华域联盟
登陆 / 注册 搜索

USERCENTER

SEARCHSITE

搜索

中国再次发现来自海外的黑客攻击:蔓灵花攻击行动

2016-11-16 20:38| 发布者: sterben| 查看: 1351| 评论: 0

摘要: 近日,360追日团队发布了蔓灵花攻击行动(简报),披露又一个针对中国政府能源的海外黑客攻击,受影响单位主要是触及政府、电力和工业相关单位,该组织至今依然处于生动状态。从这次攻击事情与近期发布的摩诃草、索 ...

http://p2.qhimg.com/t01bb2ce212595f6d81.png

近日,360追日团队发布了蔓灵花攻击行动(简报),披露又一个针对中国政府能源的海外黑客攻击,受影响单位主要是触及政府、电力和工业相关单位,该组织至今依然处于生动状态。

从这次攻击事情与近期发布的摩诃草、索伦之眼,以及之前的伊朗核电站、乌克兰电网断电等事情,我们看到网络空间的争夺成为了大国博弈的焦点,APT作为一种卓有成效的伎俩不时在各类对立中呈现。随着APT对立烈度的增加,跨平台的攻击将会成为主流,而不再聚焦在单一的Windows平台,包括移动设备、智能硬件、工业控制系统、智能汽车等多种平台都会成为攻击者的目的或跳板。面对国度之间的网络安全对立和日益复杂的攻击事情,单一的安全防护设备不再能够有效的针对攻击中止检测与响应,只需经过协同纵深的防御体系,才干有效应对日益变化的高级要挟。

美国网络安全公司Forcepoint 近期发布了一篇报告,该报告主要披露了巴基斯坦政府官员最近遭到了来源不明的网络特务活动。该报告描画了攻击者运用了鱼叉邮件以及应用系统漏洞等方式,在受害者计算机中植入了定制的AndroRAT,企图窃取敏感信息和资料。Forcepoint研讨人员以为该组织与BITTER相关,而且可能还不止发起了这一同攻击事情。BITTER攻击始于2013年11月,且多年来不时未被检测到,目前攻击者背景尚未明白。相关APP信息包括提供关于印度和巴基斯坦之间的争议地域新闻的Kashmir News等。

基于360具有的大数据资源,我们针对该事情中止了进一步剖析,我们发现中国地域也遭遭到了相关攻击的影响,受影响单位主要是触及政府、电力和工业相关单位,该组织至今依然处于生动状态。截至目前我们已捕获到了33个歹意样本,歹意样本触及Windows和Android多个平台,歹意样本的回连域名(C&C)共26个。


国内受影响状况


生动时间:

从歹意样本的时间戳来看,国外样本最早出往常2013年11月,样本编译时间集中出往常2015年7月至2016年9月期间。

国内感染用户的样本的编译时间集中在2016年5月到9月期间,其网络活动的生动时间集中在9月份,其CC至今依然存活。

主要受影响单位:

中国某国度部委

中国某工业集团

中国某电力单位


鱼叉式邮件攻击


我们的研讨人员发现,该组织经常运用鱼叉邮件攻击的手法,鱼叉邮件中包含Word漏洞文档来诱导用户点击,其运用的漏洞是Office的经典漏洞 CVE-2012-0158。

用户点击之后,漏洞文档中的Shellcode被执行,调用URLDownloadToFileA从指定的网址中下载木马程序,运用CMD命令重命名后执行,完成RAT的下载装置。

除了基本的漏洞文档,还有图标伪装成图片文件的exe,诱导用户中止点击,exe执行后释放图片并下载装置RAT程序。

漏洞文档的文件名列表如下:

http://p1.qhimg.com/t0123d9c6a15e0f3e4c.png

图1 诱饵图片文件

图2 漏洞文档中的shellcode

后门程序剖析




鲜花

握手

雷人

路过

鸡蛋

最新评论

  • 重磅!一种歹意软件绕过杀软
  • 供给链幽魂再现:CCleaner
  • 隔空盗刷NFC信誉卡 2017 HA
  • 安全研讨人员披露D-Link路
  • 揭密小黑系列——SSL劫持木
  • 记CTF竞赛中发现的Python反

图文热点

黑客团队OurMine入侵维基解密网站,官网被其挂了黑页
黑客团队OurMine入
Oops!维基解密被臭名远扬的黑客组织OurMine挂了黑页
螳螂捕蝉黄雀在后!公开黑客论坛免费远控木马被曝“后门” ...
螳螂捕蝉黄雀在后!
9月2日讯 黑客可在公开黑客论坛免费下载的远程访问木
俄罗斯互联网提供商巨头Rostelecom遭遇DDoS攻击企图
俄罗斯互联网提供商
9月2日讯 8月底,俄罗斯最大互联网提供商Rostelecom遭
渣滓邮件歹意程序“Onliner”瞄准7.11亿电子邮件账户
渣滓邮件歹意程序“
9月1日讯 巴黎安全研讨人员Benkow率先发现身份不明的
华域2017年9月2日23:23:56爱奇艺会员账号共享
华域2017年9月2日23
账号4541503610322 密码9E6GbQqqaiqin.com账号3681503

GMT+8, 2017-9-22 21:42 , Processed in 0.156250 second(s), 32 queries .

© 2020 华域联盟 | 蒙公网安备 15062202000105号 版权删帖举报人口

备案号: 蒙ICP备17000689号-2