日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
Buckeye網(wǎng)絡(luò)間諜組織正將數(shù)家中國香港機(jī)構(gòu)作為攻擊目標(biāo)

Buckeye網(wǎng)絡(luò)間諜組織又被稱為APT3、Gothic Panda、UPS Team和 TG-0110,該組織已經(jīng)成立超過五年,并主要針對美國及其他目標(biāo)國家的企業(yè)組織開展攻擊行動。但自 2015年6月起, Buckeye似乎逐漸將攻擊重點(diǎn)轉(zhuǎn)向中國香港的政府機(jī)構(gòu)。2016年3月至今,該組織集中針對中國香港的相關(guān)機(jī)構(gòu)進(jìn)行惡意攻擊。最近一次攻擊發(fā)生在8月4日,Buckeye犯罪組織企圖通過發(fā)送惡意電子郵件至被入侵的目標(biāo)網(wǎng)絡(luò),以實(shí)現(xiàn)盜取信息的目的。

創(chuàng)新互聯(lián)一直在為企業(yè)提供服務(wù),多年的磨煉,使我們在創(chuàng)意設(shè)計(jì),網(wǎng)絡(luò)營銷推廣到技術(shù)研發(fā)擁有了開發(fā)經(jīng)驗(yàn)。我們擅長傾聽企業(yè)需求,挖掘用戶對產(chǎn)品需求服務(wù)價(jià)值,為企業(yè)制作有用的創(chuàng)意設(shè)計(jì)體驗(yàn)。核心團(tuán)隊(duì)擁有超過十余年以上行業(yè)經(jīng)驗(yàn),涵蓋創(chuàng)意,策化,開發(fā)等專業(yè)領(lǐng)域,公司涉及領(lǐng)域有基礎(chǔ)互聯(lián)網(wǎng)服務(wù)珉田數(shù)據(jù)中心重慶APP開發(fā)公司、手機(jī)移動建站、網(wǎng)頁設(shè)計(jì)、網(wǎng)絡(luò)整合營銷。

通過賽門鐵克與Blue Coat Systems的聯(lián)合威脅情報(bào)服務(wù),賽門鐵克的安全團(tuán)隊(duì)清晰掌握了Buckeye組織在近幾年的策略演變。這一發(fā)現(xiàn)能夠幫助賽門鐵克進(jìn)一步增強(qiáng)安全防護(hù)功能,并幫助企業(yè)用戶抵御該組織的攻擊活動。

背景

在 2009 年,賽門鐵克已發(fā)現(xiàn)Buckeye針對多個(gè)地區(qū)的多家機(jī)構(gòu)展開攻擊。Buckeye 曾通過遠(yuǎn)程訪問木馬(Backdoor.Pirpi)對一家美國機(jī)構(gòu)的網(wǎng)絡(luò)展開攻擊。該犯罪組織通過附帶Backdoor.Pirpi或鏈接的魚叉式網(wǎng)絡(luò)釣魚電子郵件對目標(biāo)進(jìn)行攻擊。如今,賽門鐵克已經(jīng)識別出該組織所使用的其他黑客工具。

過去,Buckeye組織因利用零日漏洞進(jìn)行攻擊而臭名昭著,包括在2010年攻擊中使用的CVE-2010-3962和在2014 年使用的CVE-2014-1776。盡管Buckeye利用其他零日漏洞進(jìn)行的攻擊也被發(fā)現(xiàn),但這些攻擊活動并未得到賽門鐵克的證實(shí)。賽門鐵克安全人員表示,所有已知的或疑似被Buckeye組織利用的零日漏洞均來自Internet Explorer和Flash。

攻擊重心轉(zhuǎn)變

2015年8月起,賽門鐵克遙測技術(shù)發(fā)現(xiàn)中國香港的部分計(jì)算機(jī)感染 Backdoor.Pirpi。2016年3月底至4月初,該惡意程序的感染數(shù)量出現(xiàn)大幅增長。不僅如此,賽門鐵克同樣在其他調(diào)查中發(fā)現(xiàn)與該惡意程序相關(guān)的惡意軟件樣本,并從而確定該犯罪組織的攻擊目標(biāo)為中國香港的政府機(jī)構(gòu)。

