏好。其与美国国家安全局(NSA)存在联系。并且该组织使用的C2地址早在1996年就被注册,暗示了其存在了20年之久。该组织实力雄厚,在漏洞方面具有绝对优势,并且拥有强大的武器库。涉及的行业包括政府和外交机构、电信、航天、能源、核研究、军事、纳米技术、宗教活动家、媒体、运输业、金融行业等。
索伦之眼wildhorses.awardspace.info
j.bikessport.com
csrv.rapidcomments.com
ww1.rapidcomments.com
00000h.omagsadoabtaa1yaeaahmabraaxaam.a.bikessport.com
flowershop22.110mb.com
rapidcomments.com
www.rapidcomments.com
www.bikessport.com
www.myhomemusic.com
00004h.abqqa3aaneag4adoaaxaacqabiaeqa.a.bikessport.com
csrv01.rapidcomments.com
a.bikessport.com
agc9221.bikessport.com
bikessport.com
dievinothek.net
chirotherapie.at
mbit-web.com
weingut-haider-malloth.at
mail.mbit-web.com
2011信息窃取与间谍活动美国比利时、中国、伊朗、俄罗斯、卢旺达、瑞典国防、大使馆、金融行业、政府、通信行业、Scientific research centers索伦之眼为2016年赛门铁克披露的一个针对俄罗斯、中国等国家发动高级攻击的APT组织,其主要以窃取敏感信息为主要目的,活动最早可追溯到2010年。国内受影响用户包括科研教育、军事、政府机构、基础设施、水利、海洋等行业领域。专注于收集高价值情报。综合能力不弱于震网、火焰等。
盲眼鹰javierandresparramojica09.duckdns.org
pruebaremc.duckdns.org
www.pruebaremc.duckdns.org
cepeda.linkpc.net
www.small-business-solutions.biz
sucursalpersonastransaccionesbancolombialccomvaliddo.small-business-solutions.biz
sucursapersonastransacionebancolombiacom.small-business-solutions.biz
sucursalpersonastransaccionesbancolombiacomval.small-business-solutions.biz
sucursapersonastransaccionebancolombiacom.small-business-solutions.biz
sucursapersonastransacionebancolombiaccomn.small-business-solutions.biz
201.219.204.73
128.90.115.100
2018信息窃取与间谍活动拉丁美洲哥伦比亚金融行业、政府、大型国内公司和跨国公司分支机构从2018年4月起至今,一个疑似来自南美洲的APT组织盲眼鹰针对哥伦比亚政府机构和大型公司(金融、石油、制造等行业)等重要领域展开了有组织、有计划、针对性的长期不间断攻击。
APT33www.googlmail.net
www.becomestateman.com
www.akadnsplugin.com
akadnsplugin.com
support-newyork.com
www.support-newyork.com
www.publicsecur.com
publicsecur.com
www.service-houston.com
service-houston.com
www.rosyblue.co.th
mail.rosyblue.co.th
mail2.rosyblue.co.th
rosyblue.co.th
dyncorp.ddns.net
sabic-co.ddns.net
chromup.com
www.ngaaksa.ga
service-avant.com
securityupdated.com
91.134.187.272013信息窃取与间谍活动、破坏活动伊朗伊朗、伊拉克、以色列、沙特阿拉伯、韩国、英国、美国航空、国防、教育行业、能源行业、金融行业、政府、医疗卫生行业、高科技、制作业、媒体行业、石油化工业、其他APT33的活动踪迹至少可以追溯至2013年,该组织很可能是为伊朗政府工作。攻击目标主要是总部位于重点关注美国、沙特阿拉伯和韩国的组织,这些组织跨越多个行业,观察APT33以往的活动可知,它尤其关注航空航天(包括军事的和商业的)和与石油化工生产有关的能源部门的组织,这表明APT33的目的可能是获取对政府或军事有益的战略情报。APT 33似乎从2017年起就与OilRig,APT 34,Helix Kitten,Chrysene组织密切相关。
APT35jamaatforummah.com
jamaatforallah.com
jamaat-ul-islam.com
jamatapplication.com
cpcontacts.soasradio.org
webmail.soasradio.org
cpanel.soasradio.org
webdisk.soasradio.org
soasradio.org
cpcalendars.soasradio.org
mail.soasradio.org
www.soasradio.org
spam.apply-jobs.com
www.apply-jobs.com
mx.apply-jobs.com
apply-jobs.com
mail.apply-jobs.com
1drv.cyou
1drv.xyz
1drv.casa
1drv.surf
1drv.icu
1drv.live
www.1drv.live
1drv.online
account-yahoomail.com
products-symantec.com
kristinaqueen.com
shopforeplay.com
readersdigest.top
cpanel.maxenservices.com
autodiscover.maxenservices.com
mail.maxenservices.com
www.maxenservices.com
maxenservices.com
webdisk.maxenservices.com
noreplyservice.top
talknews.co
whatsapp-security.net
trust-web.link
url-browser.com
office.live.authenticationlogin.com
authenticationlogin.com
drive.google.authenticationlogin.com
www.authenticationlogin.com
gittigidiyor-testt.authsecurelogin.com
babalar-gunu.authsecurelogin.com
foldortravel111.authsecurelogin.com
login-hesabiniza-giris-yapildi.authsecurelogin.com
netflixofficial.authsecurelogin.com
185.141.63.8
139.59.46.154
134.19.188.242
134.19.188.243
134.19.188.244
109.202.99.98
54.37.164.254
134.19.188.246
213.152.176.205
185.23.214.188
213.152.176.206
146.59.185.15
146.59.185.19
185.23.214.187
95.216.230.247
51.89.237.233
185.141.63.162
185.141.63.160
51.255.157.110
185.141.63.170
185.141.63.156
51.89.237.235
185.141.63.135
185.141.63.161
51.38.87.199
185.141.63.157
51.89.237.234
2013信息窃取与间谍活动伊朗阿富汗、加拿大、埃及、伊朗、伊拉克、以色列、约旦、科威特、摩洛哥、巴基斯坦、沙特阿拉伯、西班牙、叙利亚、土耳其、阿拉伯联合酋长国、英国、委内瑞拉、也门国防、能源行业、金融行业、政府、医疗卫生行业、IT行业、石油天然气、工程技术、通信行业Magic Hound是一个由伊朗赞助的威胁组织,主要在中东活跃,该组织最早的活动可追溯到2014年。Magic Hound主要针对能源、政府和技术部门的组织,这些组织都在沙特阿拉伯有业务基础,或在沙特阿拉伯有商业利益。
Magic Hound与{{Rocket Kitten,Newscaster,NewsBeef}}和{ITG18}的一些基础设施有重叠。
拍拍熊mmksba.simple-url.com
mmksba.dyndns.org
webhoptest.webhop.info
new2019.mine.nu
adamnews.for.ug
mslove.mypressonline.com
go.sawarim.com
www.sawarim.com
sawarim.com
pubs.sawarim.com
download3.pubs.sawarim.com
go.sawarim.xyz
pubs.sawarim.xyz
sawarim.xyz
go.sawar.im
pubs.sawar.im
www.sawar.im
download3.pubs.sawar.im
sawar.im
isdarats.com
sorry.duckdns.org
samd1.duckdns.org
samd2.duckdns.org
btcaes2.duckdns.org
www.sawarim.pw
www.androids-app.com
sawarim.net
www.sawarim.net
go.sawarim.net
snapcard.argia.co.id
androids-app.com
mail.androids-app.com
da3da3.duckdns.org
www.samd1.duckdns.org
www.da3da3.duckdns.org
www.btcaes2.duckdns.org
www.sorry.duckdns.org
www.isdarats.pw
isdarats.pw
144.91.65.1012015信息窃取与间谍活动叙利亚埃及、以色列、伊斯兰国家国防拍拍熊是一个中东地区背景,使用阿拉伯语且有政治动机的APT攻击组织,自2015年被发现至今,频繁进行有组织、有计划、针对性的不间断攻击,特别是针对巴勒斯坦、以色列、埃及等中东动乱国家进行攻击。该组织一直很活跃,典型的攻击目标包括政府机构、武装组织领导、媒体人士、政治活动家和外交官等。使用的木马采用了自解压、VB脚本和PowerShell无文件落地等多层技术隐藏木马实现规避杀毒软件查杀,以提高攻击的隐蔽性和持久性。
军刀狮mx.dlgmail.com
dlgmail.com
mail.dlgmail.com
www.dlgmail.com
www.dldocuments.com
dldocuments.com
mail.dldocuments.com
www.rhubarb2.com
adobeseupdater.com
www.dlstubes.com
www.dlstube.com
androidupdaters.com
solar64.xp3.biz
www.googleupdators.com
rhubarb2.com
entekhab10.xp3.biz
api.cnetdown.com
dlstube.com
