日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢(xún)
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷(xiāo)解決方案
活躍9年的XDSpyAPT組織分析

ESET 研究人員近日發(fā)現(xiàn)了一個(gè)新的APT 組織——XDSpy,該組織從2011 年開(kāi)始活躍,主要攻擊東歐和塞爾維亞的政府組織并從中竊取敏感文件。XDSpy APT 組織從2011年開(kāi)始活躍,但直到近日才被發(fā)現(xiàn),很少有APT 組織能夠活躍9年而不被發(fā)現(xiàn)。

陵城ssl適用于網(wǎng)站、小程序/APP、API接口等需要進(jìn)行數(shù)據(jù)傳輸應(yīng)用場(chǎng)景,ssl證書(shū)未來(lái)市場(chǎng)廣闊!成為創(chuàng)新互聯(lián)公司的ssl證書(shū)銷(xiāo)售渠道,可以享受市場(chǎng)價(jià)格4-6折優(yōu)惠!如果有意向歡迎電話聯(lián)系或者加微信:18980820575(備注:SSL證書(shū)合作)期待與您的合作!

目標(biāo)

XDSpy APT組織的攻擊目標(biāo)主要位于東歐和塞爾維亞,受害者主要是軍事、外交相關(guān)的政府機(jī)構(gòu)以及少量的私營(yíng)企業(yè)。圖1 是已知的受害者分布情況:

歸屬

研究人員經(jīng)過(guò)仔細(xì)分析仍然沒(méi)有發(fā)現(xiàn)XDSpy APT組織與現(xiàn)有APT 組織之間的關(guān)聯(lián):

· 沒(méi)有發(fā)現(xiàn)與其他惡意軟件家族的代碼存在相似之處;

· 沒(méi)有發(fā)現(xiàn)在網(wǎng)絡(luò)基礎(chǔ)設(shè)施上有重疊之處;

· 沒(méi)有發(fā)現(xiàn)與其他APT 組織的攻擊目標(biāo)存在重合。

研究人員分析認(rèn)為該APT 組織黑客的工作地點(diǎn)可能位于UTC+2 / UTC+3 時(shí)區(qū),這也是大多數(shù)攻擊目標(biāo)所在的時(shí)區(qū)。此外,攻擊者的活動(dòng)時(shí)間只有周一到周五,因此攻擊活動(dòng)應(yīng)該是屬于職業(yè)活動(dòng)。

攻擊向量

XDSpy 運(yùn)營(yíng)者主要使用魚(yú)叉式釣魚(yú)郵件來(lái)攻擊目標(biāo)。這也是研究人員發(fā)現(xiàn)的唯一的攻擊向量,但是發(fā)送的郵件是不同的:其中有的含有附件而有的含有到惡意文件的鏈接。惡意文件或附件的第一層一般是zip或RAR 文件。圖 2 是2020年2月發(fā)送的一封魚(yú)叉式釣魚(yú)攻擊郵件的例子:

??

圖 2. XDSpy 運(yùn)營(yíng)者2月發(fā)送的一封釣魚(yú)攻擊郵件

郵件中包含一個(gè)指向含有LNK文件的zip文件。受害者雙擊后,LNK就會(huì)下載安裝惡意軟件主組件XDDown 的腳本。2020年6月,運(yùn)營(yíng)者還利用了今年4月修復(fù)的IE 漏洞CVE-2020-0968。C2 并不會(huì)直接傳播LNK文件,而是傳播一個(gè)RTF 文件,打開(kāi)后會(huì)下載一個(gè)利用CVE-2020-0968 漏洞的HTML 文件。

XDSpy 利用CVE-2020-0968 漏洞時(shí)網(wǎng)上還沒(méi)有公開(kāi)的漏洞PoC,而且關(guān)于該漏洞的信息也很少。因此,研究人員猜測(cè)XDSpy 可能從代理商處購(gòu)買(mǎi)了漏洞利用或開(kāi)發(fā)了1-day漏洞利用。

但是研究人員該漏洞利用與DarkHotel 攻擊活動(dòng)中的漏洞利用有一定的相似性,如圖3所示。而且?guī)缀跖c今年9月的Operation Domino的漏洞利用完全相同。

??