在近期的部分攻擊中,Buckeye使用帶有惡意壓縮附件(.zip)的魚叉式網(wǎng)絡(luò)釣魚電子郵件,這些電子郵件的壓縮文檔附件中包含帶有Microsoft Internet Explorer標(biāo)識的Windows快捷方式 (.lnk) 文件。受害者一旦點(diǎn)擊該快捷方式,計(jì)算機(jī)將會下載Backdoor.Pirpi惡意程序,并在受感染的計(jì)算機(jī)中執(zhí)行。

攻擊目標(biāo)

從 2015 年至今,賽門鐵克發(fā)現(xiàn)在不同地區(qū)的大約82家組織機(jī)構(gòu)的網(wǎng)絡(luò)中發(fā)現(xiàn)Buckeye工具,但該現(xiàn)象無法準(zhǔn)確反映出Buckeye攻擊組織所感興趣的攻擊目標(biāo)。賽門鐵克認(rèn)為,該組織通過采取“廣撒網(wǎng)” 的方式尋找攻擊目標(biāo),但只在感興趣的企業(yè)機(jī)構(gòu)網(wǎng)絡(luò)中保持攻擊活躍度。通過設(shè)定監(jiān)測指標(biāo)和深入觀察,例如:Buckeye對某機(jī)構(gòu)保持攻擊活躍度超過1天、部署額外工具,針對多臺計(jì)算機(jī)進(jìn)行病毒傳播等,賽門鐵克發(fā)現(xiàn)Buckeye的攻擊目標(biāo)主要針對中國香港(13)、美國(3)和英國(1)的17 家組織機(jī)構(gòu)。

圖1. Buckeye感興趣的攻擊對象地區(qū)分布( 2015 年至今)

賽門鐵克的監(jiān)測數(shù)據(jù)從2015年開始統(tǒng)計(jì),但值得注意的是,在 2016 年 3 月,針對中國香港的攻擊比例出現(xiàn)大幅增長。2015年中期之前,Buckeye的傳統(tǒng)攻擊目標(biāo)主要為不同類型的美國和英國組織機(jī)構(gòu)。而在2015年6月,Buckeye的攻擊目標(biāo)發(fā)生巨大轉(zhuǎn)變,開始攻擊中國香港,并逐漸停止對英國和美國的攻擊。

圖2. 在不同時(shí)期及不同地區(qū)中,Buckeye攻擊目標(biāo)分布圖

惡意軟件和黑客工具

Buckeye攻擊組織采用多種黑客工具和惡意軟件進(jìn)行攻擊,其中,許多黑客工具為開源應(yīng)用。此外,為了躲避檢測,Buckeye對這些工具還進(jìn)行了一定程度的修補(bǔ)或調(diào)整。

Buckeye通過使用遠(yuǎn)程訪問木馬Backdoor.Pirpi,來讀取、寫入和執(zhí)行文件與程序,以及收集攻擊目標(biāo)的本地網(wǎng)絡(luò)信息,包括域控制器和工作站等。

Buckeye所采用的黑客工具包括:

Keylogger:Keylogger(鍵盤記錄器)可通過使用命令行參數(shù)網(wǎng)絡(luò)服務(wù)、替換、安裝、注銷進(jìn)行配置。這些參數(shù)可以作為服務(wù)被安裝,然后Keylogger開始記錄如thumbcach_96.dbx等加密文件的擊鍵次數(shù)。該工具將記錄如thumbcach_96.dbx等加密文件的鍵盤輸入信息。此外,Keylogger還能夠收集MAC地址、IP 地址、WINS、DHCP服務(wù)器和網(wǎng)關(guān)等網(wǎng)絡(luò)信息。

