Forcepoint™安全实验室™发布特别调查报告:追踪调查来自印度的针对中国和南亚国家的大规模APT攻击

访客:12432  发表于:2016-09-05 16:14:52

20168Forcepoint 发布了一个APT攻击的追踪报告。该报告Forcepoint安全实验室特别调查小组长期独立追踪完成该调查小组隶属于Forcepoint安全实验室,由优秀的恶意软件逆向工程师和分析师组成,其职责专门深入研究僵尸网络和APT攻击。他们与全球众多值得信赖的机构协作,以提供切实可见的决策为宗旨,向大众、客户以及合作伙伴等利益相关者传递相关信息,针对网络安全问题,警醒全球用户

 


 

            图 诱饵文档标题组成的词云

Forcepoint安全实验特别小组这次发布的APT攻击跟踪报告被命名为MONSOON。 调查表明这些攻击活动主要针对中国的各个行业,以及南亚地区的一些国家政府机构MONSOON201512月开始发起攻击,截至20167月攻击活动仍在持续调查MONSOON过程中收集的证据,有一些指标表明MONSOONOPERATION HANGOVER存在高度相似。这些指标包括相同的攻击架构,类似的战术技术与规程(TTP),人口统计学意义上相似的受害者,以及都在印度次大陆进行的地理属性。

总体来看, MONSOON所用的恶意软件一般通过附有武器化文档的电子邮件发送给特定目标。这些文档的主题几乎政治相关大多选自近期的热门政治事件其所使用的恶意软件包括Unknown Logger Public, TINYTYPHON, BADNEWSAutoIt后门。其中非常独特的是,BADNEWS利用RSS订阅、GitHub、论坛、博客和动态DNS主机向远程C&C服务器进行通信。调查所收集到的证据表明, OPERATION HANGOVER这个团体操纵MONSOON至少自2010年开始活跃,跟踪的时间内,他们使用了至少72个诱饵文件中,大多数使用了当前热门新闻主题词,并高度契合受害者的兴趣,其中,用的最多的诱饵文件名为China_Military_PowerReport(中国军事力量报告)。MONSOON受害者遍布 110多个国家,被攻击的IP地址多达6300多个其中,61%的受害者来自中国而攻击来自印度次大陆。

该报告追踪调查采用的Forcepoint公司独特的APT攻击七步曲方法论。具体分析攻击全过程如下:

一、 侦测

Forcepoint安全实验室特别调查组在跟踪调查中发现,APT攻击者起初通过对当下中国和南亚地区关注的时事进行分析,并针对受害人的关注点,伪造相关“时事新闻”及报告诱使他们去点击查看。在相关样本的分析过程中,我们还发现APT攻击者对受害者可能使用的防病毒软件进行猜测(例如360 Total Security)并通过Virus Total网站对恶意文件进行防病毒软件绕过检测。

钓鱼

为了吸引受害者的注意,APT攻击者采用第三方邮件服务器向受害者发送鱼叉式钓鱼邮件,并伪装邮件发送者,其钓鱼邮件的主题多与中国时事政治相关,以吸引受害者查看阅读邮件及相关连接。与此同时,攻击者通过建立多个虚假新闻网站、操控多个发布虚假新闻的社交软件(FACEBOOKTWITTERGoogle Plus)发布虚假新闻以引诱受害者点击和注册等。

三、再定向

通过对钓鱼邮件的分析,我们发现APT攻击者会在邮件中附加一个或多个恶意连接,这些链接指向恶意文档的下载地址,以此利用受害者的好奇心诱使他们去阅读和下载恶意文档。

漏洞攻击包

通过分析相关恶意文档的样本,我们发现,这些文档均包含了多个已知的微软Office漏洞(具体参看相关报告中涉及CVE编号)。 同时,恶意站点还会探测受害者的计算机是否安装了Silverlight软件,并对该关键漏洞进行渗透。

木马下载

一旦受害者访问了包含漏洞的恶意文档,攻击者将会利用漏洞将多个木马及后门程序植入到目标计算机中。然后这些恶意程序会通过伪装系统进程、软件加密、隐藏免杀、DLL注入、修改注册表等多种技术在受害者计算机中驻留。

回传通信

通过对恶意软件的逆向分析,我们获取了大量包含恶意C&C服务器的地址及指令。其中包括:RSS订阅、GitHub、论坛、博客及动态DNS等。攻击者在这些渠道发布加密的恶意指令,以控制受害者的计算机,并同时更新升级恶意软件。

数据窃取

攻击者通过C&C方式控制受害者的计算机,并利用本地恶意软件对受害者的资料实施检索、键盘记录、截屏等操作,最终将获取的机密文档上传至远程恶意C&C服务器中。据初步估计,我们所掌握的C&C服务器中就有上千份被窃取的文档,大部分为政府机构文档,还有一些高度涉秘文档,如海关清关文档、金融数据、技术说明文档等。

来自印度的针对中国和南亚国家的大规模APT攻击的调查追踪分析表明OPERATION HANGOVER这个团体所采用的攻击方案更加隐蔽,攻击技术不断升级,用户画像越来越精准所以用户在使用网络时应该时刻防范恶意软件的加载和攻击Forcepoint安全实验室会持续提供安全的见解、技术和专业知识,使客户专注于自己的核心业务发展,而不必太过在安全性上花费时间和精力Forcepoint也会不断加强和主流机构的合作,继续追踪和调查各种攻击的状况,努力识别新出现的网络威胁并对其进行深入了解,并提供实用的决策方案,向包括客户、合作伙伴及大众等在内的广大利益相关者传递有用的安全警醒信息,为广大网络用户保驾护航。

评论(0)

您可以在评论框内@您的好友一起参与讨论!

<--script type="text/javascript">BAIDU_CLB_fillSlot("927898");