freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

赛门铁克:企业请注意!Patchwork APT攻击范围已扩展到各行各业
2016-08-01 11:00:16

前一阵,我们在《揭秘Patchwork APT攻击:一个与中国南海和东南亚问题相关的网络攻击组织》一文中谈到了这个名叫Patchwork的组织。实际上,卡巴斯基实验室之前也做了相关该组织APT攻击的调查报告(卡巴斯基在报告中将该组织称作Dropping Elephant)。

patchwork-cyber-espionage-group-evolves-to-target-enterprises-506623-2.jpg

这两天,赛门铁克安全响应中心也针对Patchwork发起了一份最新的报告。其中谈到Patchwork先前一直是以政府以及与政府相关的组织,为攻击目标的。不过最近Patchwork似乎将攻击目标做了极大扩展,企业现在也需要小心Patchwork APT攻击了!

攻击目标极大扩展

从赛门铁克的追踪情报来看,Patchwork现如今的攻击目标有了极大范围的扩展,不过主要还是针对公共部门和企业。近期Patchwork的一些攻击针对的行业包括:航空、广播、能源、金融、非政府组织、制药、公有企业、出版、软件。

攻击目标的地理位置则也扩展到了美国之外,虽然大约有半数攻击仍然针对美国,但其余攻击针对的国家地区则相对已经比较分散了,包括中国、日本、东南亚、英国等。

而其攻击方式看来并没有太大变化:仍然是向目标发出时事新闻邮件。邮件中会包含攻击者的网站链接,这些网站的内容主要都是相关中国的——用赛门铁克的话来说,这些内容能够“吸引被攻击目标的兴趣”。

Figure2_12.png

作为APT攻击,具有高度针对性是必然的,所以攻击者的不同网站针对不同的目标——网站上的内容肯定也是针对被攻击行业目标做定制的,比如像上面这个网站是相关中国军方的。先前《揭秘APT组织》一文中也提到了这一点。

这些站点会涉及的恶意文件链接,指向不同的域名(似为中国情报机构合法来源注册的域名),其中主要的几个域名均指向两个IP地址:212.83.146.3,37.58.60.195。

Southeast-Asia-680x400.jpg

依旧通过.pps和.doc文档传播

上面提到的恶意站点主要提供的恶意程序包含两种格式,分别是.pps和.doc文档——其实也就是PowerPoint和Word文档。其中PPT文件利用的是Windows OLE Package Manager远程代码执行漏洞(CVE-2014-4114);而Word文档则利用了Office内存破坏漏洞(CVE-2015-1641)——这个漏洞已经在去年4月份修复;另外还有CVE-2012-0158这样更老的漏洞。

我们之前在文章中已经分析了恶意PPT文件对Windows OLE Package Manager远程代码执行漏洞的利用。在此,如果用户使用较老版本的PowerPoint(PowerPoint 2016之前的版本)打开此处的恶意PPT文件,会弹出一个警告对话框(而非完全禁止恶意程序感染),如下图所示。

Figure3_9.png

这个对话框询问用户是否想要打开driver.inf,根据操作系统版本情况可能会有差异。如果用户在此选择了“打开”,则设备中招。如果选择取消的话,系统就不会被感染。打开PPT文件的话,临时文件夹中就会出现Backdoor.Enfourks木马。恶意Word文件在对CVE-2015-1641漏洞的利用中,则会释放Backdoor.Steladok。

这两个后门木马家族还是需要等待攻击者具体的指令再行动,其具体用途在于对文件进行搜索,将文件上传到指定服务器。尤为值得一提的是(赛门铁克原话是:for unknown reason),两者都会用到百度。

这两只木马通过ping百度服务器的方式来确认网络连接(!!!),并且在注册表中用baidu的名字创建注册表随机启动项。这两个不同的文件实际上包含两套不同的payload,可见开发团队应该不是一个人,甚至有可能是多个开发团队协力(虽然貌似质量不是很高)。

有关恶意程序恶意行为和查杀的详情可以关注先前Cymmetria的赛门铁克的详细报告。

3iuoi4uo71.jpg

对企业用户的忠告其实还是那几句话,不要打开看起来可疑的邮件,如果邮件中还有附件和链接的话更需要谨慎——毕竟具有高度针对性的钓鱼邮件是网络间谍行动的常规手法;另外就是保持操作系统和软件版本最新,这次的恶意程序主要还是利用一些比较老的漏洞。

* 参考来源:Symantec ,欧阳洋葱编译,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

本文作者:, 转载请注明来自FreeBuf.COM

# Patchwork # Dropping Elephant
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按热度排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦
收入专辑