全球高級持續性威脅(APT)2019年中報告

 序  言

奇安信威脅情報中心在2018年曾公開發布了兩篇全球高級持續性威脅研究總結報告[參考連結：2 3]，其中總結了高級持續性威脅背後的攻擊組織在過去一年中的攻擊活動和戰術技術特點。

如今，2019年已經過去一半，我們在對歷史活躍APT組織近半年的攻擊活動情況的持續跟蹤過程中，呈現地緣政治特徵的國家背景黑客組織作為觀察的重點，其實施的網絡威脅活動始終穿插在現實的大國政治和軍事博弈過程中，網絡空間威脅或已成為各國情報機構和軍事行動達到其情報獲取或破壞目的所依賴的重要手段之一。

本報告主要分成兩個部分，第一部分主要總結在APT威脅來源的地域特徵下主要活躍的APT組織，以及其在2019年上半年的主要情況；第二部分基於近半年重要的全球高級持續性威脅事件，對整體威脅態勢的總結。

研究方法

在此報告的開始，我們列舉了本研究報告所依賴的資料來源與研究方法，其中主要包括：

內部和外部的情報來源，其中內部的情報來源包括奇安信威脅情報中心旗下紅雨滴團隊對APT威脅的持續分析跟蹤及相關的威脅情報；外部的情報來源包括主要發布APT類情報178個公開數據源，涉及安全廠商、博客、新聞資訊網站、社交網絡等。

MITRE組織總結的ATT&CK框架以及威脅組織、攻擊工具列表[4]也是對研究APT組織及其戰術技術特點的重要基礎之一。

其他公開的APT組織及行動資料，包括MISP項目[5]，國外安全研究人員Florian Roth的APT組織和行動表格[6]等等。

APT組織的國家和地域歸屬判斷是綜合了外部情報的結果，並不代表奇安信威脅情報中心自身的判定結論。

 

目    錄

序  言

研究方法

第一部分  地緣政治下的APT組織

一、     東亞

二、     東南亞

三、     南亞次大陸

四、     東歐

五、     中東

六、     北美

第二部分  上半年全球APT威脅態勢

一、     APT組織採用的供應鏈攻擊

二、     國家公共基礎設施或將成為網絡戰的重點

三、     APT組織網絡武器庫的洩露與擴散

四、     APT組織間的「黑吃黑」遊戲

總  結

附錄1       奇安信威脅情報中心

附錄2       紅雨滴團隊（RedDrip Team）

附錄參考連結

  

第一部分  地緣政治下的APT組織

自2010年震網事件被發現以來，網絡攻擊正在被各個國家、情報機構用作達到其政治、外交、軍事等目的的重要手段之一。在過去對APT活動的追蹤過程中，APT攻擊往往伴隨著現實世界重大政治、外交活動或軍事衝突的發生前夕和過程中，這也與APT攻擊發起的動機和時機相符。

奇安信威脅情報中心結合公開情報中對APT組織歸屬的結論，按地緣特徵對全球主要的APT組織和攻擊能力進行評估，並對其在2019年最近半年的攻擊活動的總結。 

地域

主要組織

攻擊能力

東亞

Lazarus Group

Group 123/ APT37

Kimsuky

Darkhotel

+ +

+ +

+

+ +

東南亞

海蓮花/ APT32

+ +

南亞次大陸

摩訶草

蔓靈花/ BITTER

肚腦蟲/Donot Team

Confucius

+ +

+

+

+

東歐

APT28

APT29

Turla

GreyEnergy

+ + +

+ +

+ + +

+ +

中東

MuddyWater

APT34/ OilRig

Stealth Falcon/ FruityArmor

+

+ +

+ +

北美

方程式

Longhorn

+ + +

+ + +

表：地緣政治下的全球主要APT組織及能力

 

