情报来源
安恒威胁情报中心 APT组织分布全景图 https://ti.dbappsecurity.com.cn/apt/map
相关APT组织信息
APT(Advanced Persistent Threat,高级持续性威胁)组织,通常从事间谍活动,套取情报、窃取敏感信息,以下是这些组织结构的信息
| APT组织名称 | 恶意域名 | 恶意IP地址 | 首次出现 | 攻击动机 | 攻击来源 | 目标地域 | 涉及行业 | 详情描述 |
| Longhorn | shayalyawm.com www.shayalyawm.com www.mdeastserv.com babmaftuh.com alwatantrade.com elehenishing.com www.alwatantrade.com www.babmaftuh.com wnupdnew.com almawaddrial.com mdeastserv.com img.dealscienters.net teknikgorus.com www2.uaefinance.org cdn.fmlstatic.com | 2009 | 信息窃取与间谍活动 | 美国 | 中国、欧洲 | 航天、航空、教育行业、能源行业、金融行业、政府、IT行业、石油天然气、科研、通信行业 | Longhorn,美国中央情报局(CIA)背景,对我国进行的长达十一年的网络攻击渗透,我国航空航天、科研机构、石油行业、大型互联网公司以及政府机构等多个单位均受到影响。其核心武器文件使用了维基解密曝光的美国中央情报局CIA网络情报中心的文件中的“Vault7(穹窿7)”项目。 | |
| 方程式 | www.config.getmyip.com arm2pie.com www.computertechanalysis.com ww3.computertechanalysis.com config.getmyip.com computertechanalysis.com hostmaster.arm2pie.com timelywebsitehostesses.com micraamber.net hostmaster.quickupdateserv.com www.slayinglance.com hostmaster.meevehdar.com www.havakhosh.com rubriccrumb.com techsupportpwr.com rapidlyserv.com havakhosh.com mimicrice.com charging-technology.com industry-deals.com | 2001 | 信息窃取与间谍活动、破坏活动 | 美国 | 阿富汗、孟加拉、比利时、巴西、厄瓜多尔、法国、德国、香港、印度、伊朗、伊拉克、以色列、哈萨克斯坦、黎巴嫩、利比亚、马来西亚、马里、墨西哥、尼日利亚、巴基斯坦、巴勒斯坦、菲律宾、卡塔尔、俄罗斯、新加坡、索马里、南非、苏丹、瑞士、叙利亚、阿拉伯联合酋长国、英国、美国、也门 | 航天、国防、能源行业、政府、媒体行业、石油天然气、通信行业、物流行业 | 方程式组织是一个由卡巴斯基实验室于2015年发现并曝光的尖端网络犯罪组织,该组织被称为世界上最尖端的网络攻击组织之一,同震网(Stuxnet)和火焰(Flame)病毒的制造者紧密合作且在幕后操作。方程式组织的名字来源于他们在网络攻击中对使用强大加密方法的偏好。其与美国国家安全局(NSA)存在联系。并且该组织使用的C2地址早在1996年就被注册,暗示了其存在了20年之久。该组织实力雄厚,在漏洞方面具有绝对优势,并且拥有强大的武器库。涉及的行业包括政府和外交机构、电信、航天、能源、核研究、军事、纳米技术、宗教活动家、媒体、运输业、金融行业等。 | |
| 索伦之眼 | wildhorses.awardspace.info j.bikessport.com csrv.rapidcomments.com ww1.rapidcomments.com 00000h.omagsadoabtaa1yaeaahmabraaxaam.a.bikessport.com flowershop22.110mb.com rapidcomments.com www.rapidcomments.com www.bikessport.com www.myhomemusic.com 00004h.abqqa3aaneag4adoaaxaacqabiaeqa.a.bikessport.com csrv01.rapidcomments.com a.bikessport.com agc9221.bikessport.com bikessport.com dievinothek.net chirotherapie.at mbit-web.com weingut-haider-malloth.at mail.mbit-web.com | 2011 | 信息窃取与间谍活动 | 美国 | 比利时、中国、伊朗、俄罗斯、卢旺达、瑞典 | 国防、大使馆、金融行业、政府、通信行业、Scientific research centers | 索伦之眼为2016年赛门铁克披露的一个针对俄罗斯、中国等国家发动高级攻击的APT组织,其主要以窃取敏感信息为主要目的,活动最早可追溯到2010年。国内受影响用户包括科研教育、军事、政府机构、基础设施、水利、海洋等行业领域。专注于收集高价值情报。综合能力不弱于震网、火焰等。 | |
| 盲眼鹰 | javierandresparramojica09.duckdns.org pruebaremc.duckdns.org www.pruebaremc.duckdns.org cepeda.linkpc.net www.small-business-solutions.biz sucursalpersonastransaccionesbancolombialccomvaliddo.small-business-solutions.biz sucursapersonastransacionebancolombiacom.small-business-solutions.biz sucursalpersonastransaccionesbancolombiacomval.small-business-solutions.biz sucursapersonastransaccionebancolombiacom.small-business-solutions.biz sucursapersonastransacionebancolombiaccomn.small-business-solutions.biz | 201.219.204.73 128.90.115.100 | 2018 | 信息窃取与间谍活动 | 拉丁美洲 | 哥伦比亚 | 金融行业、政府、大型国内公司和跨国公司分支机构 | 从2018年4月起至今,一个疑似来自南美洲的APT组织盲眼鹰针对哥伦比亚政府机构和大型公司(金融、石油、制造等行业)等重要领域展开了有组织、有计划、针对性的长期不间断攻击。 |
| APT33 | www.googlmail.net www.becomestateman.com www.akadnsplugin.com akadnsplugin.com support-newyork.com www.support-newyork.com www.publicsecur.com publicsecur.com www.service-houston.com service-houston.com www.rosyblue.co.th mail.rosyblue.co.th mail2.rosyblue.co.th rosyblue.co.th dyncorp.ddns.net sabic-co.ddns.net chromup.com www.ngaaksa.ga service-avant.com securityupdated.com | 91.134.187.27 | 2013 | 信息窃取与间谍活动、破坏活动 | 伊朗 | 伊朗、伊拉克、以色列、沙特阿拉伯、韩国、英国、美国 | 航空、国防、教育行业、能源行业、金融行业、政府、医疗卫生行业、高科技、制作业、媒体行业、石油化工业、其他 | APT33的活动踪迹至少可以追溯至2013年,该组织很可能是为伊朗政府工作。攻击目标主要是总部位于重点关注美国、沙特阿拉伯和韩国的组织,这些组织跨越多个行业,观察APT33以往的活动可知,它尤其关注航空航天(包括军事的和商业的)和与石油化工生产有关的能源部门的组织,这表明APT33的目的可能是获取对政府或军事有益的战略情报。APT 33似乎从2017年起就与OilRig,APT 34,Helix Kitten,Chrysene组织密切相关。 |
| APT35 | jamaatforummah.com jamaatforallah.com jamaat-ul-islam.com jamatapplication.com cpcontacts.soasradio.org webmail.soasradio.org cpanel.soasradio.org webdisk.soasradio.org soasradio.org cpcalendars.soasradio.org mail.soasradio.org www.soasradio.org spam.apply-jobs.com www.apply-jobs.com mx.apply-jobs.com apply-jobs.com mail.apply-jobs.com 1drv.cyou 1drv.xyz 1drv.casa 1drv.surf 1drv.icu 1drv.live www.1drv.live 1drv.online account-yahoomail.com products-symantec.com kristinaqueen.com shopforeplay.com readersdigest.top cpanel.maxenservices.com autodiscover.maxenservices.com mail.maxenservices.com www.maxenservices.com maxenservices.com webdisk.maxenservices.com noreplyservice.top talknews.co whatsapp-security.net trust-web.link url-browser.com office.live.authenticationlogin.com authenticationlogin.com drive.google.authenticationlogin.com www.authenticationlogin.com gittigidiyor-testt.authsecurelogin.com babalar-gunu.authsecurelogin.com foldortravel111.authsecurelogin.com login-hesabiniza-giris-yapildi.authsecurelogin.com netflixofficial.authsecurelogin.com | 185.141.63.8 139.59.46.154 134.19.188.242 134.19.188.243 134.19.188.244 109.202.99.98 54.37.164.254 134.19.188.246 213.152.176.205 185.23.214.188 213.152.176.206 146.59.185.15 146.59.185.19 185.23.214.187 95.216.230.247 51.89.237.233 185.141.63.162 185.141.63.160 51.255.157.110 185.141.63.170 185.141.63.156 51.89.237.235 185.141.63.135 185.141.63.161 51.38.87.199 185.141.63.157 51.89.237.234 | 2013 | 信息窃取与间谍活动 | 伊朗 | 阿富汗、加拿大、埃及、伊朗、伊拉克、以色列、约旦、科威特、摩洛哥、巴基斯坦、沙特阿拉伯、西班牙、叙利亚、土耳其、阿拉伯联合酋长国、英国、委内瑞拉、也门 | 国防、能源行业、金融行业、政府、医疗卫生行业、IT行业、石油天然气、工程技术、通信行业 | Magic Hound是一个由伊朗赞助的威胁组织,主要在中东活跃,该组织最早的活动可追溯到2014年。Magic Hound主要针对能源、政府和技术部门的组织,这些组织都在沙特阿拉伯有业务基础,或在沙特阿拉伯有商业利益。 Magic Hound与{{Rocket Kitten,Newscaster,NewsBeef}}和{ITG18}的一些基础设施有重叠。 |
