Global advanced persistent threat (APT) 2019 mid-year report

 

Preface

Cian letter threat intelligence centers in 2018 had publicly announced the two global advanced persistent threat research summary report [Reference Links: 23], which summarizes the advanced persistent threat attacks organization behind the attacks in the past year and tactical and technical characteristics.

Now, 2019 is over half, we keep track of the process of historical active APT organization nearly six months of attacks case, showing the national context hackers geopolitical characteristics as the focus of observation, network threat activity its implementation is always interspersed great power politics and the military reality of the game in the process, or the threat of cyberspace has become a national intelligence agencies and military action to achieve its intelligence Gets or destroy one of the important means to rely on.

This report is divided into two parts, the first part of the main geographical features are summarized in the APT threat sources are mainly active in the APT organization, as well as its main case in the first half of 2019; the second part of the past six months based on important global advanced persistent threats event, a summary of the overall threat situation. PHP Malaysia

 

research method

At the beginning of this report, we list the sources and research methods of the present study relies on, which mainly include:

• Internal and external information sources, internal sources of information include Cian letter threat intelligence center's red raindrops team APT threat of ongoing analysis tracking and related threat intelligence; external intelligence sources include major releases APT class intelligence 178 public data sources involving security vendors, blog, news sites, social networks and so on.
• MITRE organized summary of ATT & CK organizational framework as well threats, attack tools list [4] is one of the important basic research APT organizations and their tactical and technical characteristics.
• APT organizations and other public information actions, including the MISP project [5], the foreign security researcher Florian Roth organization of APT and action form [6] and so on.

National and regional ownership of judgment APT organization is the result of a combination of external intelligence, the letter does not represent threat intelligence center Cian own judgment conclusion.

 

APT organized under the first part of the geopolitical

Since 2010, the Stuxnet incident was discovered, the network is being attacked various countries, intelligence agencies used as an important means to achieve its political, diplomatic, military and other purposes. In the course of the last track of the activities of the APT, APT attacks are often accompanied by the occurrence and process the real world on the eve of major political, diplomatic or military activity in the conflict, which is consistent with APT also initiated the attack motive and opportunity.

Cian letter threat intelligence center in connection with the disclosure of information on the ownership of the organization APT conclusion, according to the geographical features to evaluate the world's leading organizations and APT attack capabilities, and its summary in the last six months of 2019 attack activities.

Region	The main organization	Ability to attack
East Asia	Lazarus Group Group 123/ APT37 Kimsuky Darkhotel	+ + + + + + +
Southeast Asia	Sea Lotus / APT32	+ +
Subcontinent	Maha grass Man Ling flower / BITTER Belly brain worm / Donot Team Confucius	+ + + + +
Eastern Europe	APT28 APT29 The tower Greyenergy	+ + + + + + + + + +
middle East	MuddyWater APT34/ OilRig Stealth Falcon/ FruityArmor	+ + + + +
KitaYoshi	equation Longhorn	+ + + + + +

Table: APT organizations and the world's major geopolitical capacity under

East Asia

Around East Asia it has been one of the world's most active threats APT region, as early as 2011, the exposure of Lazarus Group is one of the few in the history of the most active APT organization.

Lazarus Group, according to public disclosure is considered the APT organized under the Korean Bureau 121 background, history has attacked Sony Pictures Entertainment, the world's banks and SWIFT systems and Wannacry extortion virus. September 2018, the US DoJ and FBI Joint publicly accused North Korean hackers PARK JIN HYOK and Chosun Expo mechanism and the related attacks, and pointed out that behind the North Korean government [7].

We note that in recent years has decreased for the disclosure of the activities of Lazarus, which targets mainly related to financial and monetary encryption, presumably motivated more inclined to obtain economic benefits.

We summarize the main Lazarus organize attacks in the past six months, as shown.

