Buckeye網路間諜組織正將數家中國香港機構作為攻擊目標
Buckeye網路間諜組織又被稱為APT3、Gothic Panda、UPS Team和 TG-0110,該組織已經成立超過五年,並主要針對美國及其他目標國家的企業組織開展攻擊行動。但自2015年6月起, Buckeye似乎逐漸將攻擊重點轉向中國香港的政府機構。2016年3月至今,該組織集中針對中國香港的相關機構進行惡意攻擊。最近一次攻擊發生在8月4日,Buckeye犯罪組織企圖通過傳送惡意電子郵件至被入侵的目標網路,以實現盜取資訊的目的。
通過賽門鐵克與BlueCoat Systems的聯合威脅情報服務,賽門鐵克的安全團隊清晰掌握了Buckeye組織在近幾年的策略演變。這一發現能夠幫助賽門鐵克進一步增強安全防護功能,並幫助企業使用者抵禦該組織的攻擊活動。
背景
2015年8月起,賽門鐵克遙測技術發現中國香港的部分計算機感染Backdoor.Pirpi。2016年3月底至4月初,該惡意程式的感染數量出現大幅增長。不僅如此,賽門鐵克同樣在其他調查中發現與該惡意程式相關的惡意軟體樣本,並從而確定該犯罪組織的攻擊目標為中國香港的政府機構。
在近期的部分攻擊中,Buckeye使用帶有惡意壓縮附件(.zip)的魚叉式網路釣魚電子郵件,這些電子郵件的壓縮文件附件中包含帶有MicrosoftInternet Explorer標識的Windows快捷方式 (.lnk) 檔案。受害者一旦點選該快捷方式,計算機將會下載Backdoor.Pirpi惡意程式,並在受感染的計算機中執行。
攻擊目標
圖1.Buckeye感興趣的攻擊物件地區分佈(2015 年至今)
賽門鐵克的監測資料從2015年開始統計,但值得注意的是,在 2016 年 3 月,針對中國香港的攻擊比例出現大幅增長。2015年中期之前,Buckeye的傳統攻擊目標主要為不同型別的美國和英國組織機構。而在2015年6月,Buckeye的攻擊目標發生巨大轉變,開始攻擊中國香港,並逐漸停止對英國和美國的攻擊。
圖2. 在不同時期及不同地區中,Buckeye攻擊目標分佈圖
惡意軟體和黑客工具
Buckeye攻擊組織採用多種黑客工具和惡意軟體進行攻擊,其中,許多黑客工具為開源應用。此外,為了躲避檢測,Buckeye對這些工具還進行了一定程度的修補或調整。
Buckeye通過使用遠端訪問木馬Backdoor.Pirpi,來讀取、寫入和執行檔案與程式,以及收集攻擊目標的本地網路資訊,包括域控制器和工作站等。
Buckeye所採用的黑客工具包括:
Keylogger:Keylogger(鍵盤記錄器)可通過使用命令列引數網路服務、替換、安裝、登出進行配置。這些引數可以作為服務被安裝,然後Keylogger開始記錄如thumbcach_96.dbx等加密檔案的擊鍵次數。該工具將記錄如thumbcach_96.dbx等加密檔案的鍵盤輸入資訊。此外,Keylogger還能夠收集MAC地址、IP 地址、WINS、DHCP伺服器和閘道器等網路資訊。
RemoteCMD:RemoteCMD工具類似於Ps___exec工具,主要用於在遠端計算機上執行命令。用法為:%sshareIp domain [USER INFORMATION|[USER NAME AND PASSWORD]][/run:[COMMAND]] ,能夠傳遞的命令包括上傳、下載、服務(建立、刪除、開始、停止)、刪除、重新命名和AT。
PwDumpVariant:RemoteCMD工具可以匯入lsremora.dll(通常攻擊者將其作為工具箱的一部分一同下載),並使用GetHash匯出DLL檔案。該工具可在執行過程中,將自身注入到 lsass.exe中,並通過引數“dig”觸發。
