IT学习网 - 爱学习 - 最具影响力综合资讯网站 -- 中国IT界的领航者!
热门关键字:      88888  as  xxx
站外
广告
站外
广告

中国再次发现来自海外的黑客攻击:蔓灵花攻击行动

发布时间:2016-11-17 17:17文章来源:互联网文章作者: 佚名点击次数:
近日,360追日团队发布了蔓灵花攻击行动(简报),披露又一个针对中国政府能源的海外黑客攻击,受影响单位主要是涉及政府、电力和工业相关单位,该组织至今依然处于活跃状态。 从这次攻击事件与近期发布的摩诃草、索伦之眼,以及之前的伊朗核电站、乌克兰电


近日,360追日团队发布了蔓灵花攻击行动(简报),披露又一个针对中国政府能源的海外黑客攻击,受影响单位主要是涉及政府、电力和工业相关单位,该组织至今依然处于活跃状态。
从这次攻击事件与近期发布的摩诃草、索伦之眼,以及之前的伊朗核电站、乌克兰电网断电等事件,我们看到网络空间的争夺成为了大国博弈的焦点,APT作为一种行之有效的手段不断在各类对抗中出现。随着APT对抗烈度的增加,跨平台的攻击将会成为主流,而不再聚焦在单一的Windows平台,包括移动设备、智能硬件、工业控制系统、智能汽车等多种平台都会成为攻击者的目标或跳板。面对国家之间的网络安全对抗和日益复杂的攻击事件,单一的安全防护设备不再能够有效的针对攻击进行检测与响应,只有通过协同纵深的防御体系,才能有效应对日益变化的高级威胁。
美国网络安全公司Forcepoint 近期发布了一篇报告,该报告主要披露了巴基斯坦政府官员最近遭到了来源不明的网络间谍活动。该报告描述了攻击者使用了鱼叉邮件以及利用系统漏洞等方式,在受害者计算机中植入了定制的AndroRAT,意图窃取敏感信息和资料。Forcepoint研究人员认为该组织与BITTER相关,而且可能还不止发起了这一起攻击事件。BITTER攻击始于2013年11月,且多年来一直未被检测到,目前攻击者背景尚未明确。相关APP信息包括提供关于印度和巴基斯坦之间的争议地区新闻的Kashmir News等。
基于360拥有的大数据资源,我们针对该事件进行了进一步分析,我们发现中国地区也遭受到了相关攻击的影响,受影响单位主要是涉及政府、电力和工业相关单位,该组织至今依然处于活跃状态。截至目前我们已捕获到了33个恶意样本,恶意样本涉及Windows和Android多个平台,恶意样本的回连域名(C&C)共26个。
国内受影响情况
活跃时间:
从恶意样本的时间戳来看,国外样本最早出现在2013年11月,样本编译时间集中出现在2015年7月至2016年9月期间。
国内感染用户的样本的编译时间集中在2016年5月到9月期间,其网络活动的活跃时间集中在9月份,其CC至今依然存活。
主要受影响单位:
中国某国家部委
中国某工业集团
中国某电力单位
鱼叉式邮件攻击
我们的研究人员发现,该组织经常使用鱼叉邮件攻击的手法,鱼叉邮件中包含Word漏洞文档来诱导用户点击,其使用的漏洞是Office的经典漏洞 CVE-2012-0158。
用户点击之后,漏洞文档中的Shellcode被执行,调用URLDownloadToFileA从指定的网址中下载木马程序,使用CMD命令重命名后执行,实现RAT的下载安装。
除了基本的漏洞文档,还有图标伪装成图片文件的exe,诱导用户进行点击,exe执行后释放图片并下载安装RAT程序。
漏洞文档的文件名列表如下:


图1 诱饵图片文件


图2 漏洞文档中的shellcode
后门程序分析
Windows端
Windows平台上运行程序目前发现的有三大类,第一类是Downloader程序,当用户触发漏洞文档时,最先从CC上下载Downloader并且执行;第二类是后门程序FileStolen,功能较简单,意在窃取文件;第三类是具有完整功能的RAT,其有各种功能,体积较大。
DownLoader
样本MD5:c195****************************
中国再次发现来自海外的黑客攻击:蔓灵花攻击行动
本文由 IT学习网 整理,转载请注明“转自IT学习网”,并附上链接。
原文链接:http://www.ourlove520.com/Article/netsafe/Website/555705.html

标签分类:

上一篇:上一篇:网站安全之新手指南:DVWA-1.9全级别教程之File Inclusion
下一篇: 下一篇:没有了
无觅关联推荐,快速提升流量