Lazarus use of attack tools are as follows:

name	Explanation
Rising Sun	The second phase of the implant, the evolution of a new penetration of the rear door frame Duuzer
KEYMARBLE	RAT工具，使用伪TLS通信
HOPLIGHT	木马，使用公共SSL证书进行安全通信
ELECTRICFISH	网络代理和隧道工具

除了Lazarus，在近两年来，另外两个朝鲜语系的APT团伙表现出了异常的活跃，分别是Group 123和Kimsuky。近年来，朝鲜半岛的政治局势日益趋向于缓和的局势，朝鲜政府也积极就朝核问题、朝韩双方关系与美国、韩国展开对话，但缓和的政治外交局势下，并不能掩盖东亚区域依然频繁的网络情报活动。

结合两个组织历史攻击活动，我们推测Kimsuky更关注于朝鲜半岛的政治外交问题，并通常结合相关热点事件用于诱饵文档内容；而Group 123则针对更广泛的网络情报获取。

	Lazarus Group	Group 123	Kimsuky
主要别名	Hidden Cobra	APT37	无
活动频度	中	高	高
目标行业	银行、数字货币 国防、政府	外交、投资、贸易	媒体
目标地域	全球范围	中国、韩国	韩国、美国
攻击动机	经济利益为主	情报获取	政治外交倾向

两个组织近半年的主要攻击活动总结如下图[9 10]。

Group 123和Kimsuky通常都利用向目标投递鱼叉邮件和诱饵文档，包括Office文档和HWP文档，诱导目标人员触发恶意宏代码或漏洞文档来建立攻击立足点。其也通过渗透韩国网站作为载荷分发和控制回传通道。

Group 123还偏好使用云服务作为其窃取目标主机信息和资料的重要途径，其常用的ROKRAT后门就是基于云服务的实现，利用包括Dropbox，Yandex，pCloud等云服务。

东南亚

海莲花组织是东南亚地区最为活跃的APT组织，其首次发现和公开披露是由奇安信威胁情报中心的红雨滴团队。

海莲花组织最初主要以中国政府、科研院所、海事机构等行业领域实施攻击，这也与当时的南海局势有关。但在近年来的攻击活动中，其目标地域延伸至柬埔寨、菲律宾、越南等东南亚其他国家，而其针对中国境内的APT攻击中，也出现了针对境内高校和金融投资机构的攻击活动。

海莲花组织是一个快速变化的APT组织，其擅长与将定制化的公开攻击工具和技术和自定制恶意代码相结合，例如Cobalt Strike和fingerprintjs2是其常用的攻击武器之一。

海莲花组织经过多年的发展，形成了非常成熟的攻击战术技术特征，并擅长于利用多层shellcode和脚本化语言混淆其攻击载荷来逃避终端威胁检测，往往能够达到比较好的攻击效果。

这里我们也总结了海莲花组织的常用TTP以便于更好的跟踪其技术特点的变化。

图 海莲花近半年攻击目标

南亚次大陆

南亚次大陆是另一个APT组织活动的热点区域，从2013年5月Norman安全公司披露Hangover行动（即摩诃草组织）以来，出现了多个不同命名的APT组织在该地域持续性的活跃，并且延伸出错综复杂的关联性[13]，包括摩诃草、蔓灵花、肚脑虫、Confucius，以及其他命名的攻击活动和攻击工具，包括Sidewinder、Urpage、Bahamut、WindShift。

造成归属问题的主要因素是上述APT活动大多使用非特定的攻击载荷和工具，脚本化和多种语言开发的载荷往往干扰着归属分析判断，包括使用.Net、Delphi、AutoIt、Python等。但从历史攻击活动来看，其也出现了一些共性：

• 同时具备攻击PC和智能手机平台能力；
• 巴基斯坦是主要的攻击目标，部分组织也会攻击中国境内；
• 政府、军事目标是其攻击的主要目标，并且投放的诱饵文档大多也围绕该类热点新闻，如克什米尔问题；