| 拍拍熊 | mmksba.simple-url.com mmksba.dyndns.org webhoptest.webhop.info new2019.mine.nu adamnews.for.ug mslove.mypressonline.com go.sawarim.com www.sawarim.com sawarim.com pubs.sawarim.com download3.pubs.sawarim.com go.sawarim.xyz pubs.sawarim.xyz sawarim.xyz go.sawar.im pubs.sawar.im www.sawar.im download3.pubs.sawar.im sawar.im isdarats.com sorry.duckdns.org samd1.duckdns.org samd2.duckdns.org btcaes2.duckdns.org www.sawarim.pw www.androids-app.com sawarim.net www.sawarim.net go.sawarim.net snapcard.argia.co.id androids-app.com mail.androids-app.com da3da3.duckdns.org www.samd1.duckdns.org www.da3da3.duckdns.org www.btcaes2.duckdns.org www.sorry.duckdns.org www.isdarats.pw isdarats.pw | 144.91.65.101 | 2015 | 信息窃取与间谍活动 | 叙利亚 | 埃及、以色列、伊斯兰国家 | 国防 | 拍拍熊是一个中东地区背景,使用阿拉伯语且有政治动机的APT攻击组织,自2015年被发现至今,频繁进行有组织、有计划、针对性的不间断攻击,特别是针对巴勒斯坦、以色列、埃及等中东动乱国家进行攻击。该组织一直很活跃,典型的攻击目标包括政府机构、武装组织领导、媒体人士、政治活动家和外交官等。使用的木马采用了自解压、VB脚本和PowerShell无文件落地等多层技术隐藏木马实现规避杀毒软件查杀,以提高攻击的隐蔽性和持久性。 |
| 军刀狮 | mx.dlgmail.com dlgmail.com mail.dlgmail.com www.dlgmail.com www.dldocuments.com dldocuments.com mail.dldocuments.com www.rhubarb2.com adobeseupdater.com www.dlstubes.com www.dlstube.com androidupdaters.com solar64.xp3.biz www.googleupdators.com rhubarb2.com entekhab10.xp3.biz api.cnetdown.com dlstube.com adobeactiveupdate.com mail.dlstubes.com www.askdownloaders.adobeactiveupdates.com googleupdators.com mail.dlstube.com mail.rhubarb3.com mta-sts.mail.androidupdaters.com adobeactiveupdates.com mail.androidupdaters.com www.rhubarb3.com mail.googleupdators.com mail.adobeactiveupdates.com mail.adobeactiveupdate.com www.androidupdaters.com ww.rhubarb2.com askdownloaders.adobeactiveupdates.com www.adobeactiveupdates.com dlstubes.com showroommontorgueil.com alnaharegypt.news | 119.8.16.23 | 2015 | 信息窃取与间谍活动 | 未知 | 埃及、伊拉克、伊朗、约旦、科威特、黎巴嫩、摩洛哥、库尔德斯坦 | 媒体行业 | APT29归属于俄罗斯,政府背景,和俄罗斯一个或多个情报机构有关,其收集情报以支持外交和安全政策做决定,至少自2008年开始就已经运作。APT29似乎针对不同的目标项目拥有不同的小组。其目标包括军事、政府、能源、外交、电信等。主要针对西方政府和相关组织,例如政府部门和机构,政治智囊团和政府分包商;还包括独立国家联合体成员国的政府;亚洲、非洲和中东国家的政府;与车臣极端主义有关的组织;以及从事管制药物和毒品非法贸易的俄罗斯发言人等。+I9 |
| 人面狮 | ww2.wooddown.com ww92.wooddown.com www.wooddown.com wooddown.com hsbc-auth-2.ru www.ru-id21387192837.com ru-id21387192837.com hjhqmbxyinislkkt.1j9r76.top p27dokhpz2n7nvgr.1lseoi.top p220333.infopicked.com p421803.infopicked.com p376122.infopicked.com p329076.infopicked.com beta.infopicked.com p245721.infopicked.com p25433.infopicked.com p377977.infopicked.com p421218.infopicked.com p421832.infopicked.com p381245.infopicked.com p230710.infopicked.com p251644.infopicked.com p178775.infopicked.com p377843.infopicked.com p265797.infopicked.com p330242.infopicked.com p291922.infopicked.com p328123.infopicked.com p52929.infopicked.com p321539.infopicked.com p34008.infopicked.com p389666.infopicked.com p328123.infopicked.com p424846.infopicked.com p417936.infopicked.com p400089.infopicked.com p368417.infopicked.com p374865.infopicked.com ngp4.infopicked.com p102226.infopicked.com p309496.infopicked.com p226681.infopicked.com p340910.infopicked.com ngp1.infopicked.com p397008.infopicked.com p411324.infopicked.com p394129.infopicked.com p420231.infopicked.com p131675.infopicked.com p277439.infopicked.com | 91.120.216.0 91.119.216.0 91.121.216.0 91.121.40.141 13.90.196.81 91.218.114.29 111.67.16.202 194.31.59.5 37.228.151.133 91.239.24.70 91.239.24.0 91.120.56.0 91.121.56.0 176.121.14.95 87.98.148.0 213.32.66.16 87.96.148.0 87.97.148.0 185.67.2.156 185.102.136.67 | 2014 | 信息窃取与间谍活动 | 未知 | 埃及、以色列 | 人面狮行动是活跃在中东地区的网络间谍活动,主要目标可能涉及到埃及和以色列等国家的不同组织,目的是窃取目标敏感数据信息。活跃时间主要集中在 2014 年 6 月到 2015年 11 月期间,相关攻击活动最早可以追溯到 2011 年 12 月。主要采用利用社交网络进行水坑攻击。 | |
| 双尾蝎 | haleymartinez.me formore.for-more.biz mmksba.simple-url.com mmksba.dyndns.org webhoptest.webhop.info new2019.mine.nu mmksba100.linkpc.net fateh.aba.ae martnews.aba.ae adamnews.for.ug www.postmail.website mslove.mypressonline.com postmail.website nancy-mulligan.live jamesmontano.life apps-market.site amanda-hart.website www.nicoledotson.icu nicoledotson.icu tatsumifoughtogre.club benyallen.club robert-keegan.life www.benyallen.club www.robert-keegan.life chad-jessie.info mail.samwinchester.club www.samwinchester.club mail.nicoledotson.icu samwinchester.club www.tatsumifoughtogre.club cpanel.nicoledotson.icu www.baldwin-gonzalez.live baldwin-gonzalez.live www.escanor.live escanor.live www.charmainellauzier.host gonzalez-anthony.info gallant-william.icu www.jaime-martinez.info ansonwhitmore.live doloresabernathy.icu krasil-anthony.icu malpas-west-rook.live charmainellauzier.host jaime-martinez.info judystevenson.info gatelykimble.icu www.gatelykimble.icu whispers-talk.site mail.whispers-talk.site | 2011 | 信息窃取与间谍活动 | 加沙 | 阿尔巴尼亚、阿尔及利亚、澳大利亚、比利时、波黑、加拿大、中国、塞浦路斯、丹麦、埃及、法国、德国、希腊、匈牙利、印度、伊朗、伊拉克、以色列、意大利、日本、约旦、科威特、黎巴嫩、利比亚、马里、毛里塔尼亚、墨西哥、摩洛哥、荷兰、挪威、巴基斯坦、巴勒斯坦、葡萄牙、卡塔尔、罗马尼亚、俄罗斯、沙特阿拉伯、韩国、苏丹、瑞典、叙利亚、中国台湾、土耳其、阿拉伯联合酋长国、乌克兰、美国、乌兹别克斯坦、也门、津巴布韦 | 基础设施、国防、教育行业、政府、媒体行业、物流行业 | 2016年5月起至今,双尾蝎组织对巴勒斯坦教育机构、军事机构等重要领域展开了有组织、有计划、有针对性的长时间不间断攻击。攻击平台主要包括Windows与Android,攻击范围主要为中东地区。使用的后门程序主要伪装成文档、播放器、聊天软件以及一些特定领域常用软件,通过鱼叉或水坑等攻击方式配合社会工程学手段进行渗透,向特定目标人群进行攻击。 | |