一、東亞

圍繞東亞一直是全球APT威脅活動最為活躍的地域之一，最早在2011年曝光的Lazarus Group是歷史上少數幾個最為活躍的APT組織之一。

Lazarus Group，據公開披露被認為是朝鮮Bureau 121背景下的APT組織，歷史曾攻擊索尼娛樂，全球多家銀行SWIFT系統以及和Wannacry勒索病毒有關。2018年9月，美國DoJ和FBI聯合公開指控朝鮮黑客PARK JIN HYOK及Chosun Expo機構與上述攻擊事件有關，並指出其背後為朝鮮政府[7]。

我們注意到近年來針對Lazarus活動的披露有所減少，其攻擊目標主要為金融和加密貨幣相關，推測其動機更傾向於獲得經濟利益。

我們總結了Lazarus組織在近半年的主要攻擊活動，如圖所示。

 

Lazarus使用的攻擊工具如下：

名稱

說明

Rising  Sun

第二階段植入物，由Duuzer後門演化的新滲透框架

KEYMARBLE

RAT工具，使用偽TLS通信

HOPLIGHT

木馬，使用公共SSL證書進行安全通信

ELECTRICFISH

網絡代理和隧道工具

除了Lazarus，在近兩年來，另外兩個朝鮮語系的APT團夥表現出了異常的活躍，分別是Group 123和Kimsuky。近年來，朝鮮半島的政治局勢日益趨向於緩和的局勢，朝鮮政府也積極就朝核問題、朝韓雙方關係與美國、韓國展開對話，但緩和的政治外交局勢下，並不能掩蓋東亞區域依然頻繁的網絡情報活動。

結合兩個組織歷史攻擊活動，我們推測Kimsuky更關注於朝鮮半島的政治外交問題，並通常結合相關熱點事件用於誘餌文檔內容；而Group 123則針對更廣泛的網絡情報獲取。

Lazarus Group

Group 123

Kimsuky

主要別名

Hidden  Cobra

APT37

無

活動頻度

中

高

高

目標行業

銀行、數字貨幣

國防、政府

外交、投資、貿易

媒體

目標地域

全球範圍

中國、韓國

韓國、美國

攻擊動機

經濟利益為主

情報獲取

政治外交傾向

兩個組織近半年的主要攻擊活動總結如下圖[9 10]。

 

Group 123和Kimsuky通常都利用向目標投遞魚叉郵件和誘餌文檔，包括Office文檔和HWP文檔，誘導目標人員觸發惡意宏代碼或漏洞文檔來建立攻擊立足點。其也通過滲透韓國網站作為載荷分發和控制回傳通道。   

Group 123還偏好使用雲服務作為其竊取目標主機信息和資料的重要途徑，其常用的ROKRAT後門就是基於雲服務的實現，利用包括Dropbox，Yandex，pCloud等雲服務。

二、東南亞

海蓮花組織是東南亞地區最為活躍的APT組織，其首次發現和公開披露是由奇安信威脅情報中心的紅雨滴團隊。

海蓮花組織最初主要以中國政府、科研院所、海事機構等行業領域實施攻擊，這也與當時的南海局勢有關。但在近年來的攻擊活動中，其目標地域延伸至柬埔寨、菲律賓、越南等東南亞其他國家，而其針對中國境內的APT攻擊中，也出現了針對境內高校和金融投資機構的攻擊活動。

海蓮花組織是一個快速變化的APT組織，其擅長與將定製化的公開攻擊工具和技術和自定製惡意代碼相結合，例如Cobalt Strike和fingerprintjs2是其常用的攻擊武器之一。

海蓮花組織經過多年的發展，形成了非常成熟的攻擊戰術技術特徵，並擅長於利用多層shellcode和腳本化語言混淆其攻擊載荷來逃避終端威脅檢測，往往能夠達到比較好的攻擊效果。

