前言

APT攻擊(Advanced Persistent Threat，高級持續(xù)性威脅)是利用先進(jìn)的攻擊手段對特定目標(biāo)進(jìn)行長期持續(xù)性網(wǎng)絡(luò)攻擊的攻擊形式。

360威脅情報中心結(jié)合2018年全年國內(nèi)外各個安全研究機(jī)構(gòu)、安全廠商披露的重大APT攻擊事件，以及近幾年來披露的高級持續(xù)性威脅活動信息，并基于這些重大APT攻擊事件的危害程度、攻擊頻度、攻擊技術(shù)等，評選出2018年全球十大APT攻擊事件。

2018年全球十大APT攻擊事件

360威脅情報中心將基于每個APT攻擊事件的背景信息、攻擊組織、相關(guān)TTP(戰(zhàn)術(shù)、技術(shù)、過程)進(jìn)行描述，帶你一起回顧這些重大攻擊事件。

1. 韓國平昌冬奧會APT攻擊事件

危害程度 ★★★

攻擊頻度 ★★

攻擊技術(shù) ★★★

事件時間：韓國平昌奧運(yùn)會期間，首次活動于2017年12月22日

攻擊組織：Hades

受害目標(biāo)：韓國平昌奧運(yùn)會舉辦方

相關(guān)攻擊武器：Olympic Destroyer

相關(guān)漏洞：無

攻擊入口：魚叉郵件攻擊

主要攻擊戰(zhàn)術(shù)技術(shù)：

魚叉郵件投遞內(nèi)嵌惡意宏的Word文檔

利用PowerShell實現(xiàn)的圖片隱寫技術(shù)，其使用開源工具Invoke-PSImage實現(xiàn)

利用失陷網(wǎng)站用于攻擊載荷的分發(fā)和控制回傳

偽裝成韓國國家反恐中心(NCTC)的電子郵件地址發(fā)送魚叉郵件，以及注冊偽裝成韓國農(nóng)業(yè)和林業(yè)部的惡意域名

韓國平昌冬奧會APT攻擊事件是由McAfee在今年伊始公開披露的APT事件，據(jù)相關(guān)新聞報道，其導(dǎo)致了奧運(yùn)會網(wǎng)站的宕機(jī)和網(wǎng)絡(luò)中斷?？ò退够鶎⒃撌录澈蟮墓艚M織命名為Hades。

韓國冬奧會攻擊事件最為疑惑的是其攻擊者的歸屬問題，并至今仍未有定論。在事件中使用的植入載荷Olympic Destroyer，其用于破壞文件數(shù)據(jù)的相關(guān)代碼與過去Lazarus使用的載荷有部分相似，而美國部份媒體則聲稱該事件為俄羅斯情報機(jī)構(gòu)實施并嫁禍給朝鮮。

該事件再一次展現(xiàn)了APT攻擊者利用和模仿其他組織的攻擊技術(shù)和手法特點(diǎn)，制造false flag以迷惑安全人員并誤導(dǎo)其做出錯誤的攻擊來源歸屬的判斷，而似乎制造false flag是Hades組織慣用的攻擊手法。

 

2. VPNFilter：針對烏克蘭IOT設(shè)備的惡意代碼攻擊事件

危害程度 ★★★★★

攻擊頻度 ★★★★

攻擊技術(shù) ★★★★

事件時間：最早從2016年開始，2018年5月首次披露

攻擊組織：疑似APT28

受害目標(biāo)：主要為烏克蘭

相關(guān)攻擊武器：VPNFilter

相關(guān)漏洞：針對IOT設(shè)備的多種漏洞

攻擊入口：利用IOT設(shè)備漏洞遠(yuǎn)程獲得初始控制權(quán)

主要攻擊戰(zhàn)術(shù)技術(shù)：

使用多階段的載荷植入，不同階段載荷功能模塊實現(xiàn)不同

使用針對多種型號IOT設(shè)備的公開漏洞利用技術(shù)和默認(rèn)訪問憑據(jù)獲得對設(shè)備的控制權(quán)

實現(xiàn)包括：數(shù)據(jù)包嗅探、竊取網(wǎng)站登錄憑據(jù)、以及監(jiān)控Modbus SCADA工控協(xié)議

針對多種CPU架構(gòu)編譯和執(zhí)行

使用Tor或SSL加密協(xié)議進(jìn)行C2通信

VPNFilter事件是2018年最為嚴(yán)重的針對IOT設(shè)備的攻擊事件之一，并且實施該事件的攻擊者疑似具有國家背景。美國司法部在后續(xù)也聲稱該事件與APT28組織有關(guān)。