| 黄金鼠 | chat.guardz.ru chatmode.us.to chat.queerline.de secureonline.info.tm chatsecurelite.us.to basharalassad1sea.noip.me shamiamouhesni.mm.my chatsecurelite.uk.to bashalalassad1sea.noip.me telegram.strangled.net telgram.strangled.net android.nard.ca | 94.177.251.146 | 2014 | 信息窃取与间谍活动 | 叙利亚 | 叙利亚、中东 | 黄金鼠组织长期针对叙利亚等阿拉伯国家进行网络攻击。攻击平台从开始的Windows平台逐渐扩展至Android平台。恶意样本主要伪装成聊天软件及一些特定领域常用软件,通过水坑攻击方式配合社会工程学手段进行渗透,向特定目标人群进行攻击。该组织在攻击过程中使用了大量的资源,说明其资源丰富。并且他们的攻击主要以窃取信息为主的间谍活动。 | |
| OilRig | offlineearthquake.com www.offlineearthquake.com klwebsrv.com acceptplan.com www.importantgate.com ns1.importantgate.com importantgate.com ns2.importantgate.com hopeisstamina.com flexiblepaper.com donotfollowmeass.com cannibalwoman.com unsecuredstorage.com confusedtown.com forecasterman.com crucialanswer.com metroupload.com endlesspromises.com severalfissures.com pluginmain.com yciwqtaleh1wegaketpmqtahecnuetwb.dnsstatus.org yciwztanet1kcpnjds1wepwacqmz6frgxqlzutrxsmuux.defenderlive.com yciwftnnemojsgnpet6sqtahecnuetwb.dnsstatus.org yciwztpnec1jebaheqomqtahecnuetwb.dnsstatus.org www.sarmsoftware.com sarmsoftware.com www.microsoft-publisher.com mail.touch.com.lb www.cannabispropertybrokers.com colchoeslowcost.pt poptateseatery.com cannabispropertybrokers.com mail.bestelectricpanels.com smtp.opw-global.com mail.dledcardetails.pt mail.loanabank.com opw-global.com digi.shanx.icu ns1.windowscredcity.com aa1vs.windowscredcity.com aa1xm.windowscredcity.com ns2.windowscredcity.com aa1ox.windowscredcity.com aa1yr.windowscredcity.com aa1on.windowscredcity.com windowscredcity.com emfz2lt_kk6d8lx4u0zosqjpq62rrsr3aw6unq74db0-.dth7.tacsent.com ns2.tacsent.com www.rsshay.com rsshay.com | 23.19.58.18 23.19.58.17 96.9.255.246 48.32.32.32 35.35.48.110 185.205.210.46 95.179.177.157 46.30.189.92 46.105.221.247 | 2014 | 信息窃取与间谍活动 | 伊朗 | 阿塞拜疆、伊拉克、以色列、科威特、黎巴嫩、毛里求斯、巴基斯坦、卡塔尔、沙特阿拉伯、土耳其、阿拉伯联合酋长国、英国、美国 | 航空、化工、教育行业、能源行业、金融行业、政府、高科技、餐饮行业、石油天然气、通信行业 | OilRig组织于2016年首次被 Palo Alto Networks威胁情报小组 Unit 42发现,该组织至少从2014年开始运营。OilRig攻击的组织机构甚多,覆盖行业甚广,从政府、媒体、能源、交通、物流一直到技术服务供应商。 研究人员认为,OilRig组织主要集中在有利于伊朗民族国家利益的侦察工作上,并评估APT34代表伊朗政府工作,其基础设施细节包括提及伊朗、使用伊朗基础设施以及符合民族国家利益的目标。 |
| MuddyWater | tfu.ae snort.lauradesnoyers.com oauth-services.live webmail.lax.co.il office.otzo.com bonisa.ir www.advanceorthocenter.com advanceorthocenter.com mail.advanceorthocenter.com www.beerech.pazazta.com www.criety.pazazta.com opalplastic.pazazta.com instmech.uz cpanel.ektamservis.com webmail.ampacindustries.com fws-ltd.pazazta.com www.super.assignmenthelptoday.com cpanel.ankara24saatacikcicekci.com mail.ankara24saatacikcicekci.com wadigroup.adibf.ae wadigroup.adibf.ae test.plet.dk cpanel.ampacindustries.com mail.annapolisfirstlimo.com mail.foura.biz mail.gtme.ae blogabout.pazazta.com annapolisfirstlimo.com criety.pazazta.com ns2.instmech.uz webdisk.ksahosting.net gyrotonic.pazazta.com annapolisfirstlimo.com cpanel.ksahosting.net beerech.pazazta.com www.kadmon-brincom.pazazta.com mailgw.andreasiegl.com mail.instmech.uz smtp1.andreasiegl.com webmail.assignmenthelptoday.com hejokja.plet.dk mail.pazazta.com mail.ksahosting.net ledsgo.pazazta.com tzaadim.pazazta.com www.wadigroup.adibf.ae www.rofa.andreasiegl.com www.ampacindustries.com www.andreabelfi.com www.assignmenthelptoday.com | 185.183.96.28 87.236.212.184 23.95.215.100 23.94.50.197 185.183.98.242 80.80.163.182 103.13.67.4 91.187.114.210 80.90.87.201 192.210.214.83 107.173.141.114 107.173.181.139 107.173.141.103 107.175.0.140 185.183.96.11 107.172.97.172 185.141.27.156 104.168.14.116 185.82.202.70 185.82.202.66 185.183.96.61 212.143.154.158 37.120.146.73 194.36.189.182 24.244.207.36 92.223.89.200 173.205.92.72 103.205.140.177 5.201.174.82 198.16.66.43 87.113.216.57 | 2017 | 信息窃取与间谍活动 | 伊朗 | 阿富汗、亚美尼亚、奥地利、阿塞拜疆、巴林、白俄罗斯、埃及、格鲁吉亚、印度、伊朗、伊拉克、以色列、约旦、黎巴嫩、马里、荷兰、阿曼、巴基斯坦、俄罗斯、沙特阿拉伯、塔吉克斯坦、突尼斯、土耳其、阿拉伯联合酋长国、乌克兰、美国 | 国防、教育行业、能源行业、金融行业、食品与农业、游戏行业、政府、医疗卫生行业、高科技、IT行业、媒体行业、非政府组织、石油天然气、通信行业、物流行业 | MuddyWater 是伊朗的 APT 组织,主要针对中东地区、欧洲和北美地区,目标主要是政府、电信和石油部门, 具有强烈的政治目的。 该APT组织显著的攻击特点为善于利用Powershell等脚本后门,通过Powershell在内存中执行,可以减少恶意文件落地执行。据悉,该组织自2017年11月被曝光以来,不但没有停止攻击,反而更加积极地改进攻击武器,在土耳其等国家持续活跃。 |
| Turla | smtp.leifhelt.com h.stockovernolg.com www.something.com check3.server.anitgame.officeweb.info mail.cavilum.cl tmp.cyberium.cc www.libreo.club smtp.evapimplogs.com t1.xofinity.com xfyubqmldwvuyar.yt www.xfyubqmldwvuyar.yt xsso.kpybuhnosdrm.in kpybuhnosdrm.in www.kpybuhnosdrm.in andronmatskiv20.sytes.net pashamasha.top www.balletmaniacs.com www.markham-travel.com zebra.wikaba.com mail.markham-travel.com markham-travel.com cpanel.belcollegium.org old.belcollegium.org www.belcollegium.org belcollegium.org www.berlinguas.com wp.soligro.com aiisa.am soligro.com www.soligro.com shop.soligro.com www.armconsul.ru skategirlchina.com worldnews.ath.cx intellicast.ath.cx euronews.ath.cx mightydollars.xyz tangotangocash.com e17794808ecfe7e1.xyz www.thecreativebharat.com mail.mehatinfo.com check2.server.anitgame.officeweb.info cooljin100.ddns.net dream.pics www.dream.pics gn.viper.cool alhabib4rec.duckdns.org alhabib4rec.ddns.net alhabib4rec.freeddns.org gncmdstore.com | 91.193.75.22 47.95.219.96 80.211.181.77 203.248.21.84 92.63.97.69 185.141.62.32 85.222.235.156 212.21.52.110 134.209.222.206 37.59.60.199 47.105.143.181 116.85.54.145 84.200.2.12 165.232.122.138 138.201.44.30 185.106.122.113 62.113.112.10 94.249.192.182 141.255.144.19 193.109.84.21 | 1996 | 信息窃取与间谍活动 | 俄罗斯 | 阿富汗、阿尔及利亚、亚美尼亚、澳大利亚、奥地利、阿塞拜疆、白俄罗斯、比利时、玻利维亚、博茨瓦纳、巴西、中国、智利、丹麦、厄瓜多尔、爱沙尼亚、芬兰、法国、格鲁吉亚、德国、香港、匈牙利、印度、印尼、伊朗、伊拉克、意大利、牙买加、约旦、哈萨克斯坦、吉尔吉斯斯坦、科威特、拉脱维亚、墨西哥、荷兰、巴基斯坦、巴拉圭、波兰、卡塔尔、罗马尼亚、俄罗斯、塞尔维亚、西班牙、沙特阿拉伯、南非、瑞典、瑞士、叙利亚、塔吉克斯坦、泰国、突尼斯、土库曼斯坦、英国、乌克兰、乌拉圭、美国、乌兹别克斯坦、委内瑞拉、越南、也门 | 航天、国防、教育行业、大使馆、能源行业、政府、高科技、IT行业、媒体行业、非政府组织、制药、科研、零售业 | Turla是一个总部位于俄罗斯的威胁组织,自2004年以来,已经在45个国家/地区感染了受害者,其中包括政府,大使馆,军队,教育,研究和制药公司等行业。2015年中期,活动增多。 Turla以进行水坑和鱼叉式钓鱼运动以及利用内部工具和恶意软件而闻名。 Turla的间谍平台主要用于Windows机器,但也被用于对抗macOS和Linux机器。 |