這裡我們也總結了海蓮花組織的常用TTP以便於更好的跟蹤其技術特點的變化。

圖 海蓮花近半年攻擊目標

三、南亞次大陸

南亞次大陸是另一個APT組織活動的熱點區域，從2013年5月Norman安全公司披露Hangover行動（即摩訶草組織）以來，出現了多個不同命名的APT組織在該地域持續性的活躍，並且延伸出錯綜複雜的關聯性[13]，包括摩訶草、蔓靈花、肚腦蟲、Confucius，以及其他命名的攻擊活動和攻擊工具，包括Sidewinder、Urpage、Bahamut、WindShift。

造成歸屬問題的主要因素是上述APT活動大多使用非特定的攻擊載荷和工具，腳本化和多種語言開發的載荷往往幹擾著歸屬分析判斷，包括使用.Net、Delphi、AutoIt、Python等。但從歷史攻擊活動來看，其也出現了一些共性：

我們結合歷史公開報告的披露時間製作了相關APT組織的活躍時間線，推測這些APT組織可能從2015-2016甚至更早出現了分化，並且趨向於形成多個規模不大的小型攻擊團夥的趨勢。

四、東歐

APT28、APT29、Turla作為東歐地區最為知名的APT組織一直廣泛活躍。

美國DHS曾在2016年12月對APT28，APT29組織在同年針對DNC的攻擊事件以及幹擾美國大選活動發布了相關調查報告，並將其惡意攻擊活動稱為GRIZZLY STEPPE，並直指俄羅斯情報部門。

來自倫敦國王學院的安全研究人員在SAS 2017年會議上介紹了Turla APT組織的前身是90年代著名網絡間諜組織Moonlight Maze[16]。

國外安全廠商ESET在2018年披露了BlackEnergy的繼任者，命名為GreyEnergy[17]，一個專注於工業系統的APT組織。

APT28

APT29

Turla

BlackEnergy

主要別名

Sofacy

Cozy  Bear

Snake

無

目標行業

政府、外交、國防、軍事等

工業、能源

目標地域

中東、美國、NATO、中亞等

烏克蘭、波蘭

    

從2019年上半年的公開披露情況來看，除了APT28以外，其他三個組織的公開披露活動有所減少。而APT28組織的主要活動似乎更多旨在幹擾其目標國家的選舉活動。

    安全廠商披露在3月捕獲的一份在野誘餌文檔，其使用的內容以烏克蘭總統競選人Volodymyr Zelenskiy和烏俄問題為誘導，其正值烏克蘭總統競選時機[18]。

    

國外安全廠商也披露從2018年中以來，APT28組織針對歐洲的網絡間諜活動大幅增加，以及針對歐洲民主機構的攻擊，其也可能與2019年的歐盟議會選舉有關[19 20]。

    從戰術和技術角度來看，似乎從2018年起APT28更傾向於使用多種語言開發的Zebrocy攻擊組件並用於魚叉攻擊後的第一階段的載荷植入[21]。其模塊可能由Delphi，C#，Python，AutoIt甚至Go。卡巴在最新的研究報告中將其作為獨立的組織進行追蹤。

    而在ESET對Turla最新的研究報告中，其更傾向於基於定製化的開源項目（如Posh-SecMod）和腳本，並加載其過去的自定義武器庫。

    我們並不認為這些改變是其攻擊能力削弱的體現，在2018年曝光的VPNFilter事件和Lojax rootkit都被懷疑與東歐APT組織有關。我們推測攻擊組織做出積極的改變旨在提高攻擊的效率和效果，並著力於混淆和隱藏攻擊活動的來源，以及對抗目標網絡的防禦機制。

五、中東

中東地區，其擁有全球最為複雜的政治、外交和軍事局勢，多年以來，充斥著戰亂、恐怖主義、軍事行動以及頻繁的網絡間諜活動和情報活動。在此背景下，網絡攻擊活動往往作為刺探對手情報，監控人員輿論，配合間諜活動和情報活動甚至製造虛假言論和虛假新聞的最有效方式之一。而在中東地區，公開披露最多的屬據稱為伊朗政府背景的相關網絡攻擊活動，這也源於伊朗與以美國為首的西方國家的政治和外交關係相左的原因。