通過Cisco Talos的披露，該事件影響了至少全球54個國家和地區(qū)的50W設(shè)備，包括常用的小型路由器型號(例如Linksys，MikroTik，NETGEAR和TP-Link)、NAS設(shè)備等。

VPNFilter惡意代碼被制作成包含復(fù)雜而豐富的功能模塊，實現(xiàn)多階段的攻擊利用，并被編譯成支持多種CPU架構(gòu)，使用已知公開的漏洞利用技術(shù)獲得控制權(quán)。

烏克蘭特勤局(SBU)后續(xù)也公開披露其發(fā)現(xiàn)VPNFilter對其國內(nèi)的氯氣蒸餾站的攻擊。

 

3. APT28針對歐洲、北美地區(qū)的一系列定向攻擊事件

危害程度 ★★★★

攻擊頻度 ★★★★

攻擊技術(shù) ★★★★★

事件時間：貫穿整個2018年

攻擊組織：APT28

受害目標(biāo)：北美、歐洲、前蘇聯(lián)國家的政府組織

相關(guān)攻擊武器：Cannon、Zebrocy等

相關(guān)漏洞：Office文檔模板注入、疑似Lojack軟件缺陷或0day漏洞

攻擊入口：魚叉郵件、Office模板注入

主要攻擊戰(zhàn)術(shù)技術(shù)：

魚叉郵件發(fā)送使用了Office模板注入攻擊技術(shù)的惡意文檔

遠(yuǎn)程注入惡意宏代碼并執(zhí)行

釋放Delphi版的Cannon和.Net和C#等多個語言版本的Zebrocy木馬進(jìn)行遠(yuǎn)程控制

以及針對LoJack計算機(jī)防盜軟件植入UEFI rootkit木馬程序，實現(xiàn)重裝系統(tǒng)及更換硬盤都無法消除的持久化遠(yuǎn)程控制

APT28組織在整個2018年頻繁利用Office模板注入遠(yuǎn)程宏文檔的攻擊技術(shù)對包括北美國家的外交事務(wù)組織、歐洲國家的外交事務(wù)組織以及前蘇聯(lián)國家的政府實體進(jìn)行定向攻擊。這些攻擊的攻擊媒介都是通過魚叉式網(wǎng)絡(luò)釣魚，使用注冊到免費(fèi)電子郵件提供商Seznam的電子郵件帳戶，Seznam是一家位于捷克共和國的熱門網(wǎng)絡(luò)服務(wù)提供商，并且該攻擊大部分文檔都包含作者名Joohn。

在2018年9月，ESET還發(fā)現(xiàn)APT28組織使用UEFI rootkit針對巴爾干半島及中歐和東歐的政府組織進(jìn)行定向攻擊的活動。

 

4. 藍(lán)寶菇APT組織針對中國的一系列定向攻擊事件

危害程度 ★★★★

攻擊頻度 ★★★

攻擊技術(shù) ★★★

事件時間：2018年4月(首次攻擊時間為2011年)

攻擊組織： 藍(lán)寶菇(BlueMushroom)

受害目標(biāo)：中國政府、軍工、科研、金融等重點(diǎn)單位和部門

相關(guān)攻擊武器：PowerShell后門

相關(guān)漏洞：無

攻擊入口：魚叉郵件和水坑攻擊

主要攻擊戰(zhàn)術(shù)技術(shù)：

魚叉郵件投遞內(nèi)嵌PowerShell腳本的LNK文件，并利用郵件服務(wù)器的云附件方式進(jìn)行投遞

當(dāng)受害者被誘導(dǎo)點(diǎn)擊惡意LNK文件后，會執(zhí)行LNK文件所指向的PowerShell命令，進(jìn)而提取出LNK文件中的其他誘導(dǎo)文件、持久化后門和PowerShell后門腳本。PowerShell后門會通過對受害者的電腦中的特定格式文件進(jìn)行打包并上傳到第三方云空間(如：亞馬遜云，新浪云等)

