赛门铁克警示网络间谍组织Buckeye将攻击目标转至中国香港

简介:

Buckeye网络间谍组织又被称为APT3、Gothic Panda、UPS Team和 TG-0110,该组织已经成立超过五年,并主要针对美国及其他目标国家的企业组织开展攻击行动。但自 2015年6月起, Buckeye似乎逐渐将攻击重点转向中国香港的政府机构。2016年3月至今,该组织集中针对中国香港的相关机构进行恶意攻击。最近一次攻击发生在8月4日,Buckeye犯罪组织企图通过发送恶意电子邮件至被入侵的目标网络,以实现盗取信息的目的。

通过赛门铁克与Blue Coat Systems的联合威胁情报服务,赛门铁克的安全团队清晰掌握了Buckeye组织在近几年的策略演变。这一发现能够帮助赛门铁克进一步增强安全防护功能,并帮助企业用户抵御该组织的攻击活动。

背景

在 2009 年,赛门铁克已发现Buckeye针对多个地区的多家机构展开攻击。Buckeye 曾通过远程访问木马(Backdoor.Pirpi)对一家美国机构的网络展开攻击。该犯罪组织通过附带Backdoor.Pirpi或链接的鱼叉式网络钓鱼电子邮件对目标进行攻击。如今,赛门铁克已经识别出该组织所使用的其他黑客工具。

过去,Buckeye组织因利用零日漏洞进行攻击而臭名昭著,包括在2010年攻击中使用的CVE-2010-3962和在2014 年使用的CVE-2014-1776。尽管Buckeye利用其他零日漏洞进行的攻击也被发现,但这些攻击活动并未得到赛门铁克的证实。赛门铁克安全人员表示,所有已知的或疑似被Buckeye组织利用的零日漏洞均来自Internet Explorer和Flash。

攻击重心转变

2015年8月起,赛门铁克遥测技术发现中国香港的部分计算机感染 Backdoor.Pirpi。2016年3月底至4月初,该恶意程序的感染数量出现大幅增长。不仅如此,赛门铁克同样在其他调查中发现与该恶意程序相关的恶意软件样本,并从而确定该犯罪组织的攻击目标为中国香港的政府机构。

在近期的部分攻击中,Buckeye使用带有恶意压缩附件(.zip)的鱼叉式网络钓鱼电子邮件,这些电子邮件的压缩文档附件中包含带有Microsoft Internet Explorer标识的Windows快捷方式 (.lnk) 文件。受害者一旦点击该快捷方式,计算机将会下载Backdoor.Pirpi恶意程序,并在受感染的计算机中执行。

攻击目标

从 2015 年至今,赛门铁克发现在不同地区的大约82家组织机构的网络中发现Buckeye工具,但该现象无法准确反映出Buckeye攻击组织所感兴趣的攻击目标。赛门铁克认为,该组织通过采取“广撒网” 的方式寻找攻击目标,但只在感兴趣的企业机构网络中保持攻击活跃度。通过设定监测指标和深入观察,例如:Buckeye对某机构保持攻击活跃度超过1天、部署额外工具,针对多台计算机进行病毒传播等,赛门铁克发现Buckeye的攻击目标主要针对中国香港(13)、美国(3)和英国(1)的17 家组织机构。

  图1. Buckeye感兴趣的攻击对象地区分布( 2015 年至今)

赛门铁克的监测数据从2015年开始统计,但值得注意的是,在 2016 年 3 月,针对中国香港的攻击比例出现大幅增长。2015年中期之前,Buckeye的传统攻击目标主要为不同类型的美国和英国组织机构。而在2015年6月,Buckeye的攻击目标发生巨大转变,开始攻击中国香港,并逐渐停止对英国和美国的攻击。

  图2. 在不同时期及不同地区中,Buckeye攻击目标分布图

恶意软件和黑客工具

Buckeye攻击组织采用多种黑客工具和恶意软件进行攻击,其中,许多黑客工具为开源应用。此外,为了躲避检测,Buckeye对这些工具还进行了一定程度的修补或调整。

Buckeye通过使用远程访问木马Backdoor.Pirpi,来读取、写入和执行文件与程序,以及收集攻击目标的本地网络信息,包括域控制器和工作站等。

Buckeye所采用的黑客工具包括:

Keylogger:Keylogger(键盘记录器)可通过使用命令行参数网络服务、替换、安装、注销进行配置。这些参数可以作为服务被安装,然后Keylogger开始记录如thumbcach_96.dbx等加密文件的击键次数。该工具将记录如thumbcach_96.dbx等加密文件的键盘输入信息。此外,Keylogger还能够收集MAC地址、IP 地址、WINS、DHCP服务器和网关等网络信息。

