HEXANE G0005

• 別名：Lyceum、HEXANE
• 針對：中東如科威特
• 影響：石油、天然氣、電信業者

針對電信業者廠商以「中間人攻擊」的手法進行攻擊，也利用釣魚信件夾帶惡意檔案，該惡意附件夾帶使用 VBA 巨集與 Powershell 的惡意腳本(DanDrop 和 kl.ps1)，掌控機器之後，透過 HTTP 與 DNS 與 C2 伺服器連線。

Lazarus group G0008

• 別名：Lazarus group , COVELLITE , HIDDEN COBRA , ZINC , Guardians of Peace
• 來自：南韓
• 針對：歐洲、東亞、北美
• 影響：民生與電力

使用 WannaCry 針對 ICS 場域進行攻擊，也透過惡意釣魚檔案進行攻擊。

OilRig G0010

• 別名：OilRig , CHRYSENE , Greenbug , APT 34
• 來自：伊朗
• 針對：伊拉克、巴基斯坦、以色列和英國
• 影響：金融、政府、能源、化工和電信部門以及石化、石油和天然氣

透過魚叉式釣魚郵件，內部包含 Microsoft Excel 的惡意巨集 VBScript 與 PowerShell 也透過水坑攻擊收集 ICS 網路的密碼，使用這些密碼訪問受害的主機，在內部網路使用 HTTP 請求與 C2 伺服器進行連線。

Sandworm Team G0007

• 別名：Sandworm Team , ELECTRUM , Telebots , IRON VIKING , Quedagh , VOODOO BEAR
• 來自：俄羅斯
• 針對：烏克蘭
• 影響：電力部門

收集 VPN 的帳號密碼，並嘗試登入，也透過魚叉式釣魚郵件，欲取得系統初始權限。
利用惡意韌體使用通訊過程中無法執行指令，用來阻止「指令請求」、「回應請求」，也讓設備無法運作之外，甚至影響 UPS 讓 UPS 無法運作。利用了 GE Cimplicity HMI 和 Advantech/Broadwin WebAccess HMI 軟體的漏洞，利用 SCADA 環境中的 HMI GUI 打開斷路器，也控制內部系統、工作站。

XENOTIME G0001

• 別名：XENOTIME, TEMP.Veles
• 可能來自俄羅斯的駭客
• 針對：中東、歐洲和北美的
• 影響：石油和天然氣以及電力行業

以 ICS 廠商與製造商為目標，利用水坑攻擊後竊取有效帳號和密碼，透過 RDP 遠端桌面進入內部環境。