欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

指向欧洲和亚洲很多国家的某个APT网络攻击事件的研究报告

来源:本站整理 作者:佚名 时间:2017-09-18 TAG: 我要投稿


一、概述
最近几天,360成都网安相应中间检测到一批可疑Word文档,该类文档自被检测以来赓续蜕变出新变种,颠末对此类文档的阐发和联系关系,发明文档背后影藏着一路针对欧亚多国(俄罗斯、白俄罗斯、哈萨克斯坦)的高档连续入侵攻击运动。入侵攻击者针对这三国的航天机构、军事机构、科研机构等紧张范畴展开了有结构、有筹划、有针对性的不间断入侵攻击,入侵攻击平台紧张会合在Windows体系,入侵攻击目的会合在白俄罗斯、哈萨克斯坦、俄罗斯。停止今朝一共捕捉到Windows平台样本16个(包括32位和64位版本),触及C&C地点5个。
该黑客结构紧张应用鱼叉邮件停止入侵攻击,应用体系破绽漏洞bugCVE-2015-1641或嵌入黑客恶意宏代码履行黑客恶意载荷,入侵胜利后入侵攻击者可以或许对用户计算机停止及时监控,同时可以或许远端下载履行指定载荷。
二、受影响环境
本章紧张对相干入侵攻击行为所针对目的触及的地区和行业停止相干统计阐发,光阴规模抉择 2017年8月1日到至今。
1.地区散布
这次行为紧张针对目的为白俄罗斯,占比高达56.2%,其次是哈萨克斯坦占25%,详细散布如图1所示。
 

图1  受影响地区散布
2.受影响范畴散布
经由过程收件人邮件地点,发明军事机构是这是定向行为重点针对目的,占比高达75%,其次是科研机构与航天机构,分离盘踞12.5%,详细散布如图2所示。
 

图2  受影响行业散布
三、载荷送达
1.入侵攻击方法
入侵攻击者紧张应用鱼叉邮件停止流传,并针对目的停止经心结构文件名、邮件主题、注释内容等信息,图3为捕捉的此中一封黑客恶意邮件。
 

图3  黑客恶意邮件
2.技巧方法
从捕捉的黑客恶意文档看,入侵攻击者紧张采纳了两种技巧手腕停止来履行黑客恶意载荷:
1) 应用CVE-2015-1641Office破绽漏洞bug
CVE-2015-1641破绽漏洞bug为范例混杂破绽漏洞bug,word在剖析docx文档处置displacedByCustomXML属性时未对customXML工具停止验证,可以或许传入其余标签工具停止处置,形成范例混杂,招致随意率性内存写入,终极颠末经心结构的标签和对应的属性值可以或许形成随意率性代码履行。
捕捉的黑客恶意文档嵌入了三个OLE工具(Object Linking and Embedding),即“工具链接与嵌入”, 此中第三个OLE工具嵌入的是docx文档,该文档重如果用于停止破绽漏洞bug触发,解压后包括document.xml,如下图4所示,入侵攻击者经由过程该XML文件笼罩到指定地位,招致随意率性内存写入。
 

图4  黑客恶意文档嵌入的document.xml文件
在捕捉的样本中入侵攻击者应用了很多相似的黑客恶意文档停止屡次入侵攻击,并且入侵攻击者同时把样本发送给分歧部分停止垂纶入侵攻击。经由过程比较样本发明,相似的黑客恶意文档只要嵌入的document.xml中某些属性值分歧,这阐明入侵攻击者为了使入侵攻击可以或许胜利针对分歧Office版本做了分歧的适配。
2)应用宏嵌入黑客恶意代码
部分样本还应用宏代码停止黑客恶意载荷的开释,并且宏代码还停止了加密掩护。图5为黑客恶意文档中嵌入的宏。
 

图5  黑客恶意文档嵌入的宏
3.钓饵文件
从今朝捕捉的数据来看,黑客恶意载荷紧张经由过程CVE-2015-1641破绽漏洞bug文档停止流传,目的中招后运转该文档,会开释出黑客恶意样本并关上钓饵文件停止假装。
钓饵文档紧张包括上面三类,第一类是无关白俄罗斯和俄罗斯联邦筹备在8月21日到8月25日停止计谋练习的一个阐明,从钓饵文档名“_Плановая подготовка____21 - 25 августа 2017 г. .doc”(8月21到8月25日的计谋筹划)可以或许看出入侵攻击者针对这次入侵攻击做了充足筹备。图6为此类钓饵文档。
 

图6  钓饵文档1
其次是无关哈萨克斯坦行政职位的种别列表,如下图7所示,该钓饵文档部分内容来自https://tengrinews.kz新闻网。

图7  钓饵文档2
末了一类则是对于俄罗斯航天机构的信息,如图8所示,
 

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载