高级APT组织的十二星座运势分析

对于网络安全专业人士来说，当您在攻击溯源分析的迷宫中绝望时，不妨请教一下您的夫人，听听她对高级持续威胁(APT)组织头目的星座运势的解读，也许能让您“茅塞顿开”。

人类信奉占星术已有上千年，虽然二次元唯物主义者对此类玄学嗤之以鼻，但是，人格与命运之间的强关联是毋庸置疑的。我们必须清楚，每一个网络攻击策划者和领导者，都是有着特定价值观和性格的活生生的个人，拥有属于自己星座的特质。

[[378718]]

本文，我们将通过星座运势归类和分析当下最危险的APT组织，兴许还能预测他们的“前程”(由于各安全公司和研究机构对APT的编号规则各有不同，本文统一使用Crowdstrike的APT命名规范)：

白羊座(3月21日-4月19日)

白羊座大胆、雄心勃勃，甚至有点侵略性。APT组织Cobalt Spider(又名Cobalt Gang)很符合白羊座的气质，该组织是一个基于经济动机的犯罪集团，针对的是俄罗斯、中亚和东欧的金融机构。Cobalt Spider发送鱼叉式网络钓鱼电子邮件，攻击企业获取利润，让自动柜员机吐钱是该组织最臭名昭著的黑客行动。

金牛座(4月20日-5月20日)

金牛座以其坚忍、耐心、放纵、实用主义和节俭著称。Stardust Chollima(又名APT 38)以专注于创收而闻名，最接近这个星座的气质。该APT组织与朝鲜有关联，并为朝鲜政府获取流动资金。Stardust Chollima的行动以长时间精心执行的攻击为特征。

双子座(5月21日-6月20日)

双子座的人适应力强，异想天开，并且兴趣广泛。有传言说，双子座的人甚至希望能够克隆自己，以更好地追求自己的不同兴趣。这些特征与Wicked Spider(邪恶蜘蛛，也称为Winnti Group或Wicked Panda)的战术和技术非常相似。Wicked Spider的成员有时还充当黑客雇佣兵的角色。因此，该APT专门从事以财务为目的的活动，同时还将其入侵工程、制造和技术领域的业务外包给其他组织。

巨蟹座(6月21日-7月22日)

巨蟹座存在于多个领域(水和土地)，高度的情感化(有点像人类的情绪环)，并且容易吸收他人的能量。与俄罗斯外国情报局有关的Cozy Bear(又名APT 29)也以其灵活性和使工具集适应不同领域的能力而闻名。该APT的攻击面非常大，向包括美国智囊团，非政府组织和外国政府在内的数千个目标发送了网络钓鱼电子邮件。Cozy Bear通过发送包含超级碗广告和“YovTube.com”视频链接的电子邮件而获得了巨大成功，并且在2016年DNC黑客攻击中发挥了积极作用。Cozy Bear能够准确利用美国人最热衷的娱乐活动，说明该组织能够准确找到与目标相同的“共振频道”。

狮子座(7月23日-8月22日)

狮子座具有戏剧性，热衷吸引注意力，雄心勃勃和坚定。符合这个星座特质的组织是花式熊(APT 28)，该组织竭尽全力去挑衅和恐吓那些对俄罗斯利益怀有敌意的人。花式熊被认为隶属于俄罗斯军事情报部门(GRU)，实施了几次备受瞩目的攻击，包括2016年对美国民主党全国委员会的黑客攻击以及针对2017年法国大选的攻击。花式熊以针对目标而进行的广泛侦察行动而闻名，甚至会通过社交媒体和LinkedIn资料进行筛选，以定制对全球政府和政治组织的攻击。花式熊善于使用廉价、简单的技术来打穿高价值目标，非常符合狮子座大胆而又戏剧化的性格。

处女座(8月23日-9月22日)