| Cozy Bear(APT29) | www.wilcarobbe.com xsso.wilcarobbe.com wilcarobbe.com xsso.ritsoperrol.ru littjohnwilhap.ru ns4.wilcarobbe.com ns3.wilcarobbe.com xsso.littjohnwilhap.ru ritsoperrol.ru supportcdn.web.app techiefly.com www.theadminforum.com theadminforum.com pcmsar.net www.pcmsar.net content.pcmsar.net financialmarket.org cross-checking.com www.financialmarket.org emergencystreet.com www.emergencystreet.com www.cross-checking.com humanitarian-forum.web.app security-updater.web.app cdnappservice.web.app aimsecurity.net www.aimsecurity.net logicworkservice.web.app supportcdn-default-rtdb.firebaseio.com stsnews.com www.stsnews.com security-updater-default-rtdb.firebaseio.com humanitarian-forum-default-rtdb.firebaseio.com newsplacec.com eventbrite-com-default-rtdb.firebaseio.com holescontracting.com www.holescontracting.com cdnappservice.firebaseio.com language.wikaba.com solution.instanthq.com refreshauthtoken-default-rtdb.firebaseio.com cpcontacts.worldhomeoutlet.com whm.worldhomeoutlet.com webdisk.worldhomeoutlet.com webmail.worldhomeoutlet.com cpcalendars.worldhomeoutlet.com www.worldhomeoutlet.com worldhomeoutlet.com cpanel.worldhomeoutlet.com mail.worldhomeoutlet.com | 111.90.151.120 86.106.131.155 193.36.119.184 89.33.246.82 152.44.45.10 141.255.164.36 152.89.160.81 116.202.251.5 193.34.167.162 45.124.132.106 190.97.165.171 45.124.132.10 37.120.247.163 178.157.13.168 193.36.119.162 91.132.139.195 31.13.195.210 116.202.251.49 169.239.129.121 111.90.147.248 103.193.4.101 141.255.164.40 141.98.214.14 220.158.216.139 141.255.164.11 190.97.165.204 185.140.55.35 169.239.128.132 51.89.115.119 164.132.135.102 51.89.115.117 193.36.116.119 213.227.154.58 185.207.205.174 185.99.133.226 192.99.221.77 83.171.237.173 119.81.184.11 103.216.221.19 192.48.88.107 103.253.41.102 141.98.212.55 178.211.39.6 74.72.74.142 5.61.57.152 23.106.61.74 146.0.32.161 130.0.235.92 78.249.69.35 169.239.128.110 | 2008 | 信息窃取与间谍活动 | 俄罗斯 | 澳大利亚、阿塞拜疆、白俄罗斯、比利时、巴西、保加利亚、加拿大、车臣共和国、中国、塞浦路斯、捷克、法国、格鲁吉亚、德国、匈牙利、印度、爱尔兰、以色列、日本、哈萨克斯坦、吉尔吉斯斯坦、拉脱维亚、黎巴嫩、立陶宛、卢森堡、墨西哥、黑山、荷兰、新西兰、波兰、葡萄牙、罗马尼亚、俄罗斯、斯洛文尼亚、西班牙、韩国、土耳其、乌干达、英国、乌克兰、美国、乌兹别克斯坦、北约 | 国防、能源行业、政府、执法部门、媒体行业、非政府组织、制药、通信行业、物流行业、智囊团 | APT29归属于俄罗斯,政府背景,和俄罗斯一个或多个情报机构有关,其收集情报以支持外交和安全政策做决定,至少自2008年开始就已经运作。APT29似乎针对不同的目标项目拥有不同的小组。其目标包括军事、政府、能源、外交、电信等。主要针对西方政府和相关组织,例如政府部门和机构,政治智囊团和政府分包商;还包括独立国家联合体成员国的政府;亚洲、非洲和中东国家的政府;与车臣极端主义有关的组织;以及从事管制药物和毒品非法贸易的俄罗斯发言人等。 |
| 奇幻熊 | www.wilcarobbe.com xsso.wilcarobbe.com wilcarobbe.com xsso.ritsoperrol.ru littjohnwilhap.ru ns4.wilcarobbe.com ns3.wilcarobbe.com xsso.littjohnwilhap.ru ritsoperrol.ru w.huikin.host www.getstatpro.com getstatpro.com updaterweb.com www.apple-iclods.org www.apple-checker.org apple-uptoday.org apple-checker.org www.apple-uptoday.org apple-iclods.org www.remotepx.net remotepx.net xmr.wulifang.nl www.smithsreddogranch.com iatassl-telechargementsecurity.duckdns.org kasperskylab.ignorelist.com googlechromeupdater.twilightparadox.com librework.ddns.net bitwork.ddns.net wmdmediacodecs.com www.wmdmediacodecs.com tnsc.webredirect.org e2e-7-238.ssdcloudindia.net www.snapdragonsociety.com www.indecisiveradio.com www.laszlotamas.net myaccountsgoogle.com www.myaccountsgoogle.com mail.myaccountsgoogle.com mx1.addmereger.com www.addmereger.com addmereger.com mx2.addmereger.com contentdeliverysrv.net apple-security-device.com admin.macbookas.com macbookas.com www.macbookas.com www.samsungas.com samsungas.com www.hansungas.com | 169.239.129.121 146.185.253.132 185.141.63.47 192.145.125.42 158.58.173.40 77.83.247.81 195.154.250.89 93.115.28.161 185.233.185.21 188.214.30.76 193.29.187.60 45.6.16.68 95.141.36.180 80.255.3.94 194.33.40.72 5.149.253.45 23.227.196.215 45.32.129.185 103.41.177.43 45.63.49.64 86.106.93.111 89.249.65.234 176.31.225.204 220.158.216.127 5.226.139.30 34.243.239.199 195.191.235.155 193.56.28.25 89.37.226.148 80.90.39.24 185.205.209.172 194.32.78.245 31.7.62.103 82.118.242.171 185.86.149.125 185.221.202.36 185.234.52.168 81.19.210.149 172.111.161.232 185.245.85.178 185.227.68.214 89.238.178.14 5.104.105.195 185.216.35.26 89.34.111.160 | 2004 | 信息窃取与间谍活动 | 俄罗斯 | 阿富汗、亚美尼亚、澳大利亚、阿塞拜疆、白俄罗斯、比利时、巴西、保加利亚、加拿大、智利、中国、克罗地亚、塞浦路斯、法国、格鲁吉亚、德国、匈牙利、印度、伊朗、伊拉克、日本、约旦、哈萨克斯坦、拉脱维亚、马来西亚、墨西哥、蒙古国、黑山、荷兰、挪威、巴基斯坦、波兰、罗马尼亚、斯洛伐克、南非、韩国、西班牙、瑞典、瑞士、塔吉克斯坦、泰国、土耳其、乌干达、阿拉伯联合酋长国、英国、乌克兰、美国、乌兹别克斯坦、北约、亚太经合组织和欧安组织 | 汽车行业、航空、化工、建造业、国防、教育行业、大使馆、工程行业、金融行业、政府、医疗卫生行业、工业、IT行业、媒体行业、非政府组织、石油天然气、智囊团、情报机构 | “奇幻熊”(Fancy Bear,T-APT-12)组织,也被称作APT28, Pawn Storm, Sofacy Group, Sednit或STRONTIUM,是一个长期从事网络间谍活动并与俄罗斯军方情报机构相关的APT组织,从该组织的历史攻击活动可以看出,获取国家利益一直是该组织的主要攻击目的。据国外安全公司报道,该组织最早的攻击活动可以追溯到2004年至2007年期间。 |