圖 3. 部分漏洞利用代碼,與DarkHotel攻擊活動(dòng)中的代碼類(lèi)似

雖然存在相似性,但是研究人員并不認(rèn)為XDSpy與DarkHotel和Operation Domino 相關(guān)性,研究人員猜測(cè)這3個(gè)黑客組織可能共享同一個(gè)漏洞利用代理商。

文件中含有一個(gè)下載XDDown的惡意Windows 腳本文件(WSF),如圖4所示,然后使用官方網(wǎng)站rospotrebnadzor.ru 作為誘餌,如圖5所示:

??

圖 4. 下載XDDown的腳本

??

圖 5. 打開(kāi)誘餌URL的腳本部分

惡意軟件組件

圖 6 是惡意軟件的架構(gòu),入侵是通過(guò)LNK文件實(shí)現(xiàn)的。

??

圖 6. XDSpy惡意軟件架構(gòu),XDLoc 和XDPass 會(huì)無(wú)順序釋放

XDDown是惡意軟件主要組件,是一個(gè)下載器。會(huì)使用傳統(tǒng)的Run key在系統(tǒng)中實(shí)現(xiàn)駐留。并使用HTTP協(xié)議從硬編碼的C2服務(wù)器來(lái)下載額外的插件。HTTP會(huì)回復(fù)一個(gè)用硬編碼的2字節(jié)XOR密鑰加密的PE二進(jìn)制文件。

研究人員共發(fā)現(xiàn)了如下組件:

· XDRecon: 收集與受害者機(jī)器相關(guān)的基本信息,比如計(jì)算機(jī)名、當(dāng)前用戶(hù)名、硬盤(pán)序列號(hào);

· XDList: 爬取C盤(pán)特定文件并竊取這些文件的路徑,并截屏;

· XDMonitor: 與XDList類(lèi)似,監(jiān)控可移動(dòng)硬盤(pán)來(lái)竊取與特定擴(kuò)展匹配的文件;

· XDUpload: 從文件系統(tǒng)中竊取硬編碼的文件列表,發(fā)送到C2 服務(wù)器如圖5所示。路徑是通過(guò)XDList和XDMonitor發(fā)送到C2 服務(wù)器的。

??

圖 7. 上傳硬編碼的文件列表中的文件到C2服務(wù)器

· XDLoc: 收集附近的SSID信息,可能是為了對(duì)受害者設(shè)備進(jìn)行定位;

· XDPass: 從不同的應(yīng)用中抓取保存的密碼,比如web 瀏覽器和郵件程序;

結(jié)論

XDSpy是一個(gè)活躍超過(guò)9年的APT 組織,主要對(duì)東歐和塞爾維亞的政府機(jī)構(gòu)進(jìn)行攻擊,竊取相關(guān)的敏感文件。從技術(shù)上分析,該組織的惡意軟件9年來(lái)使用的基本惡意軟件框架是相同的,但近期也開(kāi)始使用了一個(gè)沒(méi)有公開(kāi)PoC的1-day 漏洞利用。目前尚未發(fā)現(xiàn)該APT 組織與其他黑客組織的關(guān)聯(lián)。

更多有關(guān)惡意軟件組件的分析參見(jiàn)白皮書(shū):https://vblocalhost.com/uploads/VB2020-Faou-Labelle.pdf

本文翻譯自:https://www.welivesecurity.com/2020/10/02/xdspy-stealing-government-secrets-since-2011/如若轉(zhuǎn)載,請(qǐng)注明原文地址:


網(wǎng)頁(yè)標(biāo)題:活躍9年的XDSpyAPT組織分析
網(wǎng)頁(yè)路徑:http://www.dlmjj.cn/article/dpcccge.html