我們在這裡列舉了近半年來中東地區發生的一些重點事件：

多家安全廠商披露大規模的DNS劫持活動，並稱疑似與伊朗有關[26 27 28]；

卡巴多次披露FruityArmor(又稱Stealth Falcon)使用的多個Windows提權0day漏洞(CVE-2019-0797、CVE-2018-8453、CVE-2018-8611、CVE-2018-8589)；

據稱是伊朗背景的多個APT組織發生內部資料和網絡武器洩露；

美、伊的外交形式急劇惡化，伊朗政府從情報活動、軍事活動等多方面採取更加強硬的姿態，包括破壞CIA在其情報網絡、擊落無人機等，美國回應將對其採取網絡軍事行動。

我們在這裡結合上半年洩露的據稱是伊朗黑客組織的資料和網絡武器對其近年來主要活躍的APT組織進行總結。

今年上半年發生了多起針對中東地區APT組織的相關資料洩露和拍賣事件，通過洩露資料，再一次幫助我們將虛擬的APT組織與現實世界的人員、機構及國家聯繫到一起。

APT34，又稱OilRig，一個最早從2014年起就開始活躍的APT組織，其被公開披露聲稱與伊朗情報與國家安全部(Iranian Ministry of Intelligence)有關。在過去，其主要活躍地區為中東，並針對如金融，政府，能源，化學和電信等多個行業實施攻擊[29]。

  

洩露的網絡武器庫：

名稱

說明

Poison Frog

Powershell後門，通過DNS和HTTP通信，也稱為BONDUPDATER[30]

Glimpse

Powershell後門，通過DNS通信，也稱為Updated BONDUPDATER[30]

多個Webshell

FoxPanel222、HighShell、HyperShell、Minion

webmask

Python實現的DNS劫持和中間人攻擊工具，Cisco Talos也稱為DNSpionage[31]

Jason

Exchange密碼爆破工具

    另一個被公開認為和伊朗有關的APT組織MuddyWater，最早由Palo Alto NetworksUnit 42於2017年11月發現並命名[32]，並迅速成為中東地區非常活躍的APT組織之一，其主要使用Powershell後門POWERSTATS，以及名為MuddyC3的控制後臺[33]。

有黑客成員公開聲稱MuddyWater和另一個APT組織APT33關聯到同一個名為Nima Nikjoo的人員，並將其相關資料進行拍賣[34]。

六、北美

結合公開披露資料，作為網絡空間能力的強國，歷史曝光的震網事件，方程式組織都被認為與北美情報機構有關[22 23]。

    從2013年以來，相關情報機構的多次洩密事件展示了其完備的網絡空間攻擊體系和自動化攻擊武器，並暴露了其將中國作為其實施全球網絡間諜活動的重要目標之一的相關證據。

    

在2018和2019年的美國國防部網絡戰略情報報告中，都將中國和俄羅斯作為其重要的戰略對手[24]。

在2018年的網絡空間戰略摘要中提到了「Defend forward」概念，旨在從源頭上破壞或制止惡意網絡空間活動，並且同年美國政府取消了第20號總統政策指令，取消了針對美國對手的進攻性網絡攻擊批准程序的一些限制。這些都表明美國作為超級網絡強國正在積極進入網絡空間的備戰狀態。而在近期紐約時報也報導了美國正在加強針對俄羅斯電網的網絡入侵[25]，展示了其在網絡空間攻防中採取了更加主動積極的姿態。

    從歷史洩露的方程式資料分析，其具備的網絡攻擊能力是全方位的，下圖是我們根據洩露NSA資料和公開情報整理的其網絡武器及攻擊技術所覆蓋的領域和目標。

第二部分  上半年全球APT威脅態勢

一、APT組織採用的供應鏈攻擊

供應鏈攻擊往往是網絡攻擊中最容易忽視的一類，在MITRE ATT&CK中也將供應鏈攻擊作為獲取初始訪問的一項攻擊技術(T1195 Supply Chain Compromise)。而在APT活動中，供應鏈攻擊也是時常發生，這裡列舉了近半年的APT類供應鏈攻擊活動。