| FIN7 | civilizationidium.com www.rnkj.pw www.yqox.pw amusient.com nonremittalable.com pigeonious.com executivance.com injuryless.com migrationable.com shareholderma.com countrysidable.com associationable.com cooperativology.com domestickum.com spectrummel.com indulgology.com www.amusient.com www.conglomeratoid.com hemispherious.com conglomeratoid.com jurisdictionient.com dullism.com opposedent.com fidespair.com baradical.com battlefieldant.com keywordsance.com brown-formam.com myofibrilliance.com richesk.com unitious.com bank4america.com browm-forman.com deprivationant.com chyprediction.com capermission.com eyebrowaholic.com offspringance.com cannstattraction.com shareholderery.com discriminatoid.com landownerable.com www.landownerable.com uprestrice.com www.uprestrice.com blankance.com doddyfire.dyndns.org hooferry.com primeautorecon.com dns1.ctxdns.org | 194.165.16.134 194.165.16.113 195.54.162.79 31.184.234.66 179.43.140.82 94.140.120.132 195.123.234.24 37.1.210.119 185.225.17.78 185.33.87.24 195.123.243.169 195.123.240.46 185.16.40.108 108.170.20.89 37.252.4.131 45.133.203.121 195.123.214.181 185.33.84.43 136.244.81.250 108.61.148.97 204.155.31.167 91.192.100.62 195.123.227.40 85.93.2.73 85.93.2.149 85.93.2.148 172.86.75.175 | 2013 | 金融犯罪 | 俄罗斯 | 澳大利亚、法国、马耳他、英国、美国 | 赌博、建造业、教育行业、能源行业、金融行业、政府、高科技、餐饮行业、零售业、工程技术、通信行业、物流行业 | FIN7是一个以经济收益为动机的威胁组织,FIN7组织以钓鱼邮件为攻击渠道,主要对美国金融机构渗透攻击。据称已经从世界各地的公司窃取了超过10亿美元。FIN7使用精密的鱼叉式网络钓鱼邮箱,来说服目标对象下载附件,然后透过附件,让其公司网络遭到恶意软件的感染。在FIN7使用的恶意软件中,最常见的是Carbanak恶意软件的特制版本,已在针对银行的多次攻击中使用。 |
| 摩诃草 | hewle.kielsoservice.net nakamini.ddns.net dingolfainpre.com www.dingolfainpre.com polyinc.live webmail.polyinc.live www.mail.polyinc.live webdisk.polyinc.live cpcontacts.polyinc.live cpcalendars.polyinc.live mail.polyinc.live cpanel.polyinc.live www.polyinc.live g-img.no-ip.biz webmail.cnmailservice.com www.cnmailservice.com ns1.cnmailservice.com cnmailservice.com mail.cnmailservice.com ns2.cnmailservice.com adrev22.ddns.net webdisk.istanbuldanobetcieczaneler.xyz istanbuldanobetcieczaneler.xyz www.istanbuldanobetcieczaneler.xyz autodiscover.istanbuldanobetcieczaneler.xyz cpanel.istanbuldanobetcieczaneler.xyz webmail.istanbuldanobetcieczaneler.xyz mail.istanbuldanobetcieczaneler.xyz newagenias.com www.newagenias.com synchronize.3utilities.com system-administratorr.000webhostapp.com jinkazama.net kyzosune.net www.kyzosune.net qwes.crabdance.com altered.twilightparadox.com wase.chickenkiller.com megamediafile.com ftp.forest-fire.net macsol.org extrememachine.org www.extrememachine.org cobrapub.com fistoffury.net hardwaregeeks.eu ozonerim.net www.cloudmailqq.com cloudmailqq.com secuina.net | 142.202.191.234 142.202.191.236 68.183.214.30 64.227.65.60 34.222.222.126 78.108.216.13 194.5.249.163 195.123.240.6 31.214.240.203 80.82.68.132 62.108.35.215 62.109.13.184 85.204.116.188 194.87.145.86 80.82.68.32 185.14.31.135 217.12.209.44 27.124.7.117 107.155.137.18 82.146.37.128 45.43.192.172 46.166.163.242 212.129.13.110 185.157.78.135 176.107.181.213 139.28.36.38 185.29.10.115 23.106.123.87 212.114.52.148 185.203.119.184 188.241.68.127 91.211.88.71 | 2013 | 信息窃取与间谍活动 | 印度 | 孟加拉、中国、以色列、日本、巴基斯坦、韩国、斯里兰卡、英国、美国、中东和东南亚 | 航空、国防、能源行业、金融行业、政府、IT行业、媒体行业、非政府组织、制药、智囊团 | Patchwork组织, 是一个来自于南亚地区的境外APT组织。该组织最早由Norman安全公司于2013年曝光,随后又有其他安全厂商持续追踪并披露该组织的最新活动,但该组织并未由于相关攻击行动曝光而停止对相关目标的攻击。白象APT组织主要针对中国、巴基斯坦等亚洲地区国家进行网络间谍活动,其中以窃取敏感信息为主.相关攻击活动最早可以追溯到2009年11月,至今还非常活跃.在针对中国地区的攻击中,该组织主要针对政府机构、科研教育领域进行攻击,其中以科研教育领域为主。 |
| 响尾蛇 | afc.chrom3.net faoprot.chrom3.net www-cea-china.chrom3.net www-globa-off.chrom3.net www-globa-aff.chrom3.net chrom3.net mfa-net.chrom3.net mod-cn.trans-del.net nepalarmy.trans-del.net polyinc-global.trans-del.net cr20g.org pak-web.com behr.ppinewsagency.live independenceday.pafwa.info pafwa.info nadra.gov.pk.d-dns.co google.com.d-dns.co cdn.ms-tail.net ms-tail.net www.ms-tail.net www.fdn-aws.net cdn.fdn-aws.net fdn-aws.net cdn.cdn-crypt.net cdn-crypt.net www.cdn-crypt.net cdn-amzn.net cdn.cdn-amzn.net www.cdn-amzn.net cpanel.fincruitconsulting.in cpcalendars.fincruitconsulting.in fincruitconsulting.in webmail.fincruitconsulting.in webdisk.fincruitconsulting.in mail.fincruitconsulting.in www.fincruitconsulting.in as.pakmarines.com pqa.gov.pakmarines.com pmaesa.pakmarines.com pakmarines.com dsadsa.pakmarines.com microsoft-updates.servehttp.com www.bahariafoundation.org pmaesa.bahariafoundation.org maesa.bahariafoundation.org bahariafoundation.org sadqw.bahariafoundation.org mailmofagovpk.cdn-pak.net fqn-mil.net paknavy-gov-cvic.fbise.org | 45.153.241.173 193.19.118.211 45.86.163.115 185.225.17.181 151.236.11.147 185.163.45.56 2.58.14.5 169.239.128.19 185.225.19.46 | 2012 | 信息窃取与间谍活动 | 印度 | 中国、巴基斯坦、南亚 | 国防、政府 | 响尾蛇( Sidewinder)是2018年才被披露的网络威胁组织,疑似与印度有关。该组织长期针对中国和巴基斯坦等东南亚国家的政府,能源,军事,矿产等领域进行敏感信息窃取等攻击活动。SideWinder的最早活动可追溯到2012年,被捕获的诱饵文档中包含“巴基斯坦政府经济事务部”等关键字,可见是对特定目标的定向攻击行为。从近几年该组织活动来看也会针对国内特定目标进行攻击,如驻华大使馆,特定部门等。 |
| 蔓灵花 | hewle.kielsoservice.net file.download.idcpc.gov.cn.document-security.net idcpc.document-security.net mail-gov-cn.netlify.com wdisvcnotifyhost.com www.bheragreens.com bheragreens.com w32timeslicesvc.net ww1.vdsappauthservice.net vdsappauthservice.net mail.vdsappauthservice.net www.vdsappauthservice.net ww2.vdsappauthservice.net mail-gov-cn.netlify.app mail-pku-edu-cn.herokuapp.com xwchn.net nakamini.ddns.net sina.mailcn.org 203.229.0.162.in-addr.arpa. www.emailexchangeservices.com g-img.no-ip.biz pnptrafcroutsvc.net youxiangxiezhu.com jxjuxuy.ddns.net firetoolextapp.net targetcarrier.ddns.net www.system-e-mails.space system-e-mails.space 126.mailcn.org comac.mailcn.org sohu.mailcn.org cpcontacts.mailcn.org cpanel.mailcn.org adrev22.ddns.net mailuserverifyservice.cdaxpropsvc.net verify-continuation-feed-neta-ase.session-oath.com