新一波针对银行金融和运营商的攻击来袭

moc375 2013-05-13 221223人围观 ,发现 36 个不明物体 资讯

5月9号上午8点,在某大型企业部署的APT防御设备捕捉到了利用金融作为主题,以美国花旗银行的邮件账户源的攻击邮件,附带DOC的攻击文档,并且在该企业内网邮件大量传播。 同时我们发现该攻击主要攻击从事金融方面或者相关的企业。

该攻击穿透大部分传统的网络安全防护产品,请各大企事业单位关注这波攻击,避免重要资产流失。

APT防御设备捕捉图:

Email原文以美国花旗银行的账户为源,并欺骗附件是花旗银行的支付电子商户声明

被攻击者打开后将会触发CVE2012-0158漏洞,并打开迷惑性的DOC文档

迷惑性DOC

漏洞触发shellcode执行后,在临时目录释放paw.EXE 并执行

该exe执行后先复制自身至C:\Documents and Settings\xxx\Application Data 随机生成的目录下,通过不同的启动标志执行相应操作

第一次执行复制自身后,便释放tmp53865f51.bat 删除自身及文件

bat
@echo off
:d
del "C:\Documents and Settings\xxx\桌面\paw.exe"
if exist "C:\Documents and Settings\xxx\桌面\paw.exe" goto d
del /F "C:\DOCUME~1\torpedo\LOCALS~1\Temp\tmp53865f51.bat"

第二次执行主要枚举进程,找到符合条件的进程,注入到系统explorer进程 大小0×48000

注入代码主要功能:枚举系统进程、查找文件、获取计算机信息、系统环境等信息通过加密的方式发送到远处服务器上,同时代码执行过程中有大量的反调试器跟踪。

该攻击样本存在大量的网络连接服务器节点,分布在不同国家,其中有美国,俄罗斯,荷兰等,采用了类似P2P Variant of Zeusbot/Spyeye协议。

来自http://www.symantec.com/connect/blogs/cracking-new-p2p-variant-zeusbotspyeye


连接数据包


感谢moc375投递

这些评论亮了

  • 翰海源安全 回复
    目前根据我们部署的星云设备反馈信息,国内多个跨行业已经都收到了利用CVE2012-0158漏洞的文档攻击;
    )10( 亮了
  • 吐槽帝 回复
    @翰海源安全
    哥好心提醒你们.
    注意我吐槽的点,是你们把一个垃圾邮件的攻击行为作为了apt攻击的案例,并且大肆宣传,本身就可笑的
    我还特别指出了你们2篇blog的分析,都是一个垃圾邮件攻击的套路.这个和apt有什么关系
    "波士顿马拉松爆炸案垃圾邮件" 你不懂可以去检索
    你要说apt,高级可持续性攻击,注意什么是可持续的,注意什么是高级,
    针对国内的企业的人发花旗的英文邮件,还是apt攻击,拜托你们自己动动脑子
    如果你代表你公司,想好再回答,不要像某些人在某些会议上说apt说的起劲,实际让业内的人笑掉大牙
    另外 以后注意表达一致,软文也是要写技巧,动辄就用apt做噱头,也就骗骗外行
    文中.同时我们发现该攻击主要攻击从事金融方面或者相关的企业。后面又说是 能源企业,
    最后和你说,既然你想代表你公司,说话周到些,别把网上骂架的架势放出来,不如好好做好你们的设备
    学学fireeye,站着把钱挣了
    )8( 亮了
发表评论

已有 36 条评论

取消
Loading...

特别推荐

推荐关注

活动预告

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php