adobeactiveupdate.com
mail.dlstubes.com
www.askdownloaders.adobeactiveupdates.com
googleupdators.com
mail.dlstube.com
mail.rhubarb3.com
mta-sts.mail.androidupdaters.com
adobeactiveupdates.com
mail.androidupdaters.com
www.rhubarb3.com
mail.googleupdators.com
mail.adobeactiveupdates.com
mail.adobeactiveupdate.com
www.androidupdaters.com
ww.rhubarb2.com
askdownloaders.adobeactiveupdates.com
www.adobeactiveupdates.com
dlstubes.com
showroommontorgueil.com
alnaharegypt.news
119.8.16.232015信息窃取与间谍活动未知埃及、伊拉克、伊朗、约旦、科威特、黎巴嫩、摩洛哥、库尔德斯坦媒体行业
APT29归属于俄罗斯,政府背景,和俄罗斯一个或多个情报机构有关,其收集情报以支持外交和安全政策做决定,至少自2008年开始就已经运作。APT29似乎针对不同的目标项目拥有不同的小组。其目标包括军事、政府、能源、外交、电信等。主要针对西方政府和相关组织,例如政府部门和机构,政治智囊团和政府分包商;还包括独立国家联合体成员国的政府;亚洲、非洲和中东国家的政府;与车臣极端主义有关的组织;以及从事管制药物和毒品非法贸易的俄罗斯发言人等。+I9
人面狮ww2.wooddown.com
ww92.wooddown.com
www.wooddown.com
wooddown.com
hsbc-auth-2.ru
www.ru-id21387192837.com
ru-id21387192837.com
hjhqmbxyinislkkt.1j9r76.top
p27dokhpz2n7nvgr.1lseoi.top
p220333.infopicked.com
p421803.infopicked.com
p376122.infopicked.com
p329076.infopicked.com
beta.infopicked.com
p245721.infopicked.com
p25433.infopicked.com
p377977.infopicked.com
p421218.infopicked.com
p421832.infopicked.com
p381245.infopicked.com
p230710.infopicked.com
p251644.infopicked.com
p178775.infopicked.com
p377843.infopicked.com
p265797.infopicked.com
p330242.infopicked.com
p291922.infopicked.com
p328123.infopicked.com
p52929.infopicked.com
p321539.infopicked.com
p34008.infopicked.com
p389666.infopicked.com
p328123.infopicked.com
p424846.infopicked.com
p417936.infopicked.com
p400089.infopicked.com
p368417.infopicked.com
p374865.infopicked.com
ngp4.infopicked.com
p102226.infopicked.com
p309496.infopicked.com
p226681.infopicked.com
p340910.infopicked.com
ngp1.infopicked.com
p397008.infopicked.com
p411324.infopicked.com
p394129.infopicked.com
p420231.infopicked.com
p131675.infopicked.com
p277439.infopicked.com
91.120.216.0
91.119.216.0
91.121.216.0
91.121.40.141
13.90.196.81
91.218.114.29
111.67.16.202
194.31.59.5
37.228.151.133
91.239.24.70
91.239.24.0
91.120.56.0
91.121.56.0
176.121.14.95
87.98.148.0
213.32.66.16
87.96.148.0
87.97.148.0
185.67.2.156
185.102.136.67
2014信息窃取与间谍活动未知埃及、以色列人面狮行动是活跃在中东地区的网络间谍活动,主要目标可能涉及到埃及和以色列等国家的不同组织,目的是窃取目标敏感数据信息。活跃时间主要集中在 2014 年 6 月到 2015年 11 月期间,相关攻击活动最早可以追溯到 2011 年 12 月。主要采用利用社交网络进行水坑攻击。
双尾蝎haleymartinez.me
formore.for-more.biz
mmksba.simple-url.com
mmksba.dyndns.org
webhoptest.webhop.info
new2019.mine.nu
mmksba100.linkpc.net
fateh.aba.ae
martnews.aba.ae
adamnews.for.ug
www.postmail.website
mslove.mypressonline.com
postmail.website
nancy-mulligan.live
jamesmontano.life
apps-market.site
amanda-hart.website
www.nicoledotson.icu
nicoledotson.icu
tatsumifoughtogre.club
benyallen.club
robert-keegan.life
www.benyallen.club
www.robert-keegan.life
chad-jessie.info
mail.samwinchester.club
www.samwinchester.club
mail.nicoledotson.icu
samwinchester.club
www.tatsumifoughtogre.club
cpanel.nicoledotson.icu
www.baldwin-gonzalez.live
baldwin-gonzalez.live
www.escanor.live
escanor.live
www.charmainellauzier.host
gonzalez-anthony.info
gallant-william.icu
www.jaime-martinez.info
ansonwhitmore.live
doloresabernathy.icu
krasil-anthony.icu
malpas-west-rook.live
charmainellauzier.host
jaime-martinez.info
judystevenson.info
gatelykimble.icu
www.gatelykimble.icu
whispers-talk.site
mail.whispers-talk.site
2011信息窃取与间谍活动加沙阿尔巴尼亚、阿尔及利亚、澳大利亚、比利时、波黑、加拿大、中国、塞浦路斯、丹麦、埃及、法国、德国、希腊、匈牙利、印度、伊朗、伊拉克、以色列、意大利、日本、约旦、科威特、黎巴嫩、利比亚、马里、毛里塔尼亚、墨西哥、摩洛哥、荷兰、挪威、巴基斯坦、巴勒斯坦、葡萄牙、卡塔尔、罗马尼亚、俄罗斯、沙特阿拉伯、韩国、苏丹、瑞典、叙利亚、中国台湾、土耳其、阿拉伯联合酋长国、乌克兰、美国、乌兹别克斯坦、也门、津巴布韦基础设施、国防、教育行业、政府、媒体行业、物流行业2016年5月起至今,双尾蝎组织对巴勒斯坦教育机构、军事机构等重要领域展开了有组织、有计划、有针对性的长时间不间断攻击。攻击平台主要包括Windows与Android,攻击范围主要为中东地区。使用的后门程序主要伪装成文档、播放器、聊天软件以及一些特定领域常用软件,通过鱼叉或水坑等攻击方式配合社会工程学手段进行渗透,向特定目标人群进行攻击。
黄金鼠chat.guardz.ru
chatmode.us.to
chat.queerline.de
secureonline.info.tm
chatsecurelite.us.to
basharalassad1sea.noip.me
shamiamouhesni.mm.my
chatsecurelite.uk.to
bashalalassad1sea.noip.me
telegram.strangled.net
telgram.strangled.net
android.nard.ca
94.177.251.146
2014
信息窃取与间谍活动叙利亚叙利亚、中东黄金鼠组织长期针对叙利亚等阿拉伯国家进行网络攻击。攻击平台从开始的Windows平台逐渐扩展至Android平台。恶意样本主要伪装成聊天软件及一些特定领域常用软件,通过水坑攻击方式配合社会工程学手段进行渗透,向特定目标人群进行攻击。该组织在攻击过程中使用了大量的资源,说明其资源丰富。并且他们的攻击主要以窃取信息为主的间谍活动。
OilRigofflineearthquake.com
www.offlineearthquake.com
klwebsrv.com
acceptplan.com
www.importantgate.com
ns1.importantgate.com
importantgate.com
ns2.importantgate.com
hopeisstamina.com
flexiblepaper.com
donotfollowmeass.com
cannibalwoman.com
unsecuredstorage.com
confusedtown.com
forecasterman.com
crucialanswer.com
metroupload.com
endlesspromises.com
severalfissures.com
pluginmain.com
yciwqtaleh1wegaketpmqtahecnuetwb.dnsstatus.org
yciwztanet1kcpnjds1wepwacqmz6frgxqlzutrxsmuux.defenderlive.com
yciwftnnemojsgnpet6sqtahecnuetwb.dnsstatus.org
yciwztpnec1jebaheqomqtahecnuetwb.dnsstatus.org
www.sarmsoftware.com
sarmsoftware.com
www.microsoft-publisher.com
mail.touch.com.lb
www.cannabispropertybrokers.com
colchoeslowcost.pt
poptateseatery.com
cannabispropertybrokers.com
mail.bestelectricpanels.com
smtp.opw-global.com
mail.dledcardetails.pt
mail.loanabank.com
opw-global.com
digi.shanx.icu
ns1.windowscredcity.com
aa1vs.windowscredcity.com
aa1xm.windowscredcity.com
ns2.windowscredcity.com
aa1ox.windowscredcity.com
aa1yr.windowscredcity.com
aa1on.windowscredcity.com
windowscredcity.com