我们结合历史公开报告的披露时间制作了相关APT组织的活跃时间线，推测这些APT组织可能从2015-2016甚至更早出现了分化，并且趋向于形成多个规模不大的小型攻击团伙的趋势。

东欧

APT28、APT29、Turla作为东欧地区最为知名的APT组织一直广泛活跃。奇热影视

美国DHS曾在2016年12月对APT28，APT29组织在同年针对DNC的攻击事件以及干扰美国大选活动发布了相关调查报告，并将其恶意攻击活动称为GRIZZLY STEPPE，并直指俄罗斯情报部门。

来自伦敦国王学院的安全研究人员在SAS 2017年会议上介绍了Turla APT组织的前身是90年代著名网络间谍组织Moonlight Maze[16]。

国外安全厂商ESET在2018年披露了BlackEnergy的继任者，命名为GreyEnergy[17]，一个专注于工业系统的APT组织。

	APT28	APT29	Turla	BlackEnergy
主要别名	Sofacy	Cozy Bear	Snake	无
目标行业	政府、外交、国防、军事等			工业、能源
目标地域	中东、美国、NATO、中亚等			乌克兰、波兰

从2019年上半年的公开披露情况来看，除了APT28以外，其他三个组织的公开披露活动有所减少。而APT28组织的主要活动似乎更多旨在干扰其目标国家的选举活动。

安全厂商披露在3月捕获的一份在野诱饵文档，其使用的内容以乌克兰总统竞选人Volodymyr Zelenskiy和乌俄问题为诱导，其正值乌克兰总统竞选时机[18]。

国外安全厂商也披露从2018年中以来，APT28组织针对欧洲的网络间谍活动大幅增加，以及针对欧洲民主机构的攻击，其也可能与2019年的欧盟议会选举有关[19 20]。

从战术和技术角度来看，似乎从2018年起APT28更倾向于使用多种语言开发的Zebrocy攻击组件并用于鱼叉攻击后的第一阶段的载荷植入[21]。其模块可能由Delphi，C#，Python，AutoIt甚至Go。卡巴在最新的研究报告中将其作为独立的组织进行追踪。

而在ESET对Turla最新的研究报告中，其更倾向于基于定制化的开源项目（如Posh-SecMod）和脚本，并加载其过去的自定义武器库。

我们并不认为这些改变是其攻击能力削弱的体现，在2018年曝光的VPNFilter事件和Lojax rootkit都被怀疑与东欧APT组织有关。我们推测攻击组织做出积极的改变旨在提高攻击的效率和效果，并着力于混淆和隐藏攻击活动的来源，以及对抗目标网络的防御机制。

中东

中东地区，其拥有全球最为复杂的政治、外交和军事局势，多年以来，充斥着战乱、恐怖主义、军事行动以及频繁的网络间谍活动和情报活动。在此背景下，网络攻击活动往往作为刺探对手情报，监控人员舆论，配合间谍活动和情报活动甚至制造虚假言论和虚假新闻的最有效方式之一。而在中东地区，公开披露最多的属据称为伊朗政府背景的相关网络攻击活动，这也源于伊朗与以美国为首的西方国家的政治和外交关系相左的原因。

我们在这里列举了近半年来中东地区发生的一些重点事件：

• 多家安全厂商披露大规模的DNS劫持活动，并称疑似与伊朗有关[26 27 28]；
• 卡巴多次披露FruityArmor(又称Stealth Falcon)使用的多个Windows提权0day漏洞(CVE-2019-0797、CVE-2018-8453、CVE-2018-8611、CVE-2018-8589)；
• 据称是伊朗背景的多个APT组织发生内部资料和网络武器泄露；
• 美、伊的外交形式急剧恶化，伊朗政府从情报活动、军事活动等多方面采取更加强硬的姿态，包括破坏CIA在其情报网络、击落无人机等，美国回应将对其采取网络军事行动。

