欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

半岛APT“趁势之危”对我国商贸相关政府机构发动攻击

来源:本站整理 作者:佚名 时间:2020-02-13 TAG: 我要投稿

1月14日,微软正式宣告Windows 7系统停止更新。此次停服,引爆全网危机,不仅顺机突发全球首例复合0day漏洞——“双星”漏洞,令国内超六成用户曝光在其阴霾之下;更有别有用心者“趁势追击”,利用“双星”发动猛攻。近期,作为全球首家捕获该漏洞的狙击者——360安全大脑继续对其分析溯源,判定:“双星”漏洞已被活跃近十余年的半岛APT组织Darkhotel(APT-C-06)所利用,并瞄准我国商贸相关的政府机构发动攻击。针对此事,本文,不仅对事件进行了抽丝剥茧、逐层深入的分析,更首次独家揭秘了该APT组织,阴险、刁滑、狡诈的攻击手法。
在开启正文前,先向读者交代下背景:
2020年1月14日,微软正式宣告Windows 7系统停止更新。
在Win 7正式停服关键节点的首日,360安全大脑就在全球范围内捕获首例时利用IE浏览器和火狐浏览器两个0day漏洞的复合攻击,由于是全球首家捕获到此次攻击,360安全大脑将其命名为“双星”0day漏洞攻击,其编号分别是:CVE-2019-17026(火狐)和CVE-2020-0674(IE)。
“双星”漏洞不仅影响了最新版本的火狐浏览器和IE浏览器及使用了相关浏览器内核的应用程序;值得警惕的是,该漏洞可致使用户在毫无防备的情况下,就被植入勒索病毒,甚至被黑客监听监控,执行窃取敏感信息等任意操作,其威胁性可谓是史无前例。
然而,别有用心者仍在“趁势之危”。近期,360安全大脑经分析溯源判定:“双星”漏洞不仅已被活跃十余年的半岛APT组织Darkhotel(APT-C-06)所利用,更是针对我国商贸相关的政府机构发动主要攻击。
 
又一起针对我国的APT攻击,此次攻击者是“何方妖孽”?
Darkhotel(APT-C-06),中文名为黑店。是一个有着东亚背景,长期针对企业高管、国防工业、电子工业等重要机构实施网络间谍攻击活动的APT组织。其相关攻击行动最早可以追溯到2007年。2014年11月,被卡巴斯基实验室的安全专家首次发现。此后,360高级威胁团队就对该团伙的活动一直保持着持续跟踪。
2018年4月,360安全大脑就曾在全球范围内,率先监测到了该组织使用0day漏洞进行APT攻击。从其溯源分析报告来看,该APT组织瞄准中、俄、日、韩等国政府及组织机构或企业单位,尤其针对中国重点省份外贸企业单位和相关机构展开攻击。
“一个经验老道的惯犯”来形容Darkhotel APT组织一点不为过!长期被国家级APT组织盯上,本就如一颗随时可爆发的炸弹,随时面临一国网络被瘫痪的风险。然而,这一次,Darkhotel APT组织还还携“重磅利器”——“双星”漏洞而来,于它简直是“如虎添翼”;但于我国,简直是恶魔梦魇的降世!
还记得WannaCry勒索病毒吗?2017年5月12日,它利用Windows系统“永恒之蓝”高危漏洞席卷全球,引爆网络世界的“生化危机”。以迅雷不及掩耳,横扫150国家几十万台计算机,不止政府机关、高校、医院的电脑屏幕都被“染”成了红色,能源、通信、交通、制造等诸多关键信息基础设施也在这场风暴中,遭遇到前所未有的重创。
以至于,自那日起,它所带来的恐惧就如不散的“阴魂”盘桓在人们的心中,久久不能散去;然而,与不断加深恐惧相对应的是,其危害影响仍在持续。
2019年5月,也就是在WannaCry 爆发两年之后,堪比“永恒之蓝”的Bluekeep高危远程漏洞高调来袭,一时间,全球400万台主机再次暴露在漏洞的暴风眼下,一旦该漏洞被黑客成功利用,世界将再次陷入不尽的黑暗。
单纯利用Windows系统漏洞,就足以拥有了“毁天灭地”的力量,然而,作为IE浏览器和火狐浏览器两个0day漏洞的“结合体”,“双星”漏洞所蕴含的巨大威胁性、爆发力、破坏力不敢想,不敢想!
 
继医疗机构、视频监控系统被锁定后,这一次的攻击者瞄准的是谁?
然而,屋漏偏逢连夜雨,船迟又遇打头风。
6天前的热门推文,印度APT组织趁火打劫对我国医疗机构发起定向攻击,还历历在目;
3天前的重磅警告,境外黑客组织又蠢蠢欲动,公然扬言欲对我国视频监控系统痛下毒手,还萦绕在耳;
而今,半岛APT组织Darkhotel又早已携手“双星”漏洞,对我国发动猛烈攻击。在具体攻击目标上,这一次,它再次瞄准与商贸相关的政府机构。
这一点非常好理解。“双星”漏洞本就爆发于Win7停服之际,其攻击之目标早已昭然若揭。而与此同时的关键是,当前我国的情况:
第一,国内超六成用户曝光在“双星”漏洞阴霾之下
直至2019年10月底,国内Windows7系统的市场份额占比仍有近6成。Windows 7的终结,无疑意味着这些庞大的用户失去了微软官方的所有支持,包括软件更新、补丁修复和防火墙保障,将直面各类利用漏洞等威胁进行的攻击。蓄谋而来的“双星”0day漏洞也不在Windows7的修复范围内,所以,攻击者完全可以凭借该漏洞重击所有使用Windows 7系统的计算机,并像野火一样蔓延至整个网络,
第二,升级系统未纳入采购清单,Win7仍是政府企事业单位主力
而另外一端,出于国家安全考量,我国政府至今未将Win 8、Win 10系统纳入政府采购清单,也就是说,目前Win7仍被广泛应用于政府企事业单位中。而随着Win7的正式停服,这些单位的系统无疑在网络世界中裸奔。
所以,此次半岛APT组织Darkhotel携手“双星”漏洞对商贸相关的我国政府机构发动攻击,于它简直是“如虎添翼”;但于我国,简直是毁灭世界的恶魔!
第三,疫情大敌当前,医疗战役与稳定国民经济发展同重要
尤其,在当前我国倾一国之力,对抗疫情的当下,除了要打赢这场医疗疫情之战,还要在这紧要关头稳住国民经济的发展。此时,半岛APT组织Darkhotel对我国商贸领域下手,此举不亚于印度APT组织,它不仅在趁火打劫!更是居心不良!
 
阴险、刁滑、狡诈六字揭秘,Darkhotel APT组织如何发动攻击?
能利用“双星”、双浏览器0day漏洞,足见Darkhotel(APT-C-06)的攻击技术早已骤然升级,然而,在对其攻击流程和攻击细节分析中,发现Darkhotel APT组织更是阴险、刁滑、狡诈的代名词。

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载