confirm.session-oath.com euwebrnail-rnail.session-oath.com neteasa-rnail-l63-euwebrnail-login.session-oath.com euwebmail163.session-oath.com neteasa-rnail-l63-euwebrnail-logln.session-oath.com rnail-frame-euwebrnail-iogin.session-oath.com cpanel.validateinfotech.com authetication.validateinfotech.com cn.validateinfotech.com 777.validateinfotech.com jspsessionsidwdxfnhi.validateinfotech.com loginsessionid.validateinfotech.com jspsessionsidwdxfnhie.validateinfotech.com authenticatenepalarmy.gmauth.com | 162.222.215.90 23.82.189.4 82.221.136.27 144.91.65.101 162.0.229.203 193.142.58.186 160.20.147.231 23.226.135.100 23.82.141.164 23.226.136.100 23.152.0.221 23.106.160.216 72.11.134.216 192.236.249.173 23.83.133.128 82.221.136.4 79.141.168.109 63.250.38.240 91.211.88.71 188.241.68.127 162.222.215.134 | 2013 | 信息窃取与间谍活动 | 南亚 | 中国、巴基斯坦、沙特阿拉伯 | 能源行业、工程行业、政府 | 蔓灵花(Bitter)是一个来自南亚某国的APT组织,长期针对中国及巴基斯坦的政府、军工、电力、核等部门发动网络攻击,窃取敏感资料,具有较强的政治背景。是目前活跃的针对境内目标进行攻击的境外APT组织之一。该组织最早在2016由美国安全公司Forcepoint进行了披露,他们发现攻击者使用的远程访问工具(RAT)变体使用的网络通信头包含 “BITTER”,所以该这次攻击命名为“BITTER”。其攻击活动最早可追溯到2013年,从2016年始出现对国内的攻击活动。 |
| 肚脑虫 | traveltriangle.cc idmquick.xyz pvttchat.live omegas.site microsoft-patches.servehttp.com picarts.xyz tinyshort.icu realworld.sytes.net update.akamaifast.club domhub.live nakamini.ddns.net microoptservices.com processserviceaccesmanagerlinks.microoptservices.com service.mail.security.com.4xztwvap3govijbexpwnh22rtwhmhrzbosobeg512udmnxg.xwjpo3rxrsnbnfw.59j7hg768jj.kwjvqobysdmi.5w0upf4isc.microoptservices.com winxpo.live dataupdates.live nextgent.top free.newcontest.xyz face.shadowpage.xyz instadownload.buzz plugindownload.buzz getsr.xyz getst.xyz nelog.buzz solutionsroof.xyz frontcheck.buzz credmg.xyz webservice.buzz yoururl.icu fabecook-auth.com www.fabecook-auth.com m.fabecook-auth.com static.fabecook-auth.com en-gb.fabecook-auth.com graph.fabecook-auth.com cuttly.buzz staging.cuttly.buzz nextra.buzz g-img.no-ip.biz share.tginfo-proxy.duckdns.org firm.tplinkupdates.space idmquic.xyz paperflies.buzz domainoutlet.site tginfo-proxy.duckdns.org tgram.club rich-channel.tgram.club www.tgram.club kanal-pobedy.tgram.club hackcaz.tgram.club | 108.177.235.105 204.16.247.103 51.195.211.91 5.135.199.23 95.217.221.24 54.38.212.185 167.99.130.191 45.138.172.7 134.122.41.171 185.236.203.236 142.93.12.211 91.211.88.71 188.241.68.127 | 2018 | 信息窃取与间谍活动 | 未知 | 阿根廷、孟加拉、印度、巴基斯坦、菲律宾、斯里兰卡、泰国、阿拉伯联合酋长国、英国 | 政府 | 肚脑虫(Donot)组织,具有印度背景,主要针对巴基斯坦、克什米尔地区等南亚地区国家进行网络间谍活动的组织,通常以窃密敏感信息为目的。该组织具备针对Windows与Android双平台的攻击能力,其主要使用yty和EHDevel等恶意软件框架。攻击活动最早发现在2016年4月,目前仍持续活跃。国内受影响度相对较小。 |
| 魔罗桫 | pirnaram.xyz parinari.xyz cnic-ferify.live mailerservice.directory ispr.email www.fbr-update.com mail.ispr.email mail.pakistanarmy.email support-team.tech fbr-update.com pakistanarmy.email file-dnld.com download.fbr.tax pemra.email funtifu.live cnic-update.com fbr.news pmogovpk.email www.file-dnld.com api.priveetalk.com defencepk.email l26-rnail-servix.login-verifiction.com nelease-l63-rnail-service.login-verifiction.com net-ease-service-process.login-verifiction.com www.login-verifiction.com netease-service-rnail-pro.login-verifiction.com login-verifiction.com l63-rnail-service.login-verifiction.com mail.csoc.cn.owa.auth.jssession.com nakamini.ddns.net g-img.no-ip.biz adrev22.ddns.net auth.log.mail.scu.edu.infowebemail.com www.upgrade.mail.pku.edu.cn.infowebemail.com images.infowebemail.com auth.log.mail.scu.infowebemail.com upgrade.mail.smg.cn.infowebemail.com www.authenticate.mail.most.gov.cn.infowebemail.com www.auth.log.mail.scu.edu.infowebemail.com www.authenticate.mail.ruc.edu.cn.infowebemail.com www.images.infowebemail.com webmail.infowebemail.com www.infowebemail.com www.authenticate.mail.shisu.edu.cn.infowebemail.com www.images.cn.infowebemail.com www.upgrade.mail.sdu.edu.cn.coremail.msdu.infowebemail.com upgrade.mail.sass.org.infowebemail.com authenticate.mail.most.gov.cn.infowebemail.com www.upgrade.mail.sass.org.infowebemail.com cpcalendars.infowebemail.com | 23.82.140.14 23.82.19.250 69.175.35.98 45.147.231.232 45.84.204.148 91.211.88.71 188.241.68.127 | 2013 | 信息窃取与间谍活动 | 印度 | 蒙古国、巴基斯坦、特立尼达和多巴哥、乌克兰 | 魔罗桫(Confucius)是一个印度背景的APT组织,攻击活动最早可追溯到2013年,主要针对南亚各国的政府、军事等行业目标进行攻击。该组织在恶意代码和基础设施上与Patchwork存在重叠,但目标侧重有所不同。 | |
| 海莲花 | expocasheuro.com chart.expocasheuro.com vofykyt.com www.vofykyt.com vocygef.com fire.inkeler.com 1zp.douyinjdjtv.com sjbingdu.info impeplaism.info channel.chulalongkorntv.net sell.junggukmart.com cpcalendars.evangarnet.com cpanel.evangarnet.com autodiscover.evangarnet.com cpcontacts.evangarnet.com www.evangarnet.com mail.evangarnet.com webdisk.evangarnet.com evangarnet.com webmail.evangarnet.com idgets.sannianban.com sannianban.com bizyeshtech.com media.bizyeshtech.com zhiyuanyundong.net junggukmart.com chulalongkorntv.net view.zhiyuanyundong.com zhiyuanyundong.com energyholdings.net baidusecure.com bjtongchang.com www.bjtongchang.com autodiscover.2bunny.com share.codehao.net blog.panggin.org yii.yiihao126.net yichengqi.com akucpgaaaaaaaaaaaaaaaaaaaaaaaewp.z.gl-appspot.org akucpgaaaaaaaaaaaaaaaaaaaaaaacop.z.gl-appspot.org akucpgaaaaaaaaaaaaaaaaaaaaaaac6v.z.gl-appspot.org akucpgaaaaaaaaaaaaaaaaaaaaaaaeeq.z.gl-appspot.org akucpgaaaaaaaaaaaaaaaaaaaaaaaeov.z.gl-appspot.org akucpgaaaaaaaaaaaaaaaaaaaaaaacw-.z.gl-appspot.org akucpgaaaaaaaaaaaaaaaaaaaaaaae53.z.gl-appspot.org