我们在这里结合上半年泄露的据称是伊朗黑客组织的资料和网络武器对其近年来主要活跃的APT组织进行总结。

今年上半年发生了多起针对中东地区APT组织的相关资料泄露和拍卖事件，通过泄露资料，再一次帮助我们将虚拟的APT组织与现实世界的人员、机构及国家联系到一起。

APT34，又称OilRig，一个最早从2014年起就开始活跃的APT组织，其被公开披露声称与伊朗情报与国家安全部(Iranian Ministry of Intelligence)有关。在过去，其主要活跃地区为中东，并针对如金融，政府，能源，化学和电信等多个行业实施攻击[29]。

泄露的网络武器库：

名称	说明
Poison Frog	Powershell后门，通过DNS和HTTP通信，也称为BONDUPDATER[30]
Glimpse	Powershell后门，通过DNS通信，也称为Updated BONDUPDATER[30]
多个Webshell	FoxPanel222、HighShell、HyperShell、Minion
webmask	Python实现的DNS劫持和中间人攻击工具，Cisco Talos也称为DNSpionage[31]
Jason	Exchange密码爆破工具

另一个被公开认为和伊朗有关的APT组织MuddyWater，最早由Palo Alto Networks Unit 42于2017年11月发现并命名[32]，并迅速成为中东地区非常活跃的APT组织之一，其主要使用Powershell后门POWERSTATS，以及名为MuddyC3的控制后台[33]。

有黑客成员公开声称MuddyWater和另一个APT组织APT33关联到同一个名为Nima Nikjoo的人员，并将其相关资料进行拍卖[34]。

北美

结合公开披露资料，作为网络空间能力的强国，历史曝光的震网事件，方程式组织都被认为与北美情报机构有关[22 23]。

从2013年以来，相关情报机构的多次泄密事件展示了其完备的网络空间攻击体系和自动化攻击武器，并暴露了其将中国作为其实施全球网络间谍活动的重要目标之一的相关证据。

在2018和2019年的美国国防部网络战略情报报告中，都将中国和俄罗斯作为其重要的战略对手[24]。

在2018年的网络空间战略摘要中提到了“Defend forward”概念，旨在从源头上破坏或制止恶意网络空间活动，并且同年美国政府取消了第20号总统政策指令，取消了针对美国对手的进攻性网络攻击批准程序的一些限制。这些都表明美国作为超级网络强国正在积极进入网络空间的备战状态。而在近期纽约时报也报道了美国正在加强针对俄罗斯电网的网络入侵[25]，展示了其在网络空间攻防中采取了更加主动积极的姿态。

从历史泄露的方程式资料分析，其具备的网络攻击能力是全方位的，下图是我们根据泄露NSA资料和公开情报整理的其网络武器及攻击技术所覆盖的领域和目标。

 

第二部分  上半年全球APT威胁态势

APT组织采用的供应链攻击

供应链攻击往往是网络攻击中最容易忽视的一类，在MITRE ATT&CK中也将供应链攻击作为获取初始访问的一项攻击技术(T1195 Supply Chain Compromise)。而在APT活动中，供应链攻击也是时常发生，这里列举了近半年的APT类供应链攻击活动。

• ESET披露新的针对游戏行业的供应链攻击，并疑似与Winnti Group有关[35];
• 卡巴披露针对华硕的供应链攻击行动ShadowHammer，并且通过匹配用户mac地址实施针对特定目标的攻击[36]；
• ESET披露BlackTech组织通过合法证书签名的样本，并疑似通过供应链攻击华硕WebStorage[37]。

我们认为APT组织使用供应链攻击通常有着特殊的意图，其通常可以作为攻击目标人员或组织的一种“曲线攻击”路径，通过对目标相关的供应商或服务商的攻击作为达到最终目标的重要途径。

国家公共基础设施或将成为网络战的重点

自2010年伊朗震网事件和2015年乌克兰电网攻击事件，针对国家公共基础设施(包括电力、工业、能源、医疗等)的网络攻击活动会对城市和民众日常生活造成极为严重的破坏。

