新一波针对银行金融和运营商的攻击来袭

moc375 2013-05-13 180319人围观 ,发现 36 个不明物体 资讯

5月9号上午8点,在某大型企业部署的APT防御设备捕捉到了利用金融作为主题,以美国花旗银行的邮件账户源的攻击邮件,附带DOC的攻击文档,并且在该企业内网邮件大量传播。 同时我们发现该攻击主要攻击从事金融方面或者相关的企业。

该攻击穿透大部分传统的网络安全防护产品,请各大企事业单位关注这波攻击,避免重要资产流失。

APT防御设备捕捉图:

Email原文以美国花旗银行的账户为源,并欺骗附件是花旗银行的支付电子商户声明

被攻击者打开后将会触发CVE2012-0158漏洞,并打开迷惑性的DOC文档

迷惑性DOC

漏洞触发shellcode执行后,在临时目录释放paw.EXE 并执行

该exe执行后先复制自身至C:\Documents and Settings\xxx\Application Data 随机生成的目录下,通过不同的启动标志执行相应操作

第一次执行复制自身后,便释放tmp53865f51.bat 删除自身及文件

bat
@echo off
:d
del "C:\Documents and Settings\xxx\桌面\paw.exe"
if exist "C:\Documents and Settings\xxx\桌面\paw.exe" goto d
del /F "C:\DOCUME~1\torpedo\LOCALS~1\Temp\tmp53865f51.bat"

第二次执行主要枚举进程,找到符合条件的进程,注入到系统explorer进程 大小0×48000

注入代码主要功能:枚举系统进程、查找文件、获取计算机信息、系统环境等信息通过加密的方式发送到远处服务器上,同时代码执行过程中有大量的反调试器跟踪。

该攻击样本存在大量的网络连接服务器节点,分布在不同国家,其中有美国,俄罗斯,荷兰等,采用了类似P2P Variant of Zeusbot/Spyeye协议。

来自http://www.symantec.com/connect/blogs/cracking-new-p2p-variant-zeusbotspyeye


连接数据包


感谢moc375投递

这些评论亮了

  • 翰海源安全 回复
    目前根据我们部署的星云设备反馈信息,国内多个跨行业已经都收到了利用CVE2012-0158漏洞的文档攻击;
    )10( 亮了
  • 吐槽帝 回复
    @翰海源安全
    哥好心提醒你们.
    注意我吐槽的点,是你们把一个垃圾邮件的攻击行为作为了apt攻击的案例,并且大肆宣传,本身就可笑的
    我还特别指出了你们2篇blog的分析,都是一个垃圾邮件攻击的套路.这个和apt有什么关系
    "波士顿马拉松爆炸案垃圾邮件" 你不懂可以去检索
    你要说apt,高级可持续性攻击,注意什么是可持续的,注意什么是高级,
    针对国内的企业的人发花旗的英文邮件,还是apt攻击,拜托你们自己动动脑子
    如果你代表你公司,想好再回答,不要像某些人在某些会议上说apt说的起劲,实际让业内的人笑掉大牙
    另外 以后注意表达一致,软文也是要写技巧,动辄就用apt做噱头,也就骗骗外行
    文中.同时我们发现该攻击主要攻击从事金融方面或者相关的企业。后面又说是 能源企业,
    最后和你说,既然你想代表你公司,说话周到些,别把网上骂架的架势放出来,不如好好做好你们的设备
    学学fireeye,站着把钱挣了
    )8( 亮了
发表评论

已有 36 条评论

取消
Loading...
css.php