akucpgqaaaaaaaeaaaaaaaaaaaaaacww.aaaaadwaaaa4aaaaejwlcq0m9frxdpl39wxhrms81jks1jt8vayql0hmjwzjhq.qoi7n2deymrlzgzgzgbigamard4p3w.z.gl-appspot.org akucpgaaaaaaaaaaaaaaaaaaaaaaady-.z.gl-appspot.org aaaaaaaaaaaaaaaaaaaaaaaaaaaaacem.z.gl-appspot.org akucpgaaaaaaaaaaaaaaaaaaaaaaadd2.z.gl-appspot.org akucpgaaaaaaaaaaaaaaaaaaaaaaadl2.z.gl-appspot.org | 46.183.222.82 51.222.85.87 5.181.156.198 45.84.1.228 146.0.75.236 37.228.129.33 221.239.21.130 221.219.213.178 185.250.148.114 185.225.19.100 139.99.90.113 45.12.32.207 185.247.226.14 45.144.31.156 116.202.251.27 111.90.151.90 146.185.195.29 104.149.170.178 82.148.14.166 103.140.187.26 179.43.128.26 193.36.119.141 193.36.119.47 216.38.2.200 79.134.225.55 45.79.121.13 183.178.38.178 59.148.68.250 114.35.123.91 121.12.144.92 139.162.109.114 192.151.244.197 91.229.77.179 103.114.161.122 95.168.191.35 5.149.254.19 45.76.106.146 185.174.101.13 185.157.79.134 94.177.123.137 45.61.136.65 45.61.136.166 165.22.245.198 158.69.30.202 46.183.223.106 153.127.37.14 159.65.135.75 50.117.84.157 103.80.48.119 103.83.156.17 | 2013 | 信息窃取与间谍活动 | 越南 | 东盟、澳大利亚、孟加拉、文莱、柬埔寨、中国、丹麦、德国、印度、印尼、伊朗、日本、老挝、马来西亚、缅甸、尼泊尔、荷兰、菲律宾、新加坡、韩国、泰国、英国、美国、越南 | 国防、金融行业、政府、高科技、餐饮行业、制作业、媒体行业、零售业、通信行业 | 海莲花(OceanLotus)组织,似越南政府背景,攻击活动至少可追溯到2012年,长期针对中国及其他东亚国家(地区)政府、科研机构、海运企业等领域进行攻击。其会对在越南制造业、科技公司、消费品行业和酒店业中有既得利益的外国企业进行了长时间的入侵与渗透,以及一直会以外国政府和对越南持不同政治意见的个人和媒体为主要目标。从2012年至今,持续对中国政府、科研院所、海事机构、海域建设、航运企业等相关重要领域进行长时间 不间断攻击。至今十分活跃。 |
| 毒云藤 | 163servers.servesarcasm.com tr8epls2kd0q7.ps5udi42uf7.xyz ccfcommunication.com zgcb.website mp.weixin.qq.com.zgcb.website black.wangshangban.org www.ssy.ikwb.com ssy.ikwb.com email-box-sina.com recresgposst.hosthampster.com mailbox-sohu.com mail-box-sina.com hw-l26.com hw-mail-l26.com file.download.idcpc.gov.cn.document-security.net idcpc.document-security.net sharepoint.webdwnload.com qq.webdwnload.com ccpit.webdwnload.com webdwnload.com fudant.webdwnload.com sina.webdwnload.com qiye163.webdwnload.com outlook.owa.webdwnload.com mail.263.webdwnload.com qiyel63.webdwnload.com ntransferfile.com u-163.com jwaterg.kfqhub.com email.qqserv.info game-update.servegame.com kangzhiq.com www.kangzhiq.com 126hostname.stufftoread.com thefilesload.com 163coremail.thefilesload.com l26mail.com nf-mail-163.com mail.hw-mail-163.com adfs.hw-mail-163.com www.hw-mail-163.com hw-mail-163.com jmwqyc.wangcom.club wildcard-not-existed-test-000000.hwmail163.net hwmail163.net cmaner.chartoday.website webcheck.services www.webcheck.services cags.ac.cn.loginpage.site isisn.nsfc.gov.check.coreitmail.com | 81.70.208.87 95.179.243.142 23.254.228.40 149.28.173.126 155.138.158.158 192.248.150.143 167.179.101.166 217.69.7.193 136.244.81.224 172.104.4.107 192.248.144.224 121.41.205.11 199.247.15.208 45.32.110.85 45.56.114.70 192.236.147.101 149.28.139.249 66.42.62.103 95.179.166.157 96.30.198.27 31.220.53.156 192.53.121.91 45.77.215.217 158.247.210.220 23.254.224.202 192.236.176.84 104.168.149.240 165.227.38.13 45.76.90.194 180.215.22.252 104.168.144.137 207.246.100.26 192.46.227.96 141.164.39.201 149.28.138.131 139.180.207.4 104.200.29.128 172.105.172.29 158.247.209.16 172.104.110.108 199.247.2.78 207.148.104.103 207.148.92.134 108.160.137.182 158.247.210.112 45.77.241.185 95.179.152.14 172.104.33.58 104.238.161.26 172.105.227.32 | 2007 | 中国台湾 | 中国 | 毒云藤,又名绿斑、APT-C-01等,是一个长期针对国内国防、政府、科技和教育领域的重要机构实施网络间谍攻击活动的APT团伙,最早可以追溯到2007年。该组织惯用鱼叉式钓鱼网络攻击,会选取与攻击目标贴合的诱饵内容进行攻击活动,惯用的主题包括通知、会议材料、研究报告等或是采用攻击时间段时事主题。除了附件投递木马外,毒云藤还惯用钓鱼网站钓鱼,窃取目标的账户密码,进而获得更多重要信息。该组织主要关注方向包括:海事、军工、涉台两岸关系、中美关系等。 | ||
| APT38 | tpddata.com webdisk.tpddata.com mail.tpddata.com www.tpddata.com cpanel.tpddata.com webmail.tpddata.com doc.gsheetshare.org www.eye-watch.in down.privatework.buzz b.updatemain.com a.updatemain.com updatemain.com ecombox.store www.ecombox.store ip1.gphi-fjiqoqo.tech www.gphi-adhaswe.xyz gphi-gsaeyheq.top ip1.gphi-gsaeyheq.top gphi-adhaswe.xyz ip1.gphi-adhaswe.xyz update.toythieves.com www.updatesinfos.com gphi.site ip1.s.gphi.site ip2.s.gphi.site www.gphi.site a.updatesinfos.com b.updatesinfos.com updatesinfos.com htta7788.1apps.com bodyshoppechiropractic.com www.bodyshoppechiropractic.com pubs.ignorelist.com ovhelp.mrbasic.com lcgmd.strangled.net shareboard.mrbonus.com tbs.fartit.com vnistudio.mooo.com geodb.ignorelist.com mlods.strangled.net checkupdates.flashserv.net wconsult.longmusic.com download.ns360.info update.craftx.biz movis-es.ignorelist.com bitdefs.ignorelist.com lakers.crabdance.com statis.ignorelist.com paystore.onedumb.com repview.ignorelist.com | 45.61.138.207 45.61.136.204 103.130.195.170 84.201.189.216 | 2014 | 金融犯罪 | 朝鲜 | Bluenoroff是Lazarus组织的分支小组,专门从事金融相关的网络攻击,并负责处理资金转移事项。 | ||