emfz2lt_kk6d8lx4u0zosqjpq62rrsr3aw6unq74db0-.dth7.tacsent.com
ns2.tacsent.com
www.rsshay.com
rsshay.com
23.19.58.18
23.19.58.17
96.9.255.246
48.32.32.32
35.35.48.110
185.205.210.46
95.179.177.157
46.30.189.92
46.105.221.247
2014信息窃取与间谍活动伊朗阿塞拜疆、伊拉克、以色列、科威特、黎巴嫩、毛里求斯、巴基斯坦、卡塔尔、沙特阿拉伯、土耳其、阿拉伯联合酋长国、英国、美国航空、化工、教育行业、能源行业、金融行业、政府、高科技、餐饮行业、石油天然气、通信行业OilRig组织于2016年首次被 Palo Alto Networks威胁情报小组 Unit 42发现,该组织至少从2014年开始运营。OilRig攻击的组织机构甚多,覆盖行业甚广,从政府、媒体、能源、交通、物流一直到技术服务供应商。
研究人员认为,OilRig组织主要集中在有利于伊朗民族国家利益的侦察工作上,并评估APT34代表伊朗政府工作,其基础设施细节包括提及伊朗、使用伊朗基础设施以及符合民族国家利益的目标。
MuddyWatertfu.ae
snort.lauradesnoyers.com
oauth-services.live
webmail.lax.co.il
office.otzo.com
bonisa.ir
www.advanceorthocenter.com
advanceorthocenter.com
mail.advanceorthocenter.com
www.beerech.pazazta.com
www.criety.pazazta.com
opalplastic.pazazta.com
instmech.uz
cpanel.ektamservis.com
webmail.ampacindustries.com
fws-ltd.pazazta.com
www.super.assignmenthelptoday.com
cpanel.ankara24saatacikcicekci.com
mail.ankara24saatacikcicekci.com
wadigroup.adibf.ae
wadigroup.adibf.ae
test.plet.dk
cpanel.ampacindustries.com
mail.annapolisfirstlimo.com
mail.foura.biz
mail.gtme.ae
blogabout.pazazta.com
annapolisfirstlimo.com
criety.pazazta.com
ns2.instmech.uz
webdisk.ksahosting.net
gyrotonic.pazazta.com
annapolisfirstlimo.com
cpanel.ksahosting.net
beerech.pazazta.com
www.kadmon-brincom.pazazta.com
mailgw.andreasiegl.com
mail.instmech.uz
smtp1.andreasiegl.com
webmail.assignmenthelptoday.com
hejokja.plet.dk
mail.pazazta.com
mail.ksahosting.net
ledsgo.pazazta.com
tzaadim.pazazta.com
www.wadigroup.adibf.ae
www.rofa.andreasiegl.com
www.ampacindustries.com
www.andreabelfi.com
www.assignmenthelptoday.com
185.183.96.28
87.236.212.184
23.95.215.100
23.94.50.197
185.183.98.242
80.80.163.182
103.13.67.4
91.187.114.210
80.90.87.201
192.210.214.83
107.173.141.114
107.173.181.139
107.173.141.103
107.175.0.140
185.183.96.11
107.172.97.172
185.141.27.156
104.168.14.116
185.82.202.70
185.82.202.66
185.183.96.61
212.143.154.158
37.120.146.73
194.36.189.182
24.244.207.36
92.223.89.200
173.205.92.72
103.205.140.177
5.201.174.82
198.16.66.43
87.113.216.57
2017信息窃取与间谍活动伊朗
阿富汗、亚美尼亚、奥地利、阿塞拜疆、巴林、白俄罗斯、埃及、格鲁吉亚、印度、伊朗、伊拉克、以色列、约旦、黎巴嫩、马里、荷兰、阿曼、巴基斯坦、俄罗斯、沙特阿拉伯、塔吉克斯坦、突尼斯、土耳其、阿拉伯联合酋长国、乌克兰、美国
国防、教育行业、能源行业、金融行业、食品与农业、游戏行业、政府、医疗卫生行业、高科技、IT行业、媒体行业、非政府组织、石油天然气、通信行业、物流行业
MuddyWater 是伊朗的 APT 组织,主要针对中东地区、欧洲和北美地区,目标主要是政府、电信和石油部门, 具有强烈的政治目的。 该APT组织显著的攻击特点为善于利用Powershell等脚本后门,通过Powershell在内存中执行,可以减少恶意文件落地执行。据悉,该组织自2017年11月被曝光以来,不但没有停止攻击,反而更加积极地改进攻击武器,在土耳其等国家持续活跃。
Turlasmtp.leifhelt.com
h.stockovernolg.com
www.something.com
check3.server.anitgame.officeweb.info
mail.cavilum.cl
tmp.cyberium.cc
www.libreo.club
smtp.evapimplogs.com
t1.xofinity.com
xfyubqmldwvuyar.yt
www.xfyubqmldwvuyar.yt
xsso.kpybuhnosdrm.in
kpybuhnosdrm.in
www.kpybuhnosdrm.in
andronmatskiv20.sytes.net
pashamasha.top
www.balletmaniacs.com
www.markham-travel.com
zebra.wikaba.com
mail.markham-travel.com
markham-travel.com
cpanel.belcollegium.org
old.belcollegium.org
www.belcollegium.org
belcollegium.org
www.berlinguas.com
wp.soligro.com
aiisa.am
soligro.com
www.soligro.com
shop.soligro.com
www.armconsul.ru
skategirlchina.com
worldnews.ath.cx
intellicast.ath.cx
euronews.ath.cx
mightydollars.xyz
tangotangocash.com
e17794808ecfe7e1.xyz
www.thecreativebharat.com
mail.mehatinfo.com
check2.server.anitgame.officeweb.info
cooljin100.ddns.net
dream.pics
www.dream.pics
gn.viper.cool
alhabib4rec.duckdns.org
alhabib4rec.ddns.net
alhabib4rec.freeddns.org
gncmdstore.com
91.193.75.22
47.95.219.96
80.211.181.77
203.248.21.84
92.63.97.69
185.141.62.32
85.222.235.156
212.21.52.110
134.209.222.206
37.59.60.199
47.105.143.181
116.85.54.145
84.200.2.12
165.232.122.138
138.201.44.30
185.106.122.113
62.113.112.10
94.249.192.182
141.255.144.19
193.109.84.21
1996信息窃取与间谍活动俄罗斯阿富汗、阿尔及利亚、亚美尼亚、澳大利亚、奥地利、阿塞拜疆、白俄罗斯、比利时、玻利维亚、博茨瓦纳、巴西、中国、智利、丹麦、厄瓜多尔、爱沙尼亚、芬兰、法国、格鲁吉亚、德国、香港、匈牙利、印度、印尼、伊朗、伊拉克、意大利、牙买加、约旦、哈萨克斯坦、吉尔吉斯斯坦、科威特、拉脱维亚、墨西哥、荷兰、巴基斯坦、巴拉圭、波兰、卡塔尔、罗马尼亚、俄罗斯、塞尔维亚、西班牙、沙特阿拉伯、南非、瑞典、瑞士、叙利亚、塔吉克斯坦、泰国、突尼斯、土库曼斯坦、英国、乌克兰、乌拉圭、美国、乌兹别克斯坦、委内瑞拉、越南、也门航天、国防、教育行业、大使馆、能源行业、政府、高科技、IT行业、媒体行业、非政府组织、制药、科研、零售业Turla是一个总部位于俄罗斯的威胁组织,自2004年以来,已经在45个国家/地区感染了受害者,其中包括政府,大使馆,军队,教育,研究和制药公司等行业。2015年中期,活动增多。 Turla以进行水坑和鱼叉式钓鱼运动以及利用内部工具和恶意软件而闻名。 Turla的间谍平台主要用于Windows机器,但也被用于对抗macOS和Linux机器。
Cozy Bear(APT29)www.wilcarobbe.com
xsso.wilcarobbe.com
wilcarobbe.com
xsso.ritsoperrol.ru
littjohnwilhap.ru
ns4.wilcarobbe.com
ns3.wilcarobbe.com
xsso.littjohnwilhap.ru
ritsoperrol.ru
supportcdn.web.app
techiefly.com
www.theadminforum.com
theadminforum.com
pcmsar.net
www.pcmsar.net
content.pcmsar.net
financialmarket.org
cross-checking.com
www.financialmarket.org
emergencystreet.com
www.emergencystreet.com
www.cross-checking.com
humanitarian-forum.web.app
security-updater.web.app
cdnappservice.web.app
aimsecurity.net
www.aimsecurity.net
logicworkservice.web.app
supportcdn-default-rtdb.firebaseio.com
stsnews.com
www.stsnews.com
security-updater-default-rtdb.firebaseio.com
humanitarian-forum-default-rtdb.firebaseio.com
newsplacec.com
eventbrite-com-default-rtdb.firebaseio.com
holescontracting.com
www.holescontracting.com
cdnappservice.firebaseio.com
language.wikaba.com
solution.instanthq.com
refreshauthtoken-default-rtdb.firebaseio.com
cpcontacts.worldhomeoutlet.com
whm.worldhomeoutlet.com
webdisk.worldhomeoutlet.com