從網(wǎng)絡(luò)上接受新的PowerShell后門代碼執(zhí)行，從而躲避了一些殺軟的查殺

“藍(lán)寶菇”APT組織在2018年對我國的政府、軍工、科研、金融等重點(diǎn)單位和部門都發(fā)起了多次針對性攻擊，攻擊的技術(shù)以及手法也有所升級。從以往的PE木馬升級到現(xiàn)在的非PE的腳本后門，以及采用云空間、云附件的手法接收回傳的資料信息等都反映了藍(lán)寶菇APT組織在攻擊技術(shù)方面的更新。從近期360威脅情報中心監(jiān)控到的攻擊事件來看，未來藍(lán)寶菇APT組織都會大量的使用PowerShell腳本等非PE后門來替代原有的PE木馬數(shù)字武器。

 

5. 海蓮花APT組織針對我國和東南亞地區(qū)的定向攻擊事件

危害程度 ★★★★

攻擊頻度 ★★★★★

攻擊技術(shù) ★★★

事件時間：2018年全年(首次攻擊時間為2012年)

攻擊組織：海蓮花(OceanLotus)

受害目標(biāo)：東南亞國家、中國及其相關(guān)科研院所、海事機(jī)構(gòu)、航運(yùn)企業(yè)等

相關(guān)攻擊武器：Denis家族木馬、Cobalt Strike、CACTUSTORCH框架木馬

相關(guān)漏洞：微軟Office漏洞、MikroTik路由器漏洞、永恒之藍(lán)漏洞

攻擊入口：魚叉郵件和水坑攻擊

主要攻擊戰(zhàn)術(shù)技術(shù)：

魚叉郵件投遞內(nèi)嵌惡意宏的Word文件、HTA文件、快捷方式文件、SFX自解壓文件、捆綁后的文檔圖標(biāo)的可執(zhí)行文件等

入侵成功后通過一些內(nèi)網(wǎng)滲透工具掃描滲透內(nèi)網(wǎng)并橫向移動，入侵重要服務(wù)器，植入Denis家族木馬進(jìn)行持久化控制

通過橫向移動和滲透拿到域控或者重要的服務(wù)器權(quán)限，通過對這些重要機(jī)器的控制來設(shè)置水坑、利用第三方工具并輔助滲透

橫向移動過程中還會使用一些逃避殺軟檢測的技術(shù)：包括白利用技術(shù)、PowerShell混淆技術(shù)等

“海蓮花”APT 組織在2018年全年頻繁的針對我國及東南亞國家進(jìn)行持續(xù)的針對性攻擊，比如針對柬埔寨和菲律賓的新的攻擊活動，并且疑似利用了路由器的漏洞實施遠(yuǎn)程滲透。相關(guān)漏洞首次公開是由維基解密披露的CIA Vault7項目資料中提及并由國外安全研究人員發(fā)布了相關(guān)攻擊利用代碼。并且“海蓮花”在2018年的攻擊活動中使用了更加多樣化的載荷投放形式，并使用多種白利用技術(shù)加載其惡意模塊。

6. 蔓靈花APT組織針對中國、巴基斯坦的一系列定向攻擊事件

危害程度 ★★★

攻擊頻度 ★★★★

攻擊技術(shù) ★★★

事件時間：2018年初

攻擊組織： 蔓靈花(BITTER)

受害目標(biāo)：中國、巴基斯坦

相關(guān)攻擊武器：“蔓靈花”特有的后門程序

相關(guān)漏洞：InPage文字處理軟件漏洞CVE-2017-12824、微軟公式編輯器漏洞等

攻擊入口：魚叉郵件攻擊

主要攻擊戰(zhàn)術(shù)技術(shù)：

魚叉郵件投遞內(nèi)嵌Inpage漏洞利用文檔、微軟公式編輯器漏洞利用文檔、偽造成文檔/圖片的可執(zhí)行文件等

觸發(fā)漏洞后釋放/下載執(zhí)行惡意木馬，與C2保持通信，并根據(jù)C2返回的命令下載指定插件執(zhí)行

下載執(zhí)行多種遠(yuǎn)控插件進(jìn)行遠(yuǎn)程控制

“蔓靈花”APT組織在2018年利用InPage文檔處理軟件漏洞、微軟公式編輯器漏洞、偽造文檔圖標(biāo)的可執(zhí)行文件等攻擊手法，針對中國、巴基斯坦重要組織機(jī)構(gòu)和人員多次發(fā)起定向攻擊。多次攻擊活動表明，蔓靈花習(xí)慣攻陷巴基斯坦政府網(wǎng)站用于下發(fā)后續(xù)木馬，比如在11月針對巴基斯坦的攻擊活動中，后續(xù)木馬下發(fā)地址為：fst.gov.pk/images/winsvc，而fst.gov.pk則是巴基斯坦政府的相關(guān)網(wǎng)站。