RemoteCMD:RemoteCMD工具類似于PsExec工具,主要用于在遠(yuǎn)程計(jì)算機(jī)上執(zhí)行命令。用法為:%s shareIp domain [USER INFORMATION|[USER NAME AND PASSWORD]] [/run:[COMMAND]] ,能夠傳遞的命令包括上傳、下載、服務(wù)(創(chuàng)建、刪除、開始、停止)、刪除、重命名和 AT。

PwDumpVariant:RemoteCMD工具可以導(dǎo)入lsremora.dll(通常攻擊者將其作為工具箱的一部分一同下載),并使用GetHash導(dǎo)出DLL文件。該工具可在執(zhí)行過程中,將自身注入到 lsass.exe中,并通過參數(shù)“dig”觸發(fā)。

OSinfo:OSInfo是一種通用系統(tǒng)信息收集工具。它具有以下命令行參數(shù)幫助指令:

 
 
 
 
    
  
  
  
  
  1. info   [options]
    2. 
  
  
  
  
  2. [options]:
    3. 
  
  
  
  
  3.   -d 域
    4. 
  
  
  
  
  4.   -o 操作系統(tǒng)信息
    5. 
  
  
  
  
  5.   -t 任務(wù)信息
    6. 
  
  
  
  
  6.   -n 網(wǎng)絡(luò)使用信息
    7. 
  
  
  
  
  7.   -s 分享信息和目錄
    8. 
  
  
  
  
  8.   -c 連接測試
    9. 
  
  
  
  
  9.   -a局部和全局組用戶信息
    10. 
  
  
  
  
  10.   -l局部組用戶信息
    11. 
  
  
  
  
  11.   -g 全局組用戶信息
    12. 
  
  
  
  
  12.   -ga 組管理員
    13. 
  
  
  
  
  13.   -gp 組高級用戶
    14. 
  
  
  
  
  14.   -gd 組域管理員
    15. 
  
  
  
  
  15.   -f  //輸入文件中的服務(wù)器列表,一行一臺服務(wù)器
    16. 
  
  
  
  
  16. info <\\server> 
    17.

ChromePass:一種來自NirSoft的工具,可用于恢復(fù)保存在Chrome瀏覽器中的密碼。

Lazagne:一種編譯的Python工具,可從安裝在本地的多個(gè)應(yīng)用類別中提取密碼,例如,Web 瀏覽器。這些應(yīng)用類別包括:聊天、Svn(一種版本管理工具)、無線網(wǎng)絡(luò)、電子郵件、Windows、數(shù)據(jù)庫、系統(tǒng)管理和瀏覽器。

Buckeye似乎將文件和打印服務(wù)器作為主要攻擊目標(biāo),因此,賽門鐵克認(rèn)為該組織的目的很有可能是盜取文件。結(jié)合該組織在過去利用的零日漏洞、定制工具以及攻擊目標(biāo)的組織類型等因素,這表明Buckeye是一家擁有國家支持背景的網(wǎng)絡(luò)間諜組織。

賽門鐵克安全防護(hù)

賽門鐵克和諾頓產(chǎn)品可通過檢測以下惡意軟件,幫助用戶抵御該網(wǎng)絡(luò)間諜組織的攻擊行為:

防病毒程序

· Backdoor.Pirpi

· Backdoor.Pirpi!dr

· Backdoor.Pirpi!gen1

· Backdoor.Pirpi!gen2

· Backdoor.Pirpi!gen3

· Backdoor.Pirpi!gen4

· Backdoor.Pirpi.A

· Backdoor.Pirpi.B

· Backdoor.Pirpi.C

· Backdoor.Pirpi.D

· Downloader.Pirpi

· Downloader.Pirpi!g1

入侵預(yù)防系統(tǒng)

· System Infected: Backdoor.Pirpi Activity 3


分享文章:Buckeye網(wǎng)絡(luò)間諜組織正將數(shù)家中國香港機(jī)構(gòu)作為攻擊目標(biāo)
URL鏈接:http://www.dlmjj.cn/article/cdphcec.html