RemoteCMD:RemoteCMD工具类似于PsExec工具,主要用于在远程计算机上执行命令。用法为:%s shareIp domain[USER INFORMATION|[USER NAME AND PASSWORD]] [/run:[COMMAND]] ,能够传递的命令包括上传、下载、服务(创建、删除、开始、停止)、删除、重命名和 AT。

PwDumpVariant:RemoteCMD工具可以导入lsremora.dll(通常攻击者将其作为工具箱的一部分一同下载),并使用GetHash导出DLL文件。该工具可在执行过程中,将自身注入到 lsass.exe中,并通过参数“dig”触发。

OSinfo:OSInfo是一种通用系统信息收集工具。它具有以下命令行参数帮助指令:

info [options]

[options]:

-d 域

-o 操作系统信息

-t 任务信息

-n 网络使用信息

-s 分享信息和目录

-c 连接测试

-a局部和全局组用户信息

-l局部组用户信息

-g 全局组用户信息

-ga 组管理员

-gp 组高级用户

-gd 组域管理员

-f //输入文件中的服务器列表,一行一台服务器

info

ChromePass:一种来自NirSoft的工具,可用于恢复保存在Chrome浏览器中的密码。

Lazagne:一种编译的Python工具,可从安装在本地的多个应用类别中提取密码,例如,Web 浏览器。这些应用类别包括:聊天、Svn(一种版本管理工具)、无线网络、电子邮件、Windows、数据库、系统管理和浏览器。

Buckeye似乎将文件和打印服务器作为主要攻击目标,因此,赛门铁克认为该组织的目的很有可能是盗取文件。结合该组织在过去利用的零日漏洞、定制工具以及攻击目标的组织类型等因素,这表明Buckeye是一家拥有国家支持背景的网络间谍组织。

赛门铁克安全防护

赛门铁克和诺顿产品可通过检测以下恶意软件,帮助用户抵御该网络间谍组织的攻击行为:

防病毒程序

Backdoor.Pirpi

Backdoor.Pirpi!dr

Backdoor.Pirpi!gen1

Backdoor.Pirpi!gen2

Backdoor.Pirpi!gen3

Backdoor.Pirpi!gen4

Backdoor.Pirpi.A

Backdoor.Pirpi.B

Backdoor.Pirpi.C

Backdoor.Pirpi.D

Downloader.Pirpi

Downloader.Pirpi!g1

入侵预防系统

System Infected: Backdoor.Pirpi Activity 3
本文转自d1net(转载)

相关文章
|
1月前
|
安全 数据安全/隐私保护
谨防二维码陷阱:揭秘网络钓鱼攻击与保护措施
当我们深入了解二维码的世界时,了解它们的特性和潜在风险变得至关重要,揭示了伴随其广泛普及的更为阴暗的一面
|
16天前
|
存储 安全 网络安全
如何识别和防范网络钓鱼攻击?
通过以上方法的综合运用,可以有效识别和防范网络钓鱼攻击,降低遭受网络安全威胁的风险,保护个人信息和财产安全。
48 12
|
11天前
|
安全 Linux 网络安全
nmap 是一款强大的开源网络扫描工具,能检测目标的开放端口、服务类型和操作系统等信息
nmap 是一款强大的开源网络扫描工具,能检测目标的开放端口、服务类型和操作系统等信息。本文分三部分介绍 nmap:基本原理、使用方法及技巧、实际应用及案例分析。通过学习 nmap,您可以更好地了解网络拓扑和安全状况,提升网络安全管理和渗透测试能力。
56 5
|
17天前
|
安全 网络安全 数据安全/隐私保护
社会工程学攻击:了解并预防心理操控的网络欺诈
社会工程学攻击:了解并预防心理操控的网络欺诈
37 7
|
28天前
|
存储 安全 网络安全
互联网上如何有效应对网络勒索攻击?
有效应对网络勒索攻击需要采取多方面的措施,从预防、监测到应急响应和数据恢复等多个环节进行综合防护。
43 4
|
1月前
|
网络协议 网络安全 网络架构
|
1月前
|
安全 网络协议 物联网
物联网僵尸网络和 DDoS 攻击的 CERT 分析
物联网僵尸网络和 DDoS 攻击的 CERT 分析
|
1月前
|
机器学习/深度学习 人工智能 安全
|
1月前
|
Web App开发 测试技术 网络安全
Kali 测试:使用Burp Suite 对网络认证服务的攻击(一)
Kali 渗透测试:使用Burp Suite 对网络认证服务的攻击(一)
|
1月前
|
网络安全 数据安全/隐私保护 安全
Kali 测试:使用Burp Suite 对网络认证服务的攻击(二)
Kali 渗透测试:使用Burp Suite 对网络认证服务的攻击(二)
下一篇
无影云桌面