Buckeye网络间谍组织正将数家中国香港机构作为攻击目标

来源:畅享网  
2016/9/9 19:46:16
2015年8月起,赛门铁克遥测技术发现中国香港的部分计算机感染Backdoor.Pirpi。2016年3月底至4月初,该恶意程序的感染数量出现大幅增长。

本文关键字: APT3

Buckeye网络间谍组织又被称为APT3、Gothic Panda、UPS Team和 TG-0110,该组织已经成立超过五年,并主要针对美国及其他目标国家的企业组织开展攻击行动。但自2015年6月起, Buckeye似乎逐渐将攻击重点转向中国香港的政府机构。2016年3月至今,该组织集中针对中国香港的相关机构进行恶意攻击。最近一次攻击发生在8月4日,Buckeye犯罪组织企图通过发送恶意电子邮件至被入侵的目标网络,以实现盗取信息的目的。

通过赛门铁克与BlueCoat Systems的联合威胁情报服务,赛门铁克的安全团队清晰掌握了Buckeye组织在近几年的策略演变。这一发现能够帮助赛门铁克进一步增强安全防护功能,并帮助企业用户抵御该组织的攻击活动。

背景

2015年8月起,赛门铁克遥测技术发现中国香港的部分计算机感染Backdoor.Pirpi。2016年3月底至4月初,该恶意程序的感染数量出现大幅增长。不仅如此,赛门铁克同样在其他调查中发现与该恶意程序相关的恶意软件样本,并从而确定该犯罪组织的攻击目标为中国香港的政府机构。

在近期的部分攻击中,Buckeye使用带有恶意压缩附件(.zip)的鱼叉式网络钓鱼电子邮件,这些电子邮件的压缩文档附件中包含带有MicrosoftInternet Explorer标识的Windows快捷方式 (.lnk) 文件。受害者一旦点击该快捷方式,计算机将会下载Backdoor.Pirpi恶意程序,并在受感染的计算机中执行。

攻击目标



图1.Buckeye感兴趣的攻击对象地区分布(2015 年至今)

赛门铁克的监测数据从2015年开始统计,但值得注意的是,在 2016 年 3 月,针对中国香港的攻击比例出现大幅增长。2015年中期之前,Buckeye的传统攻击目标主要为不同类型的美国和英国组织机构。而在2015年6月,Buckeye的攻击目标发生巨大转变,开始攻击中国香港,并逐渐停止对英国和美国的攻击。

2.  在不同时期及不同地区中,Buckeye攻击目标分布图


恶意软件和黑客工具

Buckeye攻击组织采用多种黑客工具和恶意软件进行攻击,其中,许多黑客工具为开源应用。此外,为了躲避检测,Buckeye对这些工具还进行了一定程度的修补或调整。

Buckeye通过使用远程访问木马Backdoor.Pirpi,来读取、写入和执行文件与程序,以及收集攻击目标的本地网络信息,包括域控制器和工作站等。

Buckeye所采用的黑客工具包括:

Keylogger:Keylogger(键盘记录器)可通过使用命令行参数网络服务、替换、安装、注销进行配置。这些参数可以作为服务被安装,然后Keylogger开始记录如thumbcach_96.dbx等加密文件的击键次数。该工具将记录如thumbcach_96.dbx等加密文件的键盘输入信息。此外,Keylogger还能够收集MAC地址、IP 地址、WINS、DHCP服务器和网关等网络信息。

RemoteCMD:RemoteCMD工具类似于Ps___exec工具,主要用于在远程计算机上执行命令。用法为:%sshareIp domain [USER INFORMATION|[USER NAME AND PASSWORD]][/run:[COMMAND]] ,能够传递的命令包括上传、下载、服务(创建、删除、开始、停止)、删除、重命名和AT。

PwDumpVariant:RemoteCMD工具可以导入lsremora.dll(通常攻击者将其作为工具箱的一部分一同下载),并使用GetHash导出DLL文件。该工具可在执行过程中,将自身注入到 lsass.exe中,并通过参数“dig”触发。

OSinfo:OSInfo是一种通用系统信息收集工具。它具有以下命令行参数帮助指令:

info  [options]

 -d 域

 -t 任务信息

 -s 分享信息和目录

 -a局部和全局组用户信息

 -g 全局组用户信息

 -gp 组高级用户

 -f //输入文件中的服务器列表,一行一台服务器

赛门铁克和诺顿产品可通过检测以下恶意软件,帮助用户抵御该网络间谍组织的攻击行为:

防病毒程序

·      Backdoor.Pirpi!dr

·      Backdoor.Pirpi!gen2

·      Backdoor.Pirpi!gen4

·      Backdoor.Pirpi.B

·      Backdoor.Pirpi.D

·      Downloader.Pirpi!g1

入侵预防系统

赛门铁克公司(纳斯达克:SYMC)是全球网络安全领导厂商。拥有全球最大的数据智能网络之一,能够监测全球更多网络威胁,保护更多客户从容应对下一代网络威胁。赛门铁克公司旨在为个人、企业和政府机构的重要数据提供全面的安全保护。

责编:胡雪妍
vsharing微信扫一扫实时了解行业动态
portalart微信扫一扫分享本文给好友

发表评论

         看不清,换一个

(已有1条评论)
1F2016/9/12 16:30:15豆豆鱼1 说:

一个人的工作,永远只是为自己的简历。只有付出大于得到,让老板真正看到你的能力大于位置,才会给你更多的机会替他创造更多利润。http://www.ozimaoqu.com

11我顶

声明:在本网的文章页面上进行跟帖或发表言论者,均为网友言论,不代表畅享网观点。

著作权声明:畅享网文章著作权分属畅享网、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
最新专题
网络安全热点透析

随着移动互联、大数据、云计算、物联网等技术的日益发展,在这些热点技术为个人生活带来便利的同时,也为企业发展..

数据安全医药行业解决方案

采用身份鉴别、访问控制、数据加密以及权限控制等多种安全防护技术手段,保障数据库中医药数据只能被合法用户合规..

    畅享
    首页
    返回
    顶部
    ×
      信息化规划
      IT总包
      供应商选型
      IT监理
      开发维护外包
      评估维权
    客服电话
    400-698-9918