在2019年上半年，南美地区发生多起异常停电事件，由于尚不明确造成停电的原因，也被国外新闻媒体联想到是否与网络攻击或演习有关，而针对公共基础设施领域的网络攻击也逐渐作为国与国之间进行战略性打击和威慑的重要手段。

这里我们也将上半年相关事件时间线进行总结：

• 3月6日，委内瑞拉全境出现大面积断电，委内瑞拉政府指责是美国蓄意破坏；
• 6月14日，连线网披露美国E-ISAC发现Triton针对美国境内电网的探测活动[38]；
• 6月15日，纽约时报披露美政府加强对俄电网的数字入侵，而针对其电网控制系统的探测和侦查早在2012年就开始了[25]；
• 6月16日，南美多个国家出现停电事件，主要由于阿根廷和乌拉圭的互联电网发生大规模故障；
• 6月22日，伊朗击落美国无人机，美声明将对其采取网络攻击[39]。

APT组织网络武器库的泄露与扩散

网络武器库和相关资料泄露在过去一直时有发生，这些网络武器库通常由知名APT组织或网络军火商制作和使用。

• 2014年8月4日，网络军火商Gamma 40GB资料泄露；
• 2015年7月5日，网络军火商Hacking Team 400GB数据泄露，包括电子邮件、文件和源代码；
• 2016年8月13日，黑客组织The Shadow Brokers公开泄露和拍卖NSA网络武器库，包括针对防火墙、Linux/类Unix、Windows和SWIFT平台攻击武器；
• 2017年3月7日，维基解密网络曝光CIA CCI部门的8761份机密性文档，涉及其内部针对多个平台网络武器开发的资料；
• 2019年3月27日，有黑客成员通过Telegram渠道披露APT34组织的网络武器和相关信息；
• 2019年5月7日，有黑客成员通过Telegram渠道披露MuddyWater组织相关资料，并进行公开拍卖。

网络武器库的泄露向我们展示了APT组织为了实施网络攻击活动以及为达到其目的进行了长期的攻击能力和技术的积累和筹备，而数字武器泄露造成扩散的副作用也是无穷的。

APT组织间的“黑吃黑”游戏

2019年6月21日，赛门铁克披露了一份Turla组织最新的报告[40]，其中最为有意思的是其发现Turla对APT34组织基础设施的劫持并用于自身的攻击活动。

类似于上述这种APT组织间的“黑吃黑”行为在斯诺登泄露的NSA机密文档中也曾出现类似的项目[41]。通过采用中间人攻击或旁观者攻击的方式对其他攻击组织进行攻击，并窃取其使用的工具、获取的情报甚至接管攻击的目标。

我们更倾向于这类行为在未来的APT攻击活动中还会发生，并且更有可能出现在拥有更高技术能力的APT组织。这种行为往往能够更好的隐蔽真实的攻击来源和意图，而对被攻击的受害主体评估其影响和损失造成了迷惑性。

APT狩猎下的中国威胁论

在过去的APT研究中，公开声称归属中国APT组织的报告也是层出不穷，甚至有北美安全厂商以Panda作为其认为的归属为中国的APT组织命名，而在历史的公开APT组织列表中，被认为归属为中国和伊朗的APT组织数量最为众多。

近日，一家国外安全厂商披露了一项以全球电信运营商和蜂窝网络为目标的APT行动，其中也将攻击来源归属指向疑似中国来源的APT组织[42]，而随后部分外媒和国外安全研究人员更倾向于将其归属指向APT10的结论。

在大多数的相关研究报告中，出现以下攻击技术特征通常会被归属到疑似和中国黑客组织有关：

• 使用中国菜刀(China Chopper) Webshell；
• 将Poison Ivy RAT或其变种作为攻击载荷或后门程序；
• 控制基础设施地理位置在中国境内。