并且在2018年11月左右針對巴基斯坦的攻擊中使用了大量InPage漏洞利用文檔進(jìn)行攻擊。而InPage則是一個專門針對烏爾都語使用者(巴基斯坦國語)設(shè)計的文字處理軟件。

 

7. APT38針對全球范圍金融機(jī)構(gòu)的攻擊事件

危害程度 ★★★★★

攻擊頻度 ★★★★

攻擊技術(shù) ★★★★

事件時間：最早于2014年，持續(xù)活躍至今

攻擊組織：APT38

受害目標(biāo)：金融機(jī)構(gòu)，銀行，ATM，SWIFT

相關(guān)攻擊武器：多種自制惡意程序

相關(guān)漏洞：多種漏洞

攻擊入口：魚叉攻擊，水坑攻擊

主要攻擊戰(zhàn)術(shù)技術(shù)：

利用社交網(wǎng)絡(luò)，搜索等多種方式對攻擊目標(biāo)進(jìn)行詳細(xì)的網(wǎng)絡(luò)偵查

使用魚叉攻擊或水坑攻擊對目標(biāo)人員實施攻擊并獲得初始控制權(quán)

在目標(biāo)網(wǎng)絡(luò)橫向移動，最終以獲得SWIFT系統(tǒng)終端為目標(biāo)

偽造或修改交易數(shù)據(jù)達(dá)到竊取資金

通過格式化硬盤或日志等方式清除痕跡。

APT38被認(rèn)為是朝鮮來源的APT組織，國外安全廠商通常稱為LazarusGroup。近年來主要披露的攻擊活動涉及全球金融和銀行機(jī)構(gòu)、中美洲在線賭場、以及虛擬電子貨幣相關(guān)的交易所和機(jī)構(gòu)。FireEye在今年披露了一份詳細(xì)的APT組織報告，并將其中以經(jīng)濟(jì)牟利為意圖的，針對全球金融、銀行機(jī)構(gòu)攻擊的威脅活動獨(dú)立歸屬為一個新的組織名稱，APT38以明確區(qū)分其與Lazarus之間的一些不同。

美國司法部在今年9月也公開披露了一份非常詳細(xì)的針對朝鮮黑客PARK JIN HYOK及其相關(guān)組織Chosun Expo過去實施的攻擊活動的司法指控。在該報告中指出PARK黑客及其相關(guān)組織與過去SONY娛樂攻擊事件、全球范圍多個銀行SWIFT系統(tǒng)被攻擊事件、 WannaCry、以及韓國、美國軍事人員和機(jī)構(gòu)被攻擊的相關(guān)事件有關(guān)。

APT38，作為目前以經(jīng)濟(jì)利益為動機(jī)的最為活躍的APT組織，我們也應(yīng)該持續(xù)關(guān)注其使用的攻擊技術(shù)和工具。

 

8. 疑似DarkHotel APT組織利用多個IE 0day“雙殺”漏洞的定向攻擊事件

危害程度 ★★★

攻擊頻度 ★★

攻擊技術(shù) ★★★★

事件時間：首次發(fā)現(xiàn)于2018年5月，相同Payload在2月中旬被發(fā)現(xiàn)

攻擊組織：DarkHotel

受害目標(biāo)：中國

相關(guān)攻擊武器：劫持操作系統(tǒng)DLL文件(msfte.dll、NTWDBLIB.DLL)的插件式木馬后門

相關(guān)漏洞：CVE-2018-8174、CVE-2018-8373等

攻擊入口：魚叉郵件攻擊

主要攻擊戰(zhàn)術(shù)技術(shù)：

魚叉郵件投遞包含IE 0day雙殺漏洞的Word文檔

漏洞利用成功后釋放白利用文件執(zhí)行惡意PowerShell下載下一階段PowerShell腳本

下載回來的PowerShell腳本進(jìn)行Bypass UAC，并通過劫持系統(tǒng)DLL文件下載核心木馬模塊

核心木馬模塊與C2地址通信下載執(zhí)行更多的木馬插件實現(xiàn)持久化控制

Darkhotel(APT-C-06)是一個長期針對企業(yè)高管、國防工業(yè)、電子工業(yè)等重要機(jī)構(gòu)實施網(wǎng)絡(luò)間諜攻擊活動的APT組織。2018年5月，360公司首次發(fā)現(xiàn)疑似該組織使用IE 0day“雙殺”漏洞針對中國的定向攻擊。

