黑客组织春龙(Spring Dragon)发起的APT攻击分析

2015-06-24 296494人围观 ,发现 8 个不明物体 WEB安全头条

我们在这里分析下前几年的APT案例——黑客组织春龙(Spring Dragon)发起的“Lotus Blossom行动”。

黑客组织Spring Dragon

这个攻击事件来源2012年出现的Elise代码库的调试字符串的特征(d:\lstudio\projects\lotus\Elise…)。

在前几年,黑客组织Spring Dragon最为人津津乐道的就是对CVE-2012-0158漏洞的利用。而如今他们又开始了钓鱼挂马,利用web漏洞攻击网站,以及重定向用户的Flash升级请求到恶意网站进行水坑攻击。该组织的钓鱼工具包里有PDF的exp,Adobe Flash Player的exp,以及从不太出名的Tran Duy Linh工具包提取的CVE-2012-0158漏洞的exp。当Spring Dragon的APT行动把大家的注意吸引到越南的黑客事件上时,我们突然发现他们似乎还准备了混合使用exp的战术来攻击越南(VN)、台湾(TW)、菲律宾(PH)等后缀的网站。

攻击案例

接下来,我们来看看几个新的攻击案例

第一个案例

Spring Dragon的黑客手段可不只有交叉钓鱼,他们也会渗透WEB网站做坏坏的事。在某次黑客攻击案例中,他们替换了某网站提供下载的Myanma字体的安装包。你可以看到,在上面的图中,在2012年Planet Myanmar网站曾提供该字体安装包的下载,所有的zip文件下载URL都指向一个有毒的zip安装包:Zawgyi_Keyboard_L.zip。解压这个zip文件会释放一个setup.exe,里面附带了一些后门组件,包括Elise“wincex. dll” (文件MD5值:a42c966e26f3577534d03248551232f3,检测结果:Backdoor.Win32.Agent.delp)。

在受害者无意中启动它时,会向外发出一个典型的Elise式Get请求:

GET /%x/page_%02d%02d%02d%02d.html

就像上面讨论“Lotus Blossom行动”的文章里写的那样。

第二个案例

在2014年11月,还有一个黑客攻击案例是利用CVE-2014-6332漏洞的exp,其中包含一个VBS恶意脚本以及变种payload。在2012年6月,该组织还在这个网站上挂了了某PDF漏洞的exp(CVE-2010-288),文件名为:“Zawgyi Unicode Keyboard.pdf”。其实在早些时候,他们也曾挂了这个PDF漏洞的exp,只是当时用的名字不一样而已。

在2011年11月,他们还曾用“台灣安保協會「亞太區域安全與台海和平」國際研討會邀 請 函_20110907. pdf”、“china-central_asia.pdf”、“hydroelectric sector.pdf”,以及伪装成来自政府机构的信函名等手段来诱惑人点击。

还有就是,我们观察到Spring Dragon针对政府目标进行APT攻击时,一般会把用户重定向到下载Flash安装包的网站。

如图所示,这个网站将用户重定向到一个典型Elise后门的flash安装包下载的网站,后门文件会与“210.175.53.24”主机交互,并向该主机发出GET请求包:“GET /14111121/page_321111234. html HTTP/1.0”。

至于用户在网站下载行为的重定向过程如下:

hxxp://www.bkav2010.net/support/flashplayer/downloads.htm
==> 
hxxp://96.47.234.246/support/flashplayer/install_flashplayer.exe (Trojan-Dropper.Win32.Agent.ilbq)。

这次黑客攻击有效地利用了他们过去用烂的CVE-2012-0158漏洞的exp。Spring Dragon通过普通的手法,做出了更多创造性APT攻击。

*参考来源:securelist,由FreeBuf小编dawner翻译整理,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

这些评论亮了

  • shell 回复
    210.175.53.24 fuckcl:123456
    www.bkav2010.net/shell.php pass:123456
    96.47.234.246/shell.php pass:123456
    )20( 亮了
  • 甲老板:刀个刀个刀刀那是什么刀
    乙老板:刀个刀个刀刀一把杀猪刀
    我: 一刀一刀一刀刀刀催人老
    我的青春小鸟已经飞走了
    合唱: 刀个刀个刀刀那是什么刀
    刀个刀个刀刀一把杀猪刀
    一刀一刀割掉青青河边草
    只剩一朵菊花随风飘摇
    )6( 亮了
发表评论

已有 8 条评论

取消
Loading...
dawner

黎明已经过去,黑暗就在眼前!

289 文章数 416 评论数

特别推荐

推荐关注

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php