OSinfo:OSInfo是一種通用系統資訊收集工具。它具有以下命令列引數幫助指令:
info [options]
-d 域
-t 任務資訊
-s 分享資訊和目錄
-a區域性和全域性組使用者資訊
-g 全域性組使用者資訊
-gp 組高階使用者
-f //輸入檔案中的伺服器列表,一行一臺伺服器
賽門鐵克和諾頓產品可通過檢測以下惡意軟體,幫助使用者抵禦該網路間諜組織的攻擊行為:
防病毒程式
· Backdoor.Pirpi!dr
· Backdoor.Pirpi!gen2
· Backdoor.Pirpi!gen4
· Backdoor.Pirpi.B
· Backdoor.Pirpi.D
· Downloader.Pirpi!g1
入侵預防系統
賽門鐵克公司(納斯達克:SYMC)是全球網路安全領導廠商。擁有全球最大的資料智慧網路之一,能夠監測全球更多網路威脅,保護更多客戶從容應對下一代網路威脅。賽門鐵克公司旨在為個人、企業和政府機構的重要資料提供全面的安全保護。
相關文章
- 工控系統再迎大波瀾,伊朗APT組織將其作為重點攻擊目標APT
- 網路間諜-目標:喬治亞政府(Georbot Botnet)ORB
- 南亞APT組織Bitter正在針對中國的核能機構進行網路攻擊APT
- WHO:疫情期間世界衛生組織網站遭受網路攻擊翻倍網站
- 伊朗黑客組織APT33在美國建立了特殊VPN節點專用網路攻擊高價值目標黑客APT
- 【公益譯文】美國網路空間組織架構架構
- 威脅組織正在使用 ObliqueRAT 發起針對政府目標的攻擊
- 德國指控俄羅斯駭客對北約智庫進行網路間諜攻擊
- 工業行業位於勒索攻擊目標榜首、駭客組織攻擊阿富汗和印度|10月26日全球網路安全熱點行業
- 安全漏洞在網路攻擊中影響多大?勒索組織趁漏洞修補時機發起攻擊
- 【黑客追擊】境外黑客組織提前行動,瞄準我國公司實施網路攻擊黑客
- Check Point:單反相機已成為勒索軟體攻擊目標
- [計算機網路]網路攻擊計算機網路
- 開原始碼:網路攻擊的下一個重點目標原始碼
- 谷歌揭露兩個朝鮮黑客組織的網路攻擊活動谷歌黑客
- “海蓮花”APT報告:攻擊中國政府海事機構的網路空間威脅APT
- 疑為俄羅斯背景的黑客組織長期攻擊烏克蘭關鍵機構黑客
- DUKES----持續七年的俄羅斯網路間諜組織大起底
- 俄亥俄州立大學:研究發現惡意開發者仍將Google Play作為攻擊目標Go
- 神祕黑客組織攻擊美國政府,背後或為俄羅斯黑客
- 最新安全報告:單反相機已成為勒索軟體攻擊目標
- 網路攻擊
- 綠盟科技:境外駭客組織近期持續加大對中國重要敏感單位網路攻擊
- 匿名黑客稱蘋果iCloud將成下一個攻擊目標黑客蘋果Cloud
- 金融機構如何應對日益頻繁的網路攻擊?
- 網路攻擊日益頻繁,金融機構該如何應對?
- 拙劣至極!南亞APT組織借新冠疫情對我國醫療機構發起定向攻擊!APT
- 披露美國中央情報局CIA攻擊組織(APT-C-39)對中國關鍵領域長達十一年的網路滲透攻擊APT
- 繼Zoom爆雷後:世界頭號網路會議軟體WebEx,成為攻擊者的“真香”目標OOMWeb
- 英國航運公司受到網路攻擊,網路攻擊對於企業有多可怕?
- 劍指物聯網安全,揭秘首個物聯網攻擊組織-FreakOut of KekSec
- Kimsuky APT組織使用新型的AppleSeed Android元件偽裝成安全軟體對韓特定目標進行攻擊APTAPPAndroid元件
- 駭客組織C0594挖礦木馬攻擊 數千個網站已被攻陷!網站
- 攻擊面管理預防網路攻擊原理?
- 網站上的第三方指令碼為網路攻擊者提供攻擊媒介網站指令碼
- 網路釣魚攻擊
- 網路攻擊泛談
- 2016年DOS/DDOS網路攻擊數量翻倍