webmail.worldhomeoutlet.com
cpcalendars.worldhomeoutlet.com
www.worldhomeoutlet.com
worldhomeoutlet.com
cpanel.worldhomeoutlet.com
mail.worldhomeoutlet.com
111.90.151.120
86.106.131.155
193.36.119.184
89.33.246.82
152.44.45.10
141.255.164.36
152.89.160.81
116.202.251.5
193.34.167.162
45.124.132.106
190.97.165.171
45.124.132.10
37.120.247.163
178.157.13.168
193.36.119.162
91.132.139.195
31.13.195.210
116.202.251.49
169.239.129.121
111.90.147.248
103.193.4.101
141.255.164.40
141.98.214.14
220.158.216.139
141.255.164.11
190.97.165.204
185.140.55.35
169.239.128.132
51.89.115.119
164.132.135.102
51.89.115.117
193.36.116.119
213.227.154.58
185.207.205.174
185.99.133.226
192.99.221.77
83.171.237.173
119.81.184.11
103.216.221.19
192.48.88.107
103.253.41.102
141.98.212.55
178.211.39.6
74.72.74.142
5.61.57.152
23.106.61.74
146.0.32.161
130.0.235.92
78.249.69.35
169.239.128.110
2008信息窃取与间谍活动俄罗斯澳大利亚、阿塞拜疆、白俄罗斯、比利时、巴西、保加利亚、加拿大、车臣共和国、中国、塞浦路斯、捷克、法国、格鲁吉亚、德国、匈牙利、印度、爱尔兰、以色列、日本、哈萨克斯坦、吉尔吉斯斯坦、拉脱维亚、黎巴嫩、立陶宛、卢森堡、墨西哥、黑山、荷兰、新西兰、波兰、葡萄牙、罗马尼亚、俄罗斯、斯洛文尼亚、西班牙、韩国、土耳其、乌干达、英国、乌克兰、美国、乌兹别克斯坦、北约国防、能源行业、政府、执法部门、媒体行业、非政府组织、制药、通信行业、物流行业、智囊团
APT29归属于俄罗斯,政府背景,和俄罗斯一个或多个情报机构有关,其收集情报以支持外交和安全政策做决定,至少自2008年开始就已经运作。APT29似乎针对不同的目标项目拥有不同的小组。其目标包括军事、政府、能源、外交、电信等。主要针对西方政府和相关组织,例如政府部门和机构,政治智囊团和政府分包商;还包括独立国家联合体成员国的政府;亚洲、非洲和中东国家的政府;与车臣极端主义有关的组织;以及从事管制药物和毒品非法贸易的俄罗斯发言人等。
奇幻熊www.wilcarobbe.com
xsso.wilcarobbe.com
wilcarobbe.com
xsso.ritsoperrol.ru
littjohnwilhap.ru
ns4.wilcarobbe.com
ns3.wilcarobbe.com
xsso.littjohnwilhap.ru
ritsoperrol.ru
w.huikin.host
www.getstatpro.com
getstatpro.com
updaterweb.com
www.apple-iclods.org
www.apple-checker.org
apple-uptoday.org
apple-checker.org
www.apple-uptoday.org
apple-iclods.org
www.remotepx.net
remotepx.net
xmr.wulifang.nl
www.smithsreddogranch.com
iatassl-telechargementsecurity.duckdns.org
kasperskylab.ignorelist.com
googlechromeupdater.twilightparadox.com
librework.ddns.net
bitwork.ddns.net
wmdmediacodecs.com
www.wmdmediacodecs.com
tnsc.webredirect.org
e2e-7-238.ssdcloudindia.net
www.snapdragonsociety.com
www.indecisiveradio.com
www.laszlotamas.net
myaccountsgoogle.com
www.myaccountsgoogle.com
mail.myaccountsgoogle.com
mx1.addmereger.com
www.addmereger.com
addmereger.com
mx2.addmereger.com
contentdeliverysrv.net
apple-security-device.com
admin.macbookas.com
macbookas.com
www.macbookas.com
www.samsungas.com
samsungas.com
www.hansungas.com
169.239.129.121
146.185.253.132
185.141.63.47
192.145.125.42
158.58.173.40
77.83.247.81
195.154.250.89
93.115.28.161
185.233.185.21
188.214.30.76
193.29.187.60
45.6.16.68
95.141.36.180
80.255.3.94
194.33.40.72
5.149.253.45
23.227.196.215
45.32.129.185
103.41.177.43
45.63.49.64
86.106.93.111
89.249.65.234
176.31.225.204
220.158.216.127
5.226.139.30
34.243.239.199
195.191.235.155
193.56.28.25
89.37.226.148
80.90.39.24
185.205.209.172
194.32.78.245
31.7.62.103
82.118.242.171
185.86.149.125
185.221.202.36
185.234.52.168
81.19.210.149
172.111.161.232
185.245.85.178
185.227.68.214
89.238.178.14
5.104.105.195
185.216.35.26
89.34.111.160
2004信息窃取与间谍活动俄罗斯阿富汗、亚美尼亚、澳大利亚、阿塞拜疆、白俄罗斯、比利时、巴西、保加利亚、加拿大、智利、中国、克罗地亚、塞浦路斯、法国、格鲁吉亚、德国、匈牙利、印度、伊朗、伊拉克、日本、约旦、哈萨克斯坦、拉脱维亚、马来西亚、墨西哥、蒙古国、黑山、荷兰、挪威、巴基斯坦、波兰、罗马尼亚、斯洛伐克、南非、韩国、西班牙、瑞典、瑞士、塔吉克斯坦、泰国、土耳其、乌干达、阿拉伯联合酋长国、英国、乌克兰、美国、乌兹别克斯坦、北约、亚太经合组织和欧安组织
汽车行业、航空、化工、建造业、国防、教育行业、大使馆、工程行业、金融行业、政府、医疗卫生行业、工业、IT行业、媒体行业、非政府组织、石油天然气、智囊团、情报机构
“奇幻熊”(Fancy Bear,T-APT-12)组织,也被称作APT28, Pawn Storm, Sofacy Group, Sednit或STRONTIUM,是一个长期从事网络间谍活动并与俄罗斯军方情报机构相关的APT组织,从该组织的历史攻击活动可以看出,获取国家利益一直是该组织的主要攻击目的。据国外安全公司报道,该组织最早的攻击活动可以追溯到2004年至2007年期间。
FIN7civilizationidium.com
www.rnkj.pw
www.yqox.pw
amusient.com
nonremittalable.com
pigeonious.com
executivance.com
injuryless.com
migrationable.com
shareholderma.com
countrysidable.com
associationable.com
cooperativology.com
domestickum.com
spectrummel.com
indulgology.com
www.amusient.com
www.conglomeratoid.com
hemispherious.com
conglomeratoid.com
jurisdictionient.com
dullism.com
opposedent.com
fidespair.com
baradical.com
battlefieldant.com
keywordsance.com
brown-formam.com
myofibrilliance.com
richesk.com
unitious.com
bank4america.com
browm-forman.com
deprivationant.com
chyprediction.com
capermission.com
eyebrowaholic.com
offspringance.com
cannstattraction.com
shareholderery.com
discriminatoid.com
landownerable.com
www.landownerable.com
uprestrice.com
www.uprestrice.com
blankance.com
doddyfire.dyndns.org
hooferry.com
primeautorecon.com
dns1.ctxdns.org
194.165.16.134
194.165.16.113
195.54.162.79
31.184.234.66
179.43.140.82
94.140.120.132
195.123.234.24
37.1.210.119
185.225.17.78
185.33.87.24
195.123.243.169
195.123.240.46
185.16.40.108
108.170.20.89
37.252.4.131
45.133.203.121
195.123.214.181
185.33.84.43
136.244.81.250
108.61.148.97
204.155.31.167
91.192.100.62
195.123.227.40
85.93.2.73
85.93.2.149
85.93.2.148
172.86.75.175
2013金融犯罪俄罗斯澳大利亚、法国、马耳他、英国、美国赌博、建造业、教育行业、能源行业、金融行业、政府、高科技、餐饮行业、零售业、工程技术、通信行业、物流行业FIN7是一个以经济收益为动机的威胁组织,FIN7组织以钓鱼邮件为攻击渠道,主要对美国金融机构渗透攻击。据称已经从世界各地的公司窃取了超过10亿美元。FIN7使用精密的鱼叉式网络钓鱼邮箱,来说服目标对象下载附件,然后透过附件,让其公司网络遭到恶意软件的感染。在FIN7使用的恶意软件中,最常见的是Carbanak恶意软件的特制版本,已在针对银行的多次攻击中使用。
摩诃草hewle.kielsoservice.net
nakamini.ddns.net
dingolfainpre.com
www.dingolfainpre.com
polyinc.live
webmail.polyinc.live
www.mail.polyinc.live
webdisk.polyinc.live
cpcontacts.polyinc.live
cpcalendars.polyinc.live
mail.polyinc.live
cpanel.polyinc.live
