昨天介紹 ATT&CK　for ICS　也就是針對工控場域攻擊的駭客集團所使用的手法，其中有收錄幾個駭客集團，下列介紹這些駭客集團：

提前說明：因為同時有多個資安公司會分析駭客組織的動向與手法，資安公司會幫這些駭客集團取名，最後會發現其實這些駭客組織是同一群人，因此才會有別名。

因此透過 ATT&CK 以編號的方式，可以代表現在談論的駭客集團是哪一個。

LANITE G0009

• 別名：Palmetto Fusion、ALLANITE
• 來自俄羅斯的駭客集團
• 針對美國與英國
• 影響電力公司與能源

曾經使用過水坑攻擊與魚叉式釣魚郵件的方式入侵電力公司，收集企業內部的帳號與密碼，也透過螢幕截圖的方式，收集 ICS 系統的截圖。

APT33 G0003

• 別名：Elfin, MAGNALLIUM
• 來自伊朗
• 針對美國、沙烏地阿拉伯、韓國
• 影響航空與能源

曾經透過魚叉式釣魚郵件，內部使用有惡意程式碼的 HTML 連結進行釣魚，也透過安裝後門，可以達到螢幕截圖與透過 PowerShell 執行惡意指令。

Dragonfly G0002

• 別名：Dragonfly, Energetic Bear, TG-4192, Crouching Yeti, IRON LIBERTY
• 未有報告指出是哪間國家的駭客
• 原本針對國防與航空(2011)
• 後來針對能源與工控(2013)
• 最後有一個 2.0 版本

比較特別的是透過供應鏈攻擊，以 ICS 的設備廠商的韌體/軟體埋入後門木馬。其他的手法也是透過魚叉式釣魚郵件，針對能源部門的主管進行社交攻擊，並使用惡意的 PDF 進行滲透。也針對過能源廠商的網站以 iframe 的手法來傳送後門與木馬(Backdoor.Oldrea/Trojan.Karagany)。

Dragonfly 2.0 G0006

• 別名：Dragonfly 2.0, Berserk Bear, DYMALLOY
• 來自俄羅斯的駭客
• 從 2015 針對美國、土耳其與瑞士
• 針對能源

一樣透過釣魚的方式或透過網站弱點，收集密碼，進入內部環境之後透過

1. 供應鏈攻擊：潛伏於 Windows 的惡意程式
2. port 445,139 UDP 137,138　連接　C2
3. 竊取 ICS 與 SCADA 內部的設備架構圖、螢幕截圖
4. 匿蹤：刪除 log、移除註冊表內容