然而，China Chopper和Poison Ivy都是作为公开的攻击工具，而中国也是历来APT活动的主要受害者之一。

我们认为在当前的APT活动中，APT组织在更加注重攻击归属的隐藏的同时，也积极引入假旗标志(False Flag)和模仿其他攻击组织的战术技术特点。APT攻击活动的归属问题变得更加困难，也依赖于更加严密的分析判断和负责任的披露。

 

总  结

2019年上半年是不平静的半年，全球的政治局势变得更加风云变幻，在冲突和博弈之下，网络空间对抗的格局也变得尤为凸显，国家背景的APT活动似乎由过去的隐蔽战线部分转向更加明显的网络战争对抗的趋势。与现实战争不同的是，现代战争可能因为某些导火索而一触即发，而网络战争更依赖于对战略性对手的早期侦查和探测，并实施长期的渗透和潜伏。

我们在此份报告中再次围绕地缘政治博弈主导下的网络空间APT组织的主题，对全球主要的APT组织近年来的情况进行总结和介绍，并结合了其在上半年的活动情况，APT已然是国家和情报机构在网络空间领域的战略手段。

奇安信威胁情报中心和红雨滴研究团队也将持续致力于最新APT活动的跟踪和研究，以及披露相关APT组织、技术能力和网络武器的情况。

 奇安信威胁情报中心

奇安信威胁情报中心是北京奇安信科技有限公司（奇安信集团）旗下的威胁情报整合专业机构。该中心以业界领先的安全大数据资源为基础，基于奇安信长期积累的核心安全技术，依托亚太地区顶级的安全人才团队，通过强大的大数据能力，实现全网威胁情报的即时、全面、深入的整合与分析，为企业和机构提供安全管理与防护的网络威胁预警与情报。

奇安信威胁情报中心对外服务平台网址为https://ti.qianxin.com/。服务平台以海量多维度网络空间安全数据为基础，为安全分析人员及各类企业用户提供基础数据的查询，攻击线索拓展，事件背景研判，攻击组织解析，研究报告下载等多种维度的威胁情报数据与威胁情报服务。

微信公众号：奇安信威胁情报中心

1.  红雨滴团队（RedDrip Team）

奇安信旗下的高级威胁研究团队红雨滴（RedDrip Team，@RedDrip7）,成立于2015年（前身为天眼实验室），持续运营奇安信威胁情报中心至今，专注于APT攻击类高级威胁的研究，是国内首个发布并命名“海莲花”（APT-C-00，OceanLotus）APT攻击团伙的安全研究团队，也是当前奇安信威胁情报中心的主力威胁分析技术支持团队。

目前，红雨滴团队拥有数十人的专业分析师和相应的数据运营和平台开发人员，覆盖威胁情报运营的各个环节：公开情报收集、自有数据处理、恶意代码分析、网络流量解析、线索发现挖掘拓展、追踪溯源，实现安全事件分析的全流程运营。团队对外输出机读威胁情报数据支持奇安信自有和第三方的检测类安全产品，实现高效的威胁发现、损失评估及处置建议提供，同时也为公众和监管方输出事件和团伙层面的全面高级威胁分析报告。

依托全球领先的安全大数据能力、多维度多来源的安全数据和专业分析师的丰富经验，红雨滴团队自2015年持续发现多个包括海莲花在内的APT团伙在中国境内的长期活动，并发布国内首个团伙层面的APT事件揭露报告，开创了国内APT攻击类高级威胁体系化揭露的先河，已经成为国家级网络攻防的焦点。

 

附录 参考链接

1.https://ti.qianxin.com/blog/

2.https://ti.qianxin.com/uploads/2018/08/01/c437f2e1f3eba14802924e26fc2318fb.pdf

3.https://ti.qianxin.com/uploads/2019/01/02/56e5630023fe905b2a8f511e24d9b84a.pdf

4.https://attack.mitre.org/

5.https://www.misp-project.org/galaxy.html

6.https://docs.google.com/spreadsheets/u/0/d/1H9_xaxQHpWaa4O_Son4Gx0YOIzlcBWMsdvePFX68EKU/pubhtml#