www.polyinc.live
g-img.no-ip.biz
webmail.cnmailservice.com
www.cnmailservice.com
ns1.cnmailservice.com
cnmailservice.com
mail.cnmailservice.com
ns2.cnmailservice.com
adrev22.ddns.net
webdisk.istanbuldanobetcieczaneler.xyz
istanbuldanobetcieczaneler.xyz
www.istanbuldanobetcieczaneler.xyz
autodiscover.istanbuldanobetcieczaneler.xyz
cpanel.istanbuldanobetcieczaneler.xyz
webmail.istanbuldanobetcieczaneler.xyz
mail.istanbuldanobetcieczaneler.xyz
newagenias.com
www.newagenias.com
synchronize.3utilities.com
system-administratorr.000webhostapp.com
jinkazama.net
kyzosune.net
www.kyzosune.net
qwes.crabdance.com
altered.twilightparadox.com
wase.chickenkiller.com
megamediafile.com
ftp.forest-fire.net
macsol.org
extrememachine.org
www.extrememachine.org
cobrapub.com
fistoffury.net
hardwaregeeks.eu
ozonerim.net
www.cloudmailqq.com
cloudmailqq.com
secuina.net
142.202.191.234
142.202.191.236
68.183.214.30
64.227.65.60
34.222.222.126
78.108.216.13
194.5.249.163
195.123.240.6
31.214.240.203
80.82.68.132
62.108.35.215
62.109.13.184
85.204.116.188
194.87.145.86
80.82.68.32
185.14.31.135
217.12.209.44
27.124.7.117
107.155.137.18
82.146.37.128
45.43.192.172
46.166.163.242
212.129.13.110
185.157.78.135
176.107.181.213
139.28.36.38
185.29.10.115
23.106.123.87
212.114.52.148
185.203.119.184
188.241.68.127
91.211.88.71
2013信息窃取与间谍活动印度孟加拉、中国、以色列、日本、巴基斯坦、韩国、斯里兰卡、英国、美国、中东和东南亚航空、国防、能源行业、金融行业、政府、IT行业、媒体行业、非政府组织、制药、智囊团Patchwork组织, 是一个来自于南亚地区的境外APT组织。该组织最早由Norman安全公司于2013年曝光,随后又有其他安全厂商持续追踪并披露该组织的最新活动,但该组织并未由于相关攻击行动曝光而停止对相关目标的攻击。白象APT组织主要针对中国、巴基斯坦等亚洲地区国家进行网络间谍活动,其中以窃取敏感信息为主.相关攻击活动最早可以追溯到2009年11月,至今还非常活跃.在针对中国地区的攻击中,该组织主要针对政府机构、科研教育领域进行攻击,其中以科研教育领域为主。
响尾蛇afc.chrom3.net
faoprot.chrom3.net
www-cea-china.chrom3.net
www-globa-off.chrom3.net
www-globa-aff.chrom3.net
chrom3.net
mfa-net.chrom3.net
mod-cn.trans-del.net
nepalarmy.trans-del.net
polyinc-global.trans-del.net
cr20g.org
pak-web.com
behr.ppinewsagency.live
independenceday.pafwa.info
pafwa.info
nadra.gov.pk.d-dns.co
google.com.d-dns.co
cdn.ms-tail.net
ms-tail.net
www.ms-tail.net
www.fdn-aws.net
cdn.fdn-aws.net
fdn-aws.net
cdn.cdn-crypt.net
cdn-crypt.net
www.cdn-crypt.net
cdn-amzn.net
cdn.cdn-amzn.net
www.cdn-amzn.net
cpanel.fincruitconsulting.in
cpcalendars.fincruitconsulting.in
fincruitconsulting.in
webmail.fincruitconsulting.in
webdisk.fincruitconsulting.in
mail.fincruitconsulting.in
www.fincruitconsulting.in
as.pakmarines.com
pqa.gov.pakmarines.com
pmaesa.pakmarines.com
pakmarines.com
dsadsa.pakmarines.com
microsoft-updates.servehttp.com
www.bahariafoundation.org
pmaesa.bahariafoundation.org
maesa.bahariafoundation.org
bahariafoundation.org
sadqw.bahariafoundation.org
mailmofagovpk.cdn-pak.net
fqn-mil.net
paknavy-gov-cvic.fbise.org
45.153.241.173
193.19.118.211
45.86.163.115
185.225.17.181
151.236.11.147
185.163.45.56
2.58.14.5
169.239.128.19
185.225.19.46
2012信息窃取与间谍活动印度中国、巴基斯坦、南亚国防、政府
响尾蛇( Sidewinder)是2018年才被披露的网络威胁组织,疑似与印度有关。该组织长期针对中国和巴基斯坦等东南亚国家的政府,能源,军事,矿产等领域进行敏感信息窃取等攻击活动。SideWinder的最早活动可追溯到2012年,被捕获的诱饵文档中包含“巴基斯坦政府经济事务部”等关键字,可见是对特定目标的定向攻击行为。从近几年该组织活动来看也会针对国内特定目标进行攻击,如驻华大使馆,特定部门等。
蔓灵花hewle.kielsoservice.net
file.download.idcpc.gov.cn.document-security.net
idcpc.document-security.net
mail-gov-cn.netlify.com
wdisvcnotifyhost.com
www.bheragreens.com
bheragreens.com
w32timeslicesvc.net
ww1.vdsappauthservice.net
vdsappauthservice.net
mail.vdsappauthservice.net
www.vdsappauthservice.net
ww2.vdsappauthservice.net
mail-gov-cn.netlify.app
mail-pku-edu-cn.herokuapp.com
xwchn.net
nakamini.ddns.net
sina.mailcn.org
203.229.0.162.in-addr.arpa.
www.emailexchangeservices.com
g-img.no-ip.biz
pnptrafcroutsvc.net
youxiangxiezhu.com
jxjuxuy.ddns.net
firetoolextapp.net
targetcarrier.ddns.net
www.system-e-mails.space
system-e-mails.space
126.mailcn.org
comac.mailcn.org
sohu.mailcn.org
cpcontacts.mailcn.org
cpanel.mailcn.org
adrev22.ddns.net
mailuserverifyservice.cdaxpropsvc.net
verify-continuation-feed-neta-ase.session-oath.com
confirm.session-oath.com
euwebrnail-rnail.session-oath.com
neteasa-rnail-l63-euwebrnail-login.session-oath.com
euwebmail163.session-oath.com
neteasa-rnail-l63-euwebrnail-logln.session-oath.com
rnail-frame-euwebrnail-iogin.session-oath.com
cpanel.validateinfotech.com
authetication.validateinfotech.com
cn.validateinfotech.com
777.validateinfotech.com
jspsessionsidwdxfnhi.validateinfotech.com
loginsessionid.validateinfotech.com
jspsessionsidwdxfnhie.validateinfotech.com
authenticatenepalarmy.gmauth.com
162.222.215.90
23.82.189.4
82.221.136.27
144.91.65.101
162.0.229.203
193.142.58.186
160.20.147.231
23.226.135.100
23.82.141.164
23.226.136.100
23.152.0.221
23.106.160.216
72.11.134.216
192.236.249.173
23.83.133.128
82.221.136.4
79.141.168.109
63.250.38.240
91.211.88.71
188.241.68.127
162.222.215.134
2013信息窃取与间谍活动南亚中国、巴基斯坦、沙特阿拉伯能源行业、工程行业、政府蔓灵花(Bitter)是一个来自南亚某国的APT组织,长期针对中国及巴基斯坦的政府、军工、电力、核等部门发动网络攻击,窃取敏感资料,具有较强的政治背景。是目前活跃的针对境内目标进行攻击的境外APT组织之一。该组织最早在2016由美国安全公司Forcepoint进行了披露,他们发现攻击者使用的远程访问工具(RAT)变体使用的网络通信头包含 “BITTER”,所以该这次攻击命名为“BITTER”。其攻击活动最早可追溯到2013年,从2016年始出现对国内的攻击活动。
肚脑虫traveltriangle.cc
idmquick.xyz
pvttchat.live
omegas.site
microsoft-patches.servehttp.com
picarts.xyz
tinyshort.icu
realworld.sytes.net
update.akamaifast.club
domhub.live
nakamini.ddns.net
microoptservices.com
processserviceaccesmanagerlinks.microoptservices.com