| 黑店 | butterfly.sinip.es ftp.byethost7.com rootca.000space.com silverbell.000space.com www.ltp666.com office-file.net pb.zicxx.net download.zicxx.net zicxx.net cloud-dropbox.com microchsse.strangled.net microlilics.crabdance.com microplants.strangled.net microbrownys.strangled.net micronaoko.jumpingcrab.com ubiztour.net mail.ubiztour.net pop3.ubiztour.net hiworks.ubiztour.net www.ubiztour.net ubiztour.com www.ubiztour.com www.phone-call.net mail.phone-call.net webdisk.phone-call.net cpanel.phone-call.net webmail.phone-call.net phone-call.net secure-gmail.org jenkins.secure-gmail.org ns3.secure-gmail.org 163services.com yahooservice.biz www.163services.com mail.163services.com www.yahooservice.biz autoparts.phpnet.us auto24col.info autonomy.host22.com hostmaster.auto24col.info autozone.000space.com ww1.auto24col.info autoinsurance.000space.com down2.winsoft9.com www.163-msg.com 163-msg.com dailychina.enewscenter.net edailychina.enewscenter.net www.secure.enewscenter.net mail.enewscenter.net | 173.249.151.182 34.206.236.97 154.204.47.141 31.170.162.183 206.221.187.130 185.4.227.2 185.198.56.191 111.90.133.94 173.45.117.245 | 2007 | 信息窃取与间谍活动 | 韩国 | 阿富汗、亚美尼亚、孟加拉、比利时、中国、埃塞俄比亚、德国、希腊、香港、印度、印尼、马来西亚、爱尔兰、以色列、意大利、日本、哈萨克斯坦、吉尔吉斯斯坦、黎巴嫩、马来西亚、墨西哥、莫桑比克、朝鲜、巴基斯坦、菲律宾、俄罗斯、沙特阿拉伯、塞尔维亚、新加坡、韩国、中国台湾、塔吉克斯坦、泰国、土耳其、阿拉伯联合酋长国、英国、美国、越南、其他地区 | 国防、能源行业、政府、医疗卫生行业、餐饮行业、非政府组织、制药、科研、工程技术、中国海外机构 | Darkhotel,是一个来自朝鲜半岛的网络间谍组织,近几年来最活跃的APT组织之一,是一个老牌组织,至少存在10年以上。此前因其攻击目标是入住高端酒店的商务人士或有关国家政要,以酒店WiFi网络为入口对目标进行攻击,因此得名DarkHotel ,中文译作“黑店”。主要攻击对象包括电子通信、商贸行业、工业等企业及高管、有关国家政要人物和政要机构等,目标遍布中国、朝鲜、日本、缅甸、俄罗斯等多个国家。技术实力深厚,如在多次行动中使用0day进行攻击。 |
| Lazarus | templatebinary.site www.alahbabgroup.com www.smartaudpor.com googledocpage.com w3.googledocpage.com www.rterybrstutnrsbberve.com bogdan.erwbtkidthetcwerc.com img14.erwbtkidthetcwerc.com 0.erwbtkidthetcwerc.com www.erwbtkidthetcwerc.com erwbtkidthetcwerc.com james.erwbtkidthetcwerc.com rterybrstutnrsbberve.com mbox.shopweblive.com relay2.shopweblive.com smtp2.shopweblive.com shopweblive.com postmaster.shopweblive.com www.shopweblive.com authsmtp.shopweblive.com ipe.shopweblive.com mail5.shopweblive.com relay.shopweblive.com ms1.shopweblive.com post.shopweblive.com tpddata.com webdisk.tpddata.com mail.tpddata.com www.tpddata.com cpanel.tpddata.com webmail.tpddata.com mail.sisnet.co.kr jinjinpig.co.kr ddjm.co.kr amene.homepc.it ryanmcbain.com www.ryanmcbain.com www.c-section.com ww.w.advantims.com imap.advantims.com www.advantims.com c-section.com mail.advantims.com advantims.com crmute.com wwww.advantims.com server.advantims.com wicall.ir www.sslsharecloud.net sslsharecloud.net | 36.89.85.103 104.168.218.42 213.227.154.65 80.91.118.45 181.119.19.56 46.174.235.36 190.142.200.108 155.138.135.1 91.217.137.37 181.129.134.18 193.37.214.34 195.123.220.193 182.162.89.146 89.44.9.91 216.189.157.89 138.201.169.73 95.0.200.212 170.84.78.224 112.217.108.138 185.113.134.179 3.90.97.16 91.121.89.129 45.147.231.77 216.189.150.185 23.152.0.101 120.138.8.26 103.233.25.209 185.99.2.242 199.89.55.218 125.206.177.152 137.74.114.227 91.134.14.26 181.196.207.202 198.180.198.6 89.134.49.3 84.201.189.216 114.113.63.130 75.146.197.161 103.5.124.94 200.4.220.172 66.181.166.15 114.207.112.202 110.10.189.166 1.251.44.118 212.227.91.36 51.68.119.230 54.241.91.49 118.217.183.180 31.186.8.221 50.192.28.29 | 2007 | 信息窃取与间谍活动、破坏活动、金融犯罪 | 朝鲜 | 澳大利亚、孟加拉、巴西、加拿大、智利、中国、厄瓜多尔、法国、德国、危地马拉、香港、印度、以色列、日本、墨西哥、菲律宾、波兰、俄罗斯、韩国、中国台湾、泰国、英国、美国、越南、Worldwide (WannaCry) | 航天、工程行业、金融行业、政府、媒体行业、工程技术、比特币交易所 | Lazarus组织被认为是来自朝鲜的APT组织,攻击目标遍布全球,最早的活动时间可以追溯至2007年,其主要目标包括国防、政府、金融、能源等,早期主要以窃取情报为目的,自2014年后进行业务扩张,攻击目标拓展到金融机构、虚拟货币交易所等具有较高经济价值的对象。资料显示,2014 年索尼影业遭黑客攻击事件、2016 年孟加拉国银行数据泄露事件、2017年美国国防承包商和能源部门、同年英韩等国比特币交易所攻击事件以及今年针对众多国家国防和航空航天公司的攻击等事件皆被认为与此组织有关。 |
| APT37 | storage.jquery.services ui.jquery.services jquery.services mmksba.simple-url.com webhoptest.webhop.info martnews.aba.ae adamnews.for.ug mslove.mypressonline.com ramble.myartsonline.com www.security-acount.info www.lnfo-master.com www.security-lnfo.com price365.co www.kohtao-idc.com procdiagnostics.com www.procdiagnostics.com mail.procdiagnostics.com mail.msdefendercentre.com msdefendercentre.com www.msdefendercentre.com security.helpnaver.com user.helpnaver.com helpnaver.com www.helpnaver.com nid.helpnaver.com www.smtper.org smtper.org 51xz8.com www.51xz8.com pingguo2.atwebpages.com aerofl0t.com mail.aerofl0t.com webmail.aerofl0t.com cpanel.aerofl0t.com webdisk.aerofl0t.com www.1996hengyou.com www.10vs.net www.0756rz.com adobe.sendsmtp.com ms.dynamic-dns.net mail.price365.co.kr www.artmuseums.or.kr phpview.mygamesonline.org crypto.gstaticstorage.com dmas1.allowed.org fjtlephare.fr hakproperty.com forum.ftpupload.net cpanel.forum.ftpupload.net a7788.1apps.com | 216.189.159.36 185.27.134.11 | 2012 | 信息窃取与间谍活动 | 朝鲜 | 中国、香港、印度、日本、科威特、尼泊尔、罗马尼亚、俄罗斯、韩国、英国、美国、越南 | 航天、汽车行业、化工、金融行业、政府、医疗卫生行业、高科技、制作业、工程技术、物流行业 | APT37是一个疑似来自朝鲜的网络间谍组织,至少从2012年开始就已经活跃,该组织主要针对韩国,日本,越南,俄罗斯,尼泊尔,中国,印度,罗马尼亚,科威特和中东等国家或地区进行攻击。国内主要目标为外贸公司、在华外企高管,甚至政府部门等。 |
| 黑格莎 | console.hangro.net walker.shopbopstar.top www.comcleanner.info goodhk.azurewebsites.net zeplin.atwebpages.com adobeinfo.shopbopstar.top www.phpvlan.com x1.billbord.net petuity.shopbopstar.top register.welehope.com info.hangro.net | 45.76.6.149 185.247.230.252 | 2016 | 韩国 | 中国、日本、朝鲜、尼泊尔、新加坡、俄罗斯、波兰、瑞士 | 外交机构、政府、船运与物流、大使馆 | 黑格莎组织是2019年披露的一个来自朝鲜半岛的专业APT组织,因为其常用higaisa作为加密密码而得名。该组织具有政府背景,其活动至少可以追溯到2016年,且一直持续活跃。该组织常利用节假日、朝鲜国庆等朝鲜重要时间节点来进行钓鱼活动,诱饵内容包括新年祝福、元宵祝福、朝鲜国庆祝福,以及重要新闻、海外人员联系录等等。被攻击的对象包括跟朝鲜相关的外交实体(如驻各地大使馆官员)、政府官员、人权组织、朝鲜海外居民、贸易往来人员等,受害国家包括中国、朝鲜、日本、尼泊尔、新加坡、俄罗斯、波兰、瑞士等。 | |
© 版权声明
安全小天地的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。
安全小天地拥有对此文章的修改、删除和解释权限,如转载或传播此文章,需保证文章的完整性,未经允许,禁止转载!
本文所提供的工具仅用于学习,禁止用于其他,请在24小时内删除工具文件!!!访问本博客请务必遵守有关互联网的相关法律、规定与规则。一旦您访问本博客,即表示您已经知晓并接受了此声明通告。详情见本站的“免责声明”如果有侵权之处请第一时间联系我们删除。敬请谅解!E-mail:anquanclub@foxmail.com
THE END
![解决nginx报错: [warn] conflicting server name “localhost“ on 0.0.0.0:80, ignored-安全小天地](https://s1.ax1x.com/2023/01/09/pSZH6ED.png)
![解决nginx报错: [warn] conflicting server name “localhost“ on 0.0.0.0:80, ignored-安全小天地](https://s4.ax1x.com/2022/02/28/bucLjO.png)
请登录后查看评论内容