处女座以合乎逻辑、务实、系统且始终追求改进而著称。这些特征非常符合对毒熊(Venomous Bear，有时称为Turla)的描述。这个总部位于俄罗斯的APT组织采用新颖且复杂的工具(例如，通过木马软件、移动存储设备感染)，并有复杂的信号情报(SIGINT)网络功能支持。据信，毒熊对政府、航空航天、非政府组织、国防、密码学和教育部门的目标发动了越来越复杂的攻击。如此广泛的目标组合暴露了毒熊的“事逼”本性……这可能使其在俄罗斯APT同行中不受欢迎。

天秤座(9月23日-10月22日)

天秤座在与他人的关系中寻求平衡、和谐和对称。巴基斯坦的Mythic Leopard虽然不像个和平使者那样反对冲突，但在感知和操纵其目标之间的关系方面同样精通，并力图与巴基斯坦的竞争对手印度建立地缘政治力量平衡。这个间谍组织使用社会工程学和鱼叉式网络钓鱼攻击印度军事和国防实体，但其攻击技术复杂性较低。在新冠病毒大流行期间，该组织利用健康建议作为诱饵在印度传播了Crimson RAT(远程管理工具)恶意软件。

天蝎座(10月23日-11月21日)

天蝎座以追求权力、神经质和情绪化著称，而且有控制狂倾向。符合这一星座特征的APT组织是Refined Kitten(又名APT 33或Elfin，可能与伊朗的伊斯兰革命卫队有联系)。该组织对伊朗的对手——沙特阿拉伯、阿联酋和美国实施精心策划的间谍活动。该组织还涉嫌参与针对沙特阿拉伯的破坏性Shamoon恶意软件攻击，表现出对复仇的嗜好。假设美国和伊朗之间未来发生冲突，美国公司可能会在其网络中发现该APT组织持久而战略性的攻击痕迹。

射手座(11月22日-12月21日)

射手座追求知识，冒险，热衷赢得关注。伊朗间谍组织Charming Kitten(APT35、Phosphorus)，显然具备射手座气质。该组织针对不同政见者、人权活动家、学者、新闻工作者以及其他威权主义的反对者。Charming Kitten特别擅长在入侵目标账户之前，利用目标的社交网络收集信息。

魔羯座(12月22日-1月19日)

魔羯座以其纪律性、熟练的技巧和坚定不移而闻名。符合这一星座气质的Helix Kitten(也称为APT 35或OilRig)也擅长在庞大的在线网络中熟练游走，在包括航空航天、能源、金融、政府、酒店和电信在内的许多组织中灵活地进行操作。在工作和目标上坚定不移，Helix Kitten在开发细致的鱼叉式网络钓鱼攻击方面持之以恒，“有口皆碑”。

水瓶座(1月20日-2月18日)

水瓶座是热爱创新和人道主义的进取者。Mustang Panda具备水瓶座的这种创新精神，该APT组织通常针对非政府组织、美国的智囊团收集情报。Mustang Panda具有快速将新策略吸收到其运营中，甚至将恶意软件与合法工具混合的能力。

双鱼座(2月19日-3月20日)

双鱼座排在黄道十二宫的最后一位，习惯在浪漫与现实间游走，对待爱情像甘蔗一样又甜又渣，正所谓多情剑客无情剑。符合双鱼座气质的是Voodoo Bear(也称为Sandworm)，该组织使用工具来操纵能源工业控制系统(ICS)以及监督控制和数据采集系统(SCADA)，据悉是2015年乌克兰大停电的幕后黑手。Voodoo Bear对付乌克兰目标的“剑法”狠辣，善用零日漏洞，但Voodoo Bear给自己恶意软件取名时却富有幻想主义色彩，经常会引用Frank Herbert的小说Dune。

【本文是IDC.NET专栏作者“安全牛”的原创文章，转载请通过安全牛（微信公众号id:gooann-sectv）获取授权】

戳这里，看该作者更多好文