service.mail.security.com.4xztwvap3govijbexpwnh22rtwhmhrzbosobeg512udmnxg.xwjpo3rxrsnbnfw.59j7hg768jj.kwjvqobysdmi.5w0upf4isc.microoptservices.com
winxpo.live
dataupdates.live
nextgent.top
free.newcontest.xyz
face.shadowpage.xyz
instadownload.buzz
plugindownload.buzz
getsr.xyz
getst.xyz
nelog.buzz
solutionsroof.xyz
frontcheck.buzz
credmg.xyz
webservice.buzz
yoururl.icu
fabecook-auth.com
www.fabecook-auth.com
m.fabecook-auth.com
static.fabecook-auth.com
en-gb.fabecook-auth.com
graph.fabecook-auth.com
cuttly.buzz
staging.cuttly.buzz
nextra.buzz
g-img.no-ip.biz
share.tginfo-proxy.duckdns.org
firm.tplinkupdates.space
idmquic.xyz
paperflies.buzz
domainoutlet.site
tginfo-proxy.duckdns.org
tgram.club
rich-channel.tgram.club
www.tgram.club
kanal-pobedy.tgram.club
hackcaz.tgram.club
108.177.235.105
204.16.247.103
51.195.211.91
5.135.199.23
95.217.221.24
54.38.212.185
167.99.130.191
45.138.172.7
134.122.41.171
185.236.203.236
142.93.12.211
91.211.88.71
188.241.68.127
2018信息窃取与间谍活动未知阿根廷、孟加拉、印度、巴基斯坦、菲律宾、斯里兰卡、泰国、阿拉伯联合酋长国、英国政府肚脑虫(Donot)组织,具有印度背景,主要针对巴基斯坦、克什米尔地区等南亚地区国家进行网络间谍活动的组织,通常以窃密敏感信息为目的。该组织具备针对Windows与Android双平台的攻击能力,其主要使用yty和EHDevel等恶意软件框架。攻击活动最早发现在2016年4月,目前仍持续活跃。国内受影响度相对较小。
魔罗桫pirnaram.xyz
parinari.xyz
cnic-ferify.live
mailerservice.directory
ispr.email
www.fbr-update.com
mail.ispr.email
mail.pakistanarmy.email
support-team.tech
fbr-update.com
pakistanarmy.email
file-dnld.com
download.fbr.tax
pemra.email
funtifu.live
cnic-update.com
fbr.news
pmogovpk.email
www.file-dnld.com
api.priveetalk.com
defencepk.email
l26-rnail-servix.login-verifiction.com
nelease-l63-rnail-service.login-verifiction.com
net-ease-service-process.login-verifiction.com
www.login-verifiction.com
netease-service-rnail-pro.login-verifiction.com
login-verifiction.com
l63-rnail-service.login-verifiction.com
mail.csoc.cn.owa.auth.jssession.com
nakamini.ddns.net
g-img.no-ip.biz
adrev22.ddns.net
auth.log.mail.scu.edu.infowebemail.com
www.upgrade.mail.pku.edu.cn.infowebemail.com
images.infowebemail.com
auth.log.mail.scu.infowebemail.com
upgrade.mail.smg.cn.infowebemail.com
www.authenticate.mail.most.gov.cn.infowebemail.com
www.auth.log.mail.scu.edu.infowebemail.com
www.authenticate.mail.ruc.edu.cn.infowebemail.com
www.images.infowebemail.com
webmail.infowebemail.com
www.infowebemail.com
www.authenticate.mail.shisu.edu.cn.infowebemail.com
www.images.cn.infowebemail.com
www.upgrade.mail.sdu.edu.cn.coremail.msdu.infowebemail.com
upgrade.mail.sass.org.infowebemail.com
authenticate.mail.most.gov.cn.infowebemail.com
www.upgrade.mail.sass.org.infowebemail.com
cpcalendars.infowebemail.com
23.82.140.14
23.82.19.250
69.175.35.98
45.147.231.232
45.84.204.148
91.211.88.71
188.241.68.127
2013信息窃取与间谍活动印度蒙古国、巴基斯坦、特立尼达和多巴哥、乌克兰魔罗桫(Confucius)是一个印度背景的APT组织,攻击活动最早可追溯到2013年,主要针对南亚各国的政府、军事等行业目标进行攻击。该组织在恶意代码和基础设施上与Patchwork存在重叠,但目标侧重有所不同。
海莲花expocasheuro.com
chart.expocasheuro.com
vofykyt.com
www.vofykyt.com
vocygef.com
fire.inkeler.com
1zp.douyinjdjtv.com
sjbingdu.info
impeplaism.info
channel.chulalongkorntv.net
sell.junggukmart.com
cpcalendars.evangarnet.com
cpanel.evangarnet.com
autodiscover.evangarnet.com
cpcontacts.evangarnet.com
www.evangarnet.com
mail.evangarnet.com
webdisk.evangarnet.com
evangarnet.com
webmail.evangarnet.com
idgets.sannianban.com
sannianban.com
bizyeshtech.com
media.bizyeshtech.com
zhiyuanyundong.net
junggukmart.com
chulalongkorntv.net
view.zhiyuanyundong.com
zhiyuanyundong.com
energyholdings.net
baidusecure.com
bjtongchang.com
www.bjtongchang.com
autodiscover.2bunny.com
share.codehao.net
blog.panggin.org
yii.yiihao126.net
yichengqi.com
akucpgaaaaaaaaaaaaaaaaaaaaaaaewp.z.gl-appspot.org
akucpgaaaaaaaaaaaaaaaaaaaaaaacop.z.gl-appspot.org
akucpgaaaaaaaaaaaaaaaaaaaaaaac6v.z.gl-appspot.org
akucpgaaaaaaaaaaaaaaaaaaaaaaaeeq.z.gl-appspot.org
akucpgaaaaaaaaaaaaaaaaaaaaaaaeov.z.gl-appspot.org
akucpgaaaaaaaaaaaaaaaaaaaaaaacw-.z.gl-appspot.org
akucpgaaaaaaaaaaaaaaaaaaaaaaae53.z.gl-appspot.org
akucpgqaaaaaaaeaaaaaaaaaaaaaacww.aaaaadwaaaa4aaaaejwlcq0m9frxdpl39wxhrms81jks1jt8vayql0hmjwzjhq.qoi7n2deymrlzgzgzgbigamard4p3w.z.gl-appspot.org
akucpgaaaaaaaaaaaaaaaaaaaaaaady-.z.gl-appspot.org
aaaaaaaaaaaaaaaaaaaaaaaaaaaaacem.z.gl-appspot.org
akucpgaaaaaaaaaaaaaaaaaaaaaaadd2.z.gl-appspot.org
akucpgaaaaaaaaaaaaaaaaaaaaaaadl2.z.gl-appspot.org
46.183.222.82
51.222.85.87
5.181.156.198
45.84.1.228
146.0.75.236
37.228.129.33
221.239.21.130
221.219.213.178
185.250.148.114
185.225.19.100
139.99.90.113
45.12.32.207
185.247.226.14
45.144.31.156
116.202.251.27
111.90.151.90
146.185.195.29
104.149.170.178
82.148.14.166
103.140.187.26
179.43.128.26
193.36.119.141
193.36.119.47
216.38.2.200
79.134.225.55
45.79.121.13
183.178.38.178
59.148.68.250
114.35.123.91
121.12.144.92
139.162.109.114
192.151.244.197
91.229.77.179
103.114.161.122
95.168.191.35
5.149.254.19
45.76.106.146
185.174.101.13
185.157.79.134
94.177.123.137
45.61.136.65
45.61.136.166
165.22.245.198
158.69.30.202
46.183.223.106
153.127.37.14
159.65.135.75
50.117.84.157
103.80.48.119
103.83.156.17
2013信息窃取与间谍活动越南东盟、澳大利亚、孟加拉、文莱、柬埔寨、中国、丹麦、德国、印度、印尼、伊朗、日本、老挝、马来西亚、缅甸、尼泊尔、荷兰、菲律宾、新加坡、韩国、泰国、英国、美国、越南国防、金融行业、政府、高科技、餐饮行业、制作业、媒体行业、零售业、通信行业海莲花(OceanLotus)组织,似越南政府背景,攻击活动至少可追溯到2012年,长期针对中国及其他东亚国家(地区)政府、科研机构、海运企业等领域进行攻击。其会对在越南制造业、科技公司、消费品行业和酒店业中有既得利益的外国企业进行了长时间的入侵与渗透,以及一直会以外国政府和对越南持不同政治意见的个人和媒体为主要目标。从2012年至今,持续对中国政府、科研院所、海事机构、海域建设、航运企业等相关重要领域进行长时间 不间断攻击。至今十分活跃。