2018年8月15日，網(wǎng)絡(luò)安全公司趨勢科技公開了其在今年7月捕獲到的一例在野0day漏洞攻擊，經(jīng)過分析對比發(fā)現(xiàn)該0day漏洞和2018年4月360公司首次發(fā)現(xiàn)影響IE瀏覽器并通過Office文檔進(jìn)行攻擊的“雙殺”漏洞使用了多個相同的攻擊技術(shù)，極有可能是同一團(tuán)伙所為。

并且早在2018年2月中旬，360威脅情報中心就跟蹤發(fā)現(xiàn)了DarkHotel APT團(tuán)伙使用相同的惡意代碼的定向攻擊活動，并且結(jié)合威脅情報數(shù)據(jù)挖掘到了該團(tuán)伙更多的樣本，對該團(tuán)伙近年來使用的多個版本的惡意代碼進(jìn)行了分析對比，梳理了樣本演化過程。

 

9. 疑似APT33使用Shamoon V3針對中東地區(qū)能源企業(yè)的定向攻擊事件

危害程度 ★★★★

攻擊頻度 ★★

攻擊技術(shù) ★★★

事件時間：2018年12月發(fā)現(xiàn)

攻擊組織：疑似APT33

受害目標(biāo)：中東和歐洲的石油和天然氣公司

相關(guān)攻擊武器：Shamoon V3

相關(guān)漏洞：無

攻擊入口：魚叉郵件攻擊

主要攻擊戰(zhàn)術(shù)技術(shù)：

使用隨機(jī)生成的數(shù)據(jù)覆蓋系統(tǒng)上的MBR、分區(qū)和文件

惡意文件的文件描述模仿合法的產(chǎn)品名稱

安全人員于今年12月在VirusTotal上發(fā)現(xiàn)了新版本的Shamoon惡意代碼，其使用隨機(jī)生成的數(shù)據(jù)覆蓋系統(tǒng)上的MBR，分區(qū)和文件。本次攻擊活動可能主要針對歐洲和中東的石油、天然氣公司。

隨后，國外安全廠商McAfee對Shamoon攻擊所使用的新的工具集進(jìn)行分析，并認(rèn)為新的Shamoon版本作為其攻擊工具集的一部分，其還包括一個.Net開發(fā)的攻擊工具。McAfee指出該攻擊活動可能與APT33有關(guān)。而后續(xù)FireEye對 APT33組織近期的攻擊活動與Shamoon攻擊的聯(lián)系也進(jìn)行了分析說明。

 

10.Slingshot：一個復(fù)雜的網(wǎng)絡(luò)間諜活動

危害程度 ★★★★

攻擊頻度 ★★

攻擊技術(shù) ★★★★★

事件時間：2012至2018年2月

攻擊組織：疑似針對伊斯蘭國和基地組織成員

受害目標(biāo)：非洲和中東各國的路由器設(shè)備

相關(guān)攻擊武器：自制的攻擊武器

相關(guān)漏洞：CVE-2007-5633、CVE-2010-1592、CVE-2009-0824

攻擊入口：可能通過Windows漏洞利用或已感染的Mikrotik路由器

主要攻擊戰(zhàn)術(shù)技術(shù)：

初始loader程序?qū)⒑戏ǖ腤indows庫'scesrv.dll'替換為具有完全相同大小的惡意文件

包括內(nèi)核層的加載器和網(wǎng)絡(luò)嗅探模塊，自定義的文件系統(tǒng)模塊

可能通過Windows漏洞利用或已感染的Mikrotik路由器獲得受害目標(biāo)的初始控制權(quán)。

Slingshot是由卡巴斯基在今年早些發(fā)現(xiàn)和披露的網(wǎng)絡(luò)間諜活動，并且披露其是一個新的、高度復(fù)雜的攻擊平臺的一部分，其在復(fù)雜度上可以與Project Sauron和Regin相媲美。