ESET披露新的針對遊戲行業的供應鏈攻擊，並疑似與Winnti Group有關[35];

卡巴披露針對華碩的供應鏈攻擊行動ShadowHammer，並且通過匹配用戶mac地址實施針對特定目標的攻擊[36]；

ESET披露BlackTech組織通過合法證書籤名的樣本，並疑似通過供應鏈攻擊華碩WebStorage[37]。

我們認為APT組織使用供應鏈攻擊通常有著特殊的意圖，其通常可以作為攻擊目標人員或組織的一種「曲線攻擊」路徑，通過對目標相關的供應商或服務商的攻擊作為達到最終目標的重要途徑。

二、國家公共基礎設施或將成為網絡戰的重點

自2010年伊朗震網事件和2015年烏克蘭電網攻擊事件，針對國家公共基礎設施(包括電力、工業、能源、醫療等)的網絡攻擊活動會對城市和民眾日常生活造成極為嚴重的破壞。

在2019年上半年，南美地區發生多起異常停電事件，由於尚不明確造成停電的原因，也被國外新聞媒體聯想到是否與網絡攻擊或演習有關，而針對公共基礎設施領域的網絡攻擊也逐漸作為國與國之間進行戰略性打擊和威懾的重要手段。

這裡我們也將上半年相關事件時間線進行總結：

3月6日，委內瑞拉全境出現大面積斷電，委內瑞拉政府指責是美國蓄意破壞；

6月14日，連線網披露美國E-ISAC發現Triton針對美國境內電網的探測活動[38]；

6月15日，紐約時報披露美政府加強對俄電網的數字入侵，而針對其電網控制系統的探測和偵查早在2012年就開始了[25]；

6月16日，南美多個國家出現停電事件，主要由於阿根廷和烏拉圭的互聯電網發生大規模故障；

6月22日，伊朗擊落美國無人機，美聲明將對其採取網絡攻擊[39]。

三、APT組織網絡武器庫的洩露與擴散

網絡武器庫和相關資料洩露在過去一直時有發生，這些網絡武器庫通常由知名APT組織或網絡軍火商製作和使用。

2014年8月4日，網絡軍火商Gamma 40GB資料洩露；

2015年7月5日，網絡軍火商Hacking Team 400GB數據洩露，包括電子郵件、文件和原始碼；

2016年8月13日，黑客組織The Shadow Brokers公開洩露和拍賣NSA網絡武器庫，包括針對防火牆、Linux/類Unix、Windows和SWIFT平臺攻擊武器；

2017年3月7日，維基解密網絡曝光CIA CCI部門的8761份機密性文檔，涉及其內部針對多個平臺網絡武器開發的資料；

2019年3月27日，有黑客成員通過Telegram渠道披露APT34組織的網絡武器和相關信息；

2019年5月7日，有黑客成員通過Telegram渠道披露MuddyWater組織相關資料，並進行公開拍賣。

網絡武器庫的洩露向我們展示了APT組織為了實施網絡攻擊活動以及為達到其目的進行了長期的攻擊能力和技術的積累和籌備，而數字武器洩露造成擴散的副作用也是無窮的。

四、APT組織間的「黑吃黑」遊戲

2019年6月21日，賽門鐵克披露了一份Turla組織最新的報告[40]，其中最為有意思的是其發現Turla對APT34組織基礎設施的劫持並用於自身的攻擊活動。

類似於上述這種APT組織間的「黑吃黑」行為在斯諾登洩露的NSA機密文檔中也曾出現類似的項目[41]。通過採用中間人攻擊或旁觀者攻擊的方式對其他攻擊組織進行攻擊，並竊取其使用的工具、獲取的情報甚至接管攻擊的目標。