毒云藤163servers.servesarcasm.com
tr8epls2kd0q7.ps5udi42uf7.xyz
ccfcommunication.com
zgcb.website
mp.weixin.qq.com.zgcb.website
black.wangshangban.org
www.ssy.ikwb.com
ssy.ikwb.com
email-box-sina.com
recresgposst.hosthampster.com
mailbox-sohu.com
mail-box-sina.com
hw-l26.com
hw-mail-l26.com
file.download.idcpc.gov.cn.document-security.net
idcpc.document-security.net
sharepoint.webdwnload.com
qq.webdwnload.com
ccpit.webdwnload.com
webdwnload.com
fudant.webdwnload.com
sina.webdwnload.com
qiye163.webdwnload.com
outlook.owa.webdwnload.com
mail.263.webdwnload.com
qiyel63.webdwnload.com
ntransferfile.com
u-163.com
jwaterg.kfqhub.com
email.qqserv.info
game-update.servegame.com
kangzhiq.com
www.kangzhiq.com
126hostname.stufftoread.com
thefilesload.com
163coremail.thefilesload.com
l26mail.com
nf-mail-163.com
mail.hw-mail-163.com
adfs.hw-mail-163.com
www.hw-mail-163.com
hw-mail-163.com
jmwqyc.wangcom.club
wildcard-not-existed-test-000000.hwmail163.net
hwmail163.net
cmaner.chartoday.website
webcheck.services
www.webcheck.services
cags.ac.cn.loginpage.site
isisn.nsfc.gov.check.coreitmail.com
81.70.208.87
95.179.243.142
23.254.228.40
149.28.173.126
155.138.158.158
192.248.150.143
167.179.101.166
217.69.7.193
136.244.81.224
172.104.4.107
192.248.144.224
121.41.205.11
199.247.15.208
45.32.110.85
45.56.114.70
192.236.147.101
149.28.139.249
66.42.62.103
95.179.166.157
96.30.198.27
31.220.53.156
192.53.121.91
45.77.215.217
158.247.210.220
23.254.224.202
192.236.176.84
104.168.149.240
165.227.38.13
45.76.90.194
180.215.22.252
104.168.144.137
207.246.100.26
192.46.227.96
141.164.39.201
149.28.138.131
139.180.207.4
104.200.29.128
172.105.172.29
158.247.209.16
172.104.110.108
199.247.2.78
207.148.104.103
207.148.92.134
108.160.137.182
158.247.210.112
45.77.241.185
95.179.152.14
172.104.33.58
104.238.161.26
172.105.227.32
2007中国台湾中国毒云藤,又名绿斑、APT-C-01等,是一个长期针对国内国防、政府、科技和教育领域的重要机构实施网络间谍攻击活动的APT团伙,最早可以追溯到2007年。该组织惯用鱼叉式钓鱼网络攻击,会选取与攻击目标贴合的诱饵内容进行攻击活动,惯用的主题包括通知、会议材料、研究报告等或是采用攻击时间段时事主题。除了附件投递木马外,毒云藤还惯用钓鱼网站钓鱼,窃取目标的账户密码,进而获得更多重要信息。该组织主要关注方向包括:海事、军工、涉台两岸关系、中美关系等。
APT38tpddata.com
webdisk.tpddata.com
mail.tpddata.com
www.tpddata.com
cpanel.tpddata.com
webmail.tpddata.com
doc.gsheetshare.org
www.eye-watch.in
down.privatework.buzz
b.updatemain.com
a.updatemain.com
updatemain.com
ecombox.store
www.ecombox.store
ip1.gphi-fjiqoqo.tech
www.gphi-adhaswe.xyz
gphi-gsaeyheq.top
ip1.gphi-gsaeyheq.top
gphi-adhaswe.xyz
ip1.gphi-adhaswe.xyz
update.toythieves.com
www.updatesinfos.com
gphi.site
ip1.s.gphi.site
ip2.s.gphi.site
www.gphi.site
a.updatesinfos.com
b.updatesinfos.com
updatesinfos.com
htta7788.1apps.com
bodyshoppechiropractic.com
www.bodyshoppechiropractic.com
pubs.ignorelist.com
ovhelp.mrbasic.com
lcgmd.strangled.net
shareboard.mrbonus.com
tbs.fartit.com
vnistudio.mooo.com
geodb.ignorelist.com
mlods.strangled.net
checkupdates.flashserv.net
wconsult.longmusic.com
download.ns360.info
update.craftx.biz
movis-es.ignorelist.com
bitdefs.ignorelist.com
lakers.crabdance.com
statis.ignorelist.com
paystore.onedumb.com
repview.ignorelist.com
45.61.138.207
45.61.136.204
103.130.195.170
84.201.189.216
2014金融犯罪朝鲜Bluenoroff是Lazarus组织的分支小组,专门从事金融相关的网络攻击,并负责处理资金转移事项。
黑店butterfly.sinip.es
ftp.byethost7.com
rootca.000space.com
silverbell.000space.com
www.ltp666.com
office-file.net
pb.zicxx.net
download.zicxx.net
zicxx.net
cloud-dropbox.com
microchsse.strangled.net
microlilics.crabdance.com
microplants.strangled.net
microbrownys.strangled.net
micronaoko.jumpingcrab.com
ubiztour.net
mail.ubiztour.net
pop3.ubiztour.net
hiworks.ubiztour.net
www.ubiztour.net
ubiztour.com
www.ubiztour.com
www.phone-call.net
mail.phone-call.net
webdisk.phone-call.net
cpanel.phone-call.net
webmail.phone-call.net
phone-call.net
secure-gmail.org
jenkins.secure-gmail.org
ns3.secure-gmail.org
163services.com
yahooservice.biz
www.163services.com
mail.163services.com
www.yahooservice.biz
autoparts.phpnet.us
auto24col.info
autonomy.host22.com
hostmaster.auto24col.info
autozone.000space.com
ww1.auto24col.info
autoinsurance.000space.com
down2.winsoft9.com
www.163-msg.com
163-msg.com
dailychina.enewscenter.net
edailychina.enewscenter.net
www.secure.enewscenter.net
mail.enewscenter.net
173.249.151.182
34.206.236.97
154.204.47.141
31.170.162.183
206.221.187.130
185.4.227.2
185.198.56.191
111.90.133.94
173.45.117.245
2007信息窃取与间谍活动韩国阿富汗、亚美尼亚、孟加拉、比利时、中国、埃塞俄比亚、德国、希腊、香港、印度、印尼、马来西亚、爱尔兰、以色列、意大利、日本、哈萨克斯坦、吉尔吉斯斯坦、黎巴嫩、马来西亚、墨西哥、莫桑比克、朝鲜、巴基斯坦、菲律宾、俄罗斯、沙特阿拉伯、塞尔维亚、新加坡、韩国、中国台湾、塔吉克斯坦、泰国、土耳其、阿拉伯联合酋长国、英国、美国、越南、其他地区国防、能源行业、政府、医疗卫生行业、餐饮行业、非政府组织、制药、科研、工程技术、中国海外机构Darkhotel,是一个来自朝鲜半岛的网络间谍组织,近几年来最活跃的APT组织之一,是一个老牌组织,至少存在10年以上。此前因其攻击目标是入住高端酒店的商务人士或有关国家政要,以酒店WiFi网络为入口对目标进行攻击,因此得名DarkHotel ,中文译作“黑店”。主要攻击对象包括电子通信、商贸行业、工业等企业及高管、有关国家政要人物和政要机构等,目标遍布中国、朝鲜、日本、缅甸、俄罗斯等多个国家。技术实力深厚,如在多次行动中使用0day进行攻击。
Lazarustemplatebinary.site
www.alahbabgroup.com
www.smartaudpor.com
googledocpage.com
w3.googledocpage.com
www.rterybrstutnrsbberve.com
bogdan.erwbtkidthetcwerc.com
img14.erwbtkidthetcwerc.com
0.erwbtkidthetcwerc.com
www.erwbtkidthetcwerc.com
erwbtkidthetcwerc.com
james.erwbtkidthetcwerc.com
rterybrstutnrsbberve.com
mbox.shopweblive.com
relay2.shopweblive.com
smtp2.shopweblive.com
shopweblive.com
postmaster.shopweblive.com
www.shopweblive.com