而后續(xù)，外媒對該曝光的活動也進(jìn)行了報道。其中披露該攻擊活動可能與美國聯(lián)合特種作戰(zhàn)司令部(JSOC)進(jìn)行的一項軍事計劃有關(guān)，用于幫助軍方和情報界通過感染受害目標(biāo)常用的計算機(jī)收集有關(guān)恐怖分子的信息。

卡巴斯基披露Slingshot至少影響了約100名受害者，主要分布于非洲和中東地區(qū)國家(如阿富汗、伊拉克、肯尼亞、蘇丹、索馬里、土耳其等)。其同時針對Windows和Mikrotik路由器平臺實施持久性的攻擊植入。

 

總結(jié)

通過360威脅情報中心整理的2018年十大APT攻擊事件，我們可以總結(jié)出以下一些觀點(diǎn)：

工業(yè)制造業(yè)以及國家基礎(chǔ)建設(shè)相關(guān)的行業(yè)和機(jī)構(gòu)越來越多的成為APT組織的直接攻擊目標(biāo)，比如針對烏克蘭路由器等IOT設(shè)備的VPNFilter惡意代碼攻擊和針對中東地區(qū)能源企業(yè)的定向攻擊事件

APT組織通過不斷變換攻擊方式和更多的0day漏洞來嘗試突破目標(biāo)的安全防護(hù)。比如被利用的多個IE 0day雙殺漏洞、針對小眾的InPage文字處理軟件漏洞、針對路由器的漏洞攻擊、躲避郵件或終端殺毒軟件檢測的Office模板注入攻擊等

多個著名的APT團(tuán)伙在2018年非?；钴S，被國內(nèi)外多個安全研究機(jī)構(gòu)、安全廠商所披露。比如針對歐洲、北美地區(qū)進(jìn)行頻繁攻擊的APT28，針對東南亞地區(qū)持續(xù)進(jìn)行定向攻擊的海蓮花、蔓靈花等APT組織

參考鏈接

[1].https://www.welivesecurity.com/2018/09/27/lojax-first-uefi-rootkit-found-wild-courtesy-sednit-group/

[2].https://www.securityweek.com/russia-hacked-olympics-computers-turned-blame-north-korea-report

[3].https://www.justice.gov/opa/press-release/file/1092091/download

[4].https://www.fireeye.com/blog/threat-research/2018/12/overruled-containing-a-potentially-destructive-adversary.html

[5].https://www.fireeye.com/blog/threat-research/2018/10/apt38-details-on-new-north-korean-regime-backed-threat-group.html

[6].https://www.cyberscoop.com/kaspersky-slingshot-isis-operation-socom-five-eyes/

[7].https://www.bleepingcomputer.com/news/security/ukraine-says-it-stopped-a-vpnfilter-attack-on-a-chlorine-distillation-station/

[8].https://unit42.paloaltonetworks.com/dear-joohn-sofacy-groups-global-campaign/

[9].https://twitter.com/360TIC/status/1078908533125443584

[10].https://ti.360.net/uploads/2018/07/05/5fc9c36b4cb81d4281599f0d3416931a.pdf

[11].https://ti.360.net/blog/articles/oceanlotus-with-cve-2017-8570/

[12].https://ti.360.net/blog/articles/oceanlotus-targets-chinese-university/

[13].https://ti.360.net/blog/articles/latest-sample-and-c2-mechanism-of-apt-c-12/

[14].https://ti.360.net/blog/articles/details-of-apt-c-12-of-operation-nuclearcrisis/

[15].https://ti.360.net/blog/articles/analyzing-attack-of-cve-2018-8373-and-darkhotel/

[16].https://ti.360.net/blog/articles/analysis-of-targeted-attack-against-pakistan-by-exploiting-inpage-vulnerability-and-related-apt-groups/

[17].https://ti.360.net/blog/articles/analysis-of-darkhotel/

[18].https://ti.360.net/blog/articles/analysis-of-apt-campaign-bitter/

[19].https://securityaffairs.co/wordpress/72851/apt/vpnfilter-botnet-doj.html

[20].https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/shamoon-attackers-employ-new-tool-kit-to-wipe-infected-systems/

[21].https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/malicious-document-targets-pyeongchang-olympics/

[22].https://securelist.com/threats-in-the-netherlands/88185/

[23].https://securelist.com/apt-slingshot/84312/

[24].https://blog.talosintelligence.com/2018/05/VPNFilter.html