我們更傾向於這類行為在未來的APT攻擊活動中還會發生，並且更有可能出現在擁有更高技術能力的APT組織。這種行為往往能夠更好的隱蔽真實的攻擊來源和意圖，而對被攻擊的受害主體評估其影響和損失造成了迷惑性。

總  結

2019年上半年是不平靜的半年，全球的政治局勢變得更加風雲變幻，在衝突和博弈之下，網絡空間對抗的格局也變得尤為凸顯，國家背景的APT活動似乎由過去的隱蔽戰線部分轉向更加明顯的網絡戰爭對抗的趨勢。與現實戰爭不同的是，現代戰爭可能因為某些導火索而一觸即發，而網絡戰爭更依賴於對戰略性對手的早期偵查和探測，並實施長期的滲透和潛伏。

我們在此份報告中再次圍繞地緣政治博弈主導下的網絡空間APT組織的主題，對全球主要的APT組織近年來的情況進行總結和介紹，並結合了其在上半年的活動情況，APT已然是國家和情報機構在網絡空間領域的戰略手段。

奇安信威脅情報中心和紅雨滴研究團隊也將持續致力於最新APT活動的跟蹤和研究，以及披露相關APT組織、技術能力和網絡武器的情況。

 

附錄1 奇安信威脅情報中心

奇安信威脅情報中心是奇安信集團旗下的威脅情報整合專業機構。該中心以業界領先的安全大數據資源為基礎，基於奇安信長期積累的核心安全技術，依託亞太地區頂級的安全人才團隊，通過強大的大數據能力，實現全網威脅情報的即時、全面、深入的整合與分析，為企業和機構提供安全管理與防護的網絡威脅預警與情報。

奇安信威脅情報中心對外服務平臺網址為https://ti.qianxin.com/。服務平臺以海量多維度網絡空間安全數據為基礎，為安全分析人員及各類企業用戶提供基礎數據的查詢，攻擊線索拓展，事件背景研判，攻擊組織解析，研究報告下載等多種維度的威脅情報數據與威脅情報服務。

微信公眾號：奇安信威脅情報中心

 

附錄2 紅雨滴團隊（RedDrip Team）

奇安信旗下的高級威脅研究團隊紅雨滴（RedDrip Team，@RedDrip7）,成立於2015年（前身為天眼實驗室），持續運營奇安信威脅情報中心至今，專注於APT攻擊類高級威脅的研究，是國內首個發布並命名「海蓮花」（APT-C-00，OceanLotus）APT攻擊團夥的安全研究團隊，也是當前奇安信威脅情報中心的主力威脅分析技術支持團隊。

目前，紅雨滴團隊擁有數十人的專業分析師和相應的數據運營和平臺開發人員，覆蓋威脅情報運營的各個環節：公開情報收集、自有數據處理、惡意代碼分析、網絡流量解析、線索發現挖掘拓展、追蹤溯源，實現安全事件分析的全流程運營。團隊對外輸出機讀威脅情報數據支持奇安信自有和第三方的檢測類安全產品，實現高效的威脅發現、損失評估及處置建議提供，同時也為公眾和監管方輸出事件和團夥層面的全面高級威脅分析報告。

依託全球領先的安全大數據能力、多維度多來源的安全數據和專業分析師的豐富經驗，紅雨滴團隊自2015年持續發現多個包括海蓮花在內的APT團夥在中國境內的長期活動，並發布國內首個團夥層面的APT事件揭露報告，開創了國內APT攻擊類高級威脅體系化揭露的先河，已經成為國家級網絡攻防的焦點。

團隊LOGO：

 

附錄 參考連結

1.https://ti.qianxin.com/blog/

2.https://ti.qianxin.com/uploads/2018/08/01/c437f2e1f3eba14802924e26fc2318fb.pdf

3.https://ti.qianxin.com/uploads/2019/01/02/56e5630023fe905b2a8f511e24d9b84a.pdf

4.https://attack.mitre.org/

5.https://www.misp-project.org/galaxy.html

6.https://docs.google.com/spreadsheets/u/0/d/1H9_xaxQHpWaa4O_Son4Gx0YOIzlcBWMsdvePFX68EKU/pubhtml#