authsmtp.shopweblive.com
ipe.shopweblive.com
mail5.shopweblive.com
relay.shopweblive.com
ms1.shopweblive.com
post.shopweblive.com
tpddata.com
webdisk.tpddata.com
mail.tpddata.com
www.tpddata.com
cpanel.tpddata.com
webmail.tpddata.com
mail.sisnet.co.kr
jinjinpig.co.kr
ddjm.co.kr
amene.homepc.it
ryanmcbain.com
www.ryanmcbain.com
www.c-section.com
ww.w.advantims.com
imap.advantims.com
www.advantims.com
c-section.com
mail.advantims.com
advantims.com
crmute.com
wwww.advantims.com
server.advantims.com
wicall.ir
www.sslsharecloud.net
sslsharecloud.net
36.89.85.103
104.168.218.42
213.227.154.65
80.91.118.45
181.119.19.56
46.174.235.36
190.142.200.108
155.138.135.1
91.217.137.37
181.129.134.18
193.37.214.34
195.123.220.193
182.162.89.146
89.44.9.91
216.189.157.89
138.201.169.73
95.0.200.212
170.84.78.224
112.217.108.138
185.113.134.179
3.90.97.16
91.121.89.129
45.147.231.77
216.189.150.185
23.152.0.101
120.138.8.26
103.233.25.209
185.99.2.242
199.89.55.218
125.206.177.152
137.74.114.227
91.134.14.26
181.196.207.202
198.180.198.6
89.134.49.3
84.201.189.216
114.113.63.130
75.146.197.161
103.5.124.94
200.4.220.172
66.181.166.15
114.207.112.202
110.10.189.166
1.251.44.118
212.227.91.36
51.68.119.230
54.241.91.49
118.217.183.180
31.186.8.221
50.192.28.29
2007信息窃取与间谍活动、破坏活动、金融犯罪朝鲜澳大利亚、孟加拉、巴西、加拿大、智利、中国、厄瓜多尔、法国、德国、危地马拉、香港、印度、以色列、日本、墨西哥、菲律宾、波兰、俄罗斯、韩国、中国台湾、泰国、英国、美国、越南、Worldwide (WannaCry)航天、工程行业、金融行业、政府、媒体行业、工程技术、比特币交易所Lazarus组织被认为是来自朝鲜的APT组织,攻击目标遍布全球,最早的活动时间可以追溯至2007年,其主要目标包括国防、政府、金融、能源等,早期主要以窃取情报为目的,自2014年后进行业务扩张,攻击目标拓展到金融机构、虚拟货币交易所等具有较高经济价值的对象。资料显示,2014 年索尼影业遭黑客攻击事件、2016 年孟加拉国银行数据泄露事件、2017年美国国防承包商和能源部门、同年英韩等国比特币交易所攻击事件以及今年针对众多国家国防和航空航天公司的攻击等事件皆被认为与此组织有关。
APT37storage.jquery.services
ui.jquery.services
jquery.services
mmksba.simple-url.com
webhoptest.webhop.info
martnews.aba.ae
adamnews.for.ug
mslove.mypressonline.com
ramble.myartsonline.com
www.security-acount.info
www.lnfo-master.com
www.security-lnfo.com
price365.co
www.kohtao-idc.com
procdiagnostics.com
www.procdiagnostics.com
mail.procdiagnostics.com
mail.msdefendercentre.com
msdefendercentre.com
www.msdefendercentre.com
security.helpnaver.com
user.helpnaver.com
helpnaver.com
www.helpnaver.com
nid.helpnaver.com
www.smtper.org
smtper.org
51xz8.com
www.51xz8.com
pingguo2.atwebpages.com
aerofl0t.com
mail.aerofl0t.com
webmail.aerofl0t.com
cpanel.aerofl0t.com
webdisk.aerofl0t.com
www.1996hengyou.com
www.10vs.net
www.0756rz.com
adobe.sendsmtp.com
ms.dynamic-dns.net
mail.price365.co.kr
www.artmuseums.or.kr
phpview.mygamesonline.org
crypto.gstaticstorage.com
dmas1.allowed.org
fjtlephare.fr
hakproperty.com
forum.ftpupload.net
cpanel.forum.ftpupload.net
a7788.1apps.com
216.189.159.36
185.27.134.11
2012信息窃取与间谍活动朝鲜中国、香港、印度、日本、科威特、尼泊尔、罗马尼亚、俄罗斯、韩国、英国、美国、越南航天、汽车行业、化工、金融行业、政府、医疗卫生行业、高科技、制作业、工程技术、物流行业APT37是一个疑似来自朝鲜的网络间谍组织,至少从2012年开始就已经活跃,该组织主要针对韩国,日本,越南,俄罗斯,尼泊尔,中国,印度,罗马尼亚,科威特和中东等国家或地区进行攻击。国内主要目标为外贸公司、在华外企高管,甚至政府部门等。
黑格莎console.hangro.net
walker.shopbopstar.top
www.comcleanner.info
goodhk.azurewebsites.net
zeplin.atwebpages.com
adobeinfo.shopbopstar.top
www.phpvlan.com
x1.billbord.net
petuity.shopbopstar.top
register.welehope.com
info.hangro.net
45.76.6.149
185.247.230.252
2016韩国中国、日本、朝鲜、尼泊尔、新加坡、俄罗斯、波兰、瑞士外交机构、政府、船运与物流、大使馆黑格莎组织是2019年披露的一个来自朝鲜半岛的专业APT组织,因为其常用higaisa作为加密密码而得名。该组织具有政府背景,其活动至少可以追溯到2016年,且一直持续活跃。该组织常利用节假日、朝鲜国庆等朝鲜重要时间节点来进行钓鱼活动,诱饵内容包括新年祝福、元宵祝福、朝鲜国庆祝福,以及重要新闻、海外人员联系录等等。被攻击的对象包括跟朝鲜相关的外交实体(如驻各地大使馆官员)、政府官员、人权组织、朝鲜海外居民、贸易往来人员等,受害国家包括中国、朝鲜、日本、尼泊尔、新加坡、俄罗斯、波兰、瑞士等。
Kimsukyregedit.onlinewebshop.net
sudden.atwebpages.com
vnskwl.mypressonline.com
rhwkdlaktm.atwebpages.com
yny0721.atwebpages.com
kr2959.atwebpages.com
yanggucam.designsoup.co.kr
eucie09111.myartsonline.com
reform-ouen.com
nuclearpolicy101.org
worldinfocontact.club
cwda.co.kr
www.anpcb.co.kr
fabre.myartsonline.com
koreacit.co.kr
www.mechapia.com
samsoding.homm7.gethompy.com
hanlight.mygamesonline.org
www.inonix.co.kr
beilksa.scienceontheweb.net
1ive.me
wbg0909.scienceontheweb.net
majar.medianewsonline.com
miracle.designsoup.co.kr
pootball.medianewsonline.com
ftcpark59.getenjoyment.net
1213rt.atwebpages.com
web.selp.o-r.kr
ftp.selp.o-r.kr
go.onono.ml
chels.mypressonline.com
updatei.com
mail.outlookin.ml
helper.onehappy.ml
upload.riseknite.life
download.riseknite.life
riseknite.life
alyssalove.getenjoyment.net
manct.atwebpages.com
quarez.atwebpages.com
pootbal.med
mail.snuh.r-e.kr
smtp.snu-h.ml
mail.snubh.r-e.kr
app.at-me.ml
xcvrgfwerf.ninalsdfei.kro.kr
kumb.cf
texts.letterpaper.press
account.googgle.kro.kr
login.gmail-account.gq
23.19.227.161
27.255.65.110
58.229.208.146
210.16.121.137
216.189.157.89
210.16.120.34
103.125.216.106
151.236.30.164
151.236.30.224
216.189.159.36
173.205.125.124
108.62.141.33
2013信息窃取与间谍活动朝鲜韩国、美国教育行业、能源行业、智囊团Kimsuky是位于朝鲜的威胁组织,卡巴斯基实验室的研究人员发现了针对韩国军事智库的大规模网络间谍活动,并引用恶意代码中词语“Kimsuky”对其命名。
Kimsuky APT组织作为一个十分活动的APT组织,其针对南韩的活动次数也愈来愈多,同时该组织不断的使用hwp文件,释放诱饵文档可执行文件(scr),恶意宏文档的方式针对Windows目标进行相应的攻击,同时恶意宏文档还用于攻击MacOs目标之中。该组织与有相同背景的Lazarus组织和Konni组织有一定的相似之处。
同时该组织的载荷也由之前的PE文件载荷逐渐变为多级脚本载荷,但是其混淆的策略不够成熟,所以其对规避杀软的能力还是较弱。该组织的后门逐渐采取少落地或者不落地的方式,这在一定层面上加大了检测的难度。
该组织的攻击目标主要针对韩国政府机构、世宗研究所、韩国外交部门、韩国国防分析研究所(KIDA)、韩国统一部、北朝鲜相关研究领域。在海外情况下,联合国和朝鲜研究人员,朝鲜组织和媒体公司是主要目标,目的是收集与朝鲜有关的信息。
由于北韩的经济状况由于持续的制裁而继续恶化,攻击者似乎除了其政治目的外,还攻击金融公司和加密货币组织谋求经济利益。
© 版权声明
THE END
喜欢就支持一下吧
点赞66赞赏 分享
评论 共3条

请登录后发表评论