7. https://www.justice.gov/opa/press-release/file/1092091/download
8. https://www.cyberscoop.com/apt32-ocean-lotus-vietnam-car-companies-hacked/

9. https://blog.alyac.co.kr/

10. https://securelist.com/scarcruft-continues-to-evolve-introduces-bluetooth-harvester/90729/

11. https://s.tencent.com/research/report/711.html

12. https://www.freebuf.com/articles/paper/120002.html

13. https://www.first.org/resources/papers/tallinn2019/Linking_South_Asian_cyber_espionnage_groups-to-publish.pdf

14. https://labs.bitdefender.com/2017/09/ehdevel-the-story-of-a-continuously-improving-advanced-threat-creation-toolkit/

15. https://www.arbornetworks.com/blog/asert/donot-team-leverages-new-modular-malware-framework-south-asia/

16. https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2018/03/07180251/Penquins_Moonlit_Maze_PDF_eng.pdf

17. https://www.welivesecurity.com/wp-content/uploads/2018/10/ESET_GreyEnergy.pdf

18. https://blog.yoroi.company/research/apt28-and-upcoming-elections-possible-interference-signals/

19. https://securityaffairs.co/wordpress/82772/apt/russian-apt-groups-may-elections.html

20. https://securityaffairs.co/wordpress/81445/apt/apt28-institutions-europe.html

21. https://securelist.com/zebrocys-multilanguage-malware-salad/90680/

22. https://www.nytimes.com/2012/06/01/world/middleeast/obama-ordered-wave-of-cyberattacks-against-iran.html

23. https://securelist.com/equation-the-death-star-of-malware-galaxy/68750/

24. https://media.defense.gov/2018/Sep/18/2002041658/-1/-1/1/CYBER_STRATEGY_SUMMARY_FINAL.PDF

25. https://www.nytimes.com/2019/06/15/us/politics/trump-cyber-russia-grid.html

26. https://www.fireeye.com/blog/threat-research/2019/01/global-dns-hijacking-campaign-dns-record-manipulation-at-scale.html

27. https://www.crowdstrike.com/blog/widespread-dns-hijacking-activity-targets-multiple-sectors/

28. https://blog.talosintelligence.com/2018/11/dnspionage-campaign-targets-middle-east.html

29. https://www.fireeye.com/blog/threat-research/2017/12/targeted-attack-in-middle-east-by-apt34.html

30. https://unit42.paloaltonetworks.com/behind-the-scenes-with-oilrig/

31. https://blog.talosintelligence.com/2019/04/dnspionage-brings-out-karkoff.html

32. https://unit42.paloaltonetworks.com/unit42-muddying-the-water-targeted-attacks-in-the-middle-east/

33. https://ti.qianxin.com/blog/articles/apt-organization-muddywater-new-weapon-muddyc3-code-leak-and-analysis

34. https://hack2interesting.com/iranian-cyber-espionage-apt33/

35. https://www.welivesecurity.com/2019/03/11/gaming-industry-scope-attackers-asia/

36. https://securelist.com/operation-shadowhammer/89992/

37. https://www.welivesecurity.com/2019/05/14/plead-malware-mitm-asus-webstorage/

38. https://www.wired.com/story/triton-hackers-scan-us-power-grid/

39. https://www.nytimes.com/2019/06/22/us/politics/us-iran-cyber-attacks.html

40. https://www.symantec.com/blogs/threat-intelligence/waterbug-espionage-governments

41. https://www.eff.org/files/2015/01/27/20150117-spiegel-overview_of_methods_for_nsa_integrated_cyber_operations_0.pdf

42. https://www.cybereason.com/blog/operation-soft-cell-a-worldwide-campaign-against-telecommunications-providers