7.https://www.justice.gov/opa/press-release/file/1092091/download
8.https://www.cyberscoop.com/apt32-ocean-lotus-vietnam-car-companies-hacked/

9.https://blog.alyac.co.kr/

10.https://securelist.com/scarcruft-continues-to-evolve-introduces-bluetooth-harvester/90729/

11.https://s.tencent.com/research/report/711.html

12.https://www.freebuf.com/articles/paper/120002.html

13.https://www.first.org/resources/papers/tallinn2019/Linking_South_Asian_cyber_espionnage_groups-to-publish.pdf

14.https://labs.bitdefender.com/2017/09/ehdevel-the-story-of-a-continuously-improving-advanced-threat-creation-toolkit/

15.https://www.arbornetworks.com/blog/asert/donot-team-leverages-new-modular-malware-framework-south-asia/

16.https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2018/03/07180251/Penquins_Moonlit_Maze_PDF_eng.pdf

17.https://www.welivesecurity.com/wp-content/uploads/2018/10/ESET_GreyEnergy.pdf

18.https://blog.yoroi.company/research/apt28-and-upcoming-elections-possible-interference-signals/

19.https://securityaffairs.co/wordpress/82772/apt/russian-apt-groups-may-elections.html

20.https://securityaffairs.co/wordpress/81445/apt/apt28-institutions-europe.html

21.https://securelist.com/zebrocys-multilanguage-malware-salad/90680/

22.https://www.nytimes.com/2012/06/01/world/middleeast/obama-ordered-wave-of-cyberattacks-against-iran.html

23.https://securelist.com/equation-the-death-star-of-malware-galaxy/68750/

24.https://media.defense.gov/2018/Sep/18/2002041658/-1/-1/1/CYBER_STRATEGY_SUMMARY_FINAL.PDF

25.https://www.nytimes.com/2019/06/15/us/politics/trump-cyber-russia-grid.html

26.https://www.fireeye.com/blog/threat-research/2019/01/global-dns-hijacking-campaign-dns-record-manipulation-at-scale.html

27.https://www.crowdstrike.com/blog/widespread-dns-hijacking-activity-targets-multiple-sectors/

28.https://blog.talosintelligence.com/2018/11/dnspionage-campaign-targets-middle-east.html

29.https://www.fireeye.com/blog/threat-research/2017/12/targeted-attack-in-middle-east-by-apt34.html

30. https://unit42.paloaltonetworks.com/behind-the-scenes-with-oilrig/

31.https://blog.talosintelligence.com/2019/04/dnspionage-brings-out-karkoff.html

32.https://unit42.paloaltonetworks.com/unit42-muddying-the-water-targeted-attacks-in-the-middle-east/

33.https://ti.qianxin.com/blog/articles/apt-organization-muddywater-new-weapon-muddyc3-code-leak-and-analysis

34.https://hack2interesting.com/iranian-cyber-espionage-apt33/

35.https://www.welivesecurity.com/2019/03/11/gaming-industry-scope-attackers-asia/

36.https://securelist.com/operation-shadowhammer/89992/

37.https://www.welivesecurity.com/2019/05/14/plead-malware-mitm-asus-webstorage/

38.https://www.wired.com/story/triton-hackers-scan-us-power-grid/

39.https://www.nytimes.com/2019/06/22/us/politics/us-iran-cyber-attacks.html

40.https://www.symantec.com/blogs/threat-intelligence/waterbug-espionage-governments

41.https://www.eff.org/files/2015/01/27/20150117-spiegel-overview_of_methods_for_nsa_integrated_cyber_operations_0.pdf

42.https://www.cybereason.com/blog/operation-soft-cell-a-worldwide-campaign-against-telecommunications-providers