欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

卡巴斯基:专业攻击日本的APT组织“蓝白蚁(blue termite)”新动向

来源:本站整理 作者:佚名 时间:2015-08-24 TAG: 我要投稿


黑吧安全网报道过,今年6月初日本养老金系统被入侵,大约125万份个人信息遭泄,而卡巴斯基报告指出进行攻击的是专门针对日本的APT攻击组织“蓝白蚁(blue termite)”。
背景介绍
2014年10月,卡巴斯基实验室开始了针对“蓝白蚁”APT的研究,尽管这并不是日本第一次遭遇APT的攻击,但是这次旷日持久的攻击还是有两点与众不同的地方。
与其他APT不同,“蓝白蚁”的攻击目标集中于日本。目前他们最为“成功”的攻击活动便是入侵日本养老金系统,造成了125万个人信息泄漏。但除此之外,“蓝白蚁”的攻击目标还包括政府及政府机构、地方政府、公共利益团体、大学、银行、金融服务业、能源、通信、重工业、化学、汽车、电气、新闻媒体、信息服务业、医疗、房地产、食品、半导体、机器人技术、建筑、保险、运输业等等。更为不幸的是,攻击仍在持续中,并且受影响的行业范围一直在扩大中。

图为“蓝白蚁”攻击的日本数百家机构类型分布状况

从图上你可以发现攻击在7月中旬有一个明显的增长(橙色部分)。这是由于“蓝白蚁”采用了新的攻击方式,而本文重点介绍了这种新攻击以及他们的实施细节。
最新感染方式
通常,APT的主要感染方式是通过钓鱼邮件进行的。卡巴斯基实验室发现这个新方式是利用来自Hacking Team泄露事件中曝光的flash漏洞(CVE-2015-5119)exp,让受害者因“被迫下载”而受到感染。
几个日本网站已经因为这种攻击方式而被黑,如图:

攻击者插入一段恶意代码到网站上,指向“faq.html”。“faq.html”的源代码为:

“faq.html”会加载“movie.swf”,这个文件中包含exp。通过这种方式,当用户设备访问时便会被恶意感染。
“movie.swl”的header显示为“ZWS”,也就是说,这是一个用LZMA(Lempel-Ziv-Markov chain-Algorithm)压缩的flash文件。

文件中包含一个数据段,标记为蓝色:

数据包括了12字节的header。经过编码的数据以0x5dca (“\x78\x9c\xec\xb7….”)起始,然后使用zlib压缩。解压缩之后,我们发现一个带“MZ header”的可执行文件。

除了上面展示的数据之外,swf文件中还有ActionScript (AS)的shellcode。

这个shellcode的功能非常简单:它将提取的可执行文件保存到当前临时目录,命名为“rdws.exe”,然后用WinExec()执行它。
 

提取的可执行文件为攻击者使用的一个新的感染向量——“emdivi t17”(后文简称“t17”)。我们发现几种执行rdws.exe的恶意软件,而t17便是其中之一。
卡巴斯基实验室发现了一些“水管攻击”,其中包括一个属于日本政府重要议员的网站。研究者给网站管理者以及受影响站点的ISP发送了一个通知邮件,却没有收到任何回复。但是,就在大约一小时后这段恶意代码就被删除了。下面的代码过滤了大部分IP地址,除了一个是特属于日本政府机构。

有趣的是,该脚本竟然带有变量名为“TEST”的IP信息。研究者怀疑这便是攻击者的测试IP,位于上海。
根据目标而自定义的恶意软件
卡巴斯基实验室检测发现,“emdivi t20”(后文简称“t20”)恶意软件具有根据目标而产生针对性攻击的能力。尽管t17和t20来自同一个emdivi家族,但是后者更为复杂一些。t20通常用于已经感染t17后,而此时t17充当了后门的角色。那现在我们来看看t20是如何利用这些后门的。t17有9种命令,另一个方面,一些t20样本中则有多达40种命令。
下面列出了t17所支持的命令:

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载