安全研究
全部分类

关键信息基础设施安全动态周报【2019年第9期】

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2019-09-30 16:13
  • 访问量:

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2019年第9期】天地和兴播报。

关键信息基础设施安全动态周报【2019年第9期】

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2019年第9期】天地和兴播报。

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2019-09-30 16:13
  • 访问量:
详情

  目 录

  第一章国内关键信息基础设施安全动态简讯

  (一)REvil勒索软件针对中国用户发放DHL垃圾邮件

  (二)台湾当局诬称大陆黑客攻击台大医院

  (三)台湾省将于11月与美国在内十多个国家举行大规模网络攻防演练风暴

  第二章 海外关键信息基础设施安全动态简讯

  (一)伊朗遭受大规模网络攻击,石油和金融设施瘫痪

  (二)恶意软件攻击多地国防承包商至信息技术系统中断

  (三)空客遭受供应链攻击,其供应商在过去一年内受到四次重大网络攻击

  (四)美空军发布《网络飞行计划》 规划未来十年网络战建设

  (五)美国怀俄明州医院遭受勒索软件攻击导致服务中断

  (六)DDoS攻击导致南非ISP整日瘫痪

  (七)朝鲜黑客开发出针对印度ATM系统恶意软件

  (八)俄罗斯组织Fancy Bear用新后门攻击政治目标

  (九)Cisco Talos 发现针对美国退伍军人的定向攻击

  第一章国内关键信息基础设施安全动态简讯

  (一)REvil勒索软件针对中国用户发放DHL垃圾邮件

  安全研究人员Onion发现了一个新的伪装成DHL的电子邮件诱骗中国人安装REvil(Sodinokibi)勒索软件的事件。

  伪装的DHL电子邮件内容显示由于海关申报不正确,导致包裹的送达延迟。然后,邮件让收件人必须下载随附的“海关文件”,并正确填写,然后将其寄回以便正确交付包裹。

  如果用户下载附件的海关文件.zip文件并解压缩,会有一个名为“DHL海关申报单.doc.exe”的文件,该文件将转换为“DHL海关申报单.doc.exe”。此可执行文件是REvil(Sodinokibi)勒索软件,它将使用PowerShell执行以下WMI命令立即删除受害者的卷影副本:

  

1

 

  Get-WmiObject Win32_Shadowcopy | ForEach-Object {$_.Delete();}

  然后它将继续加密受害者的文件,并将随机扩展名附加到任何加密的文件中。完成后,将在每个加密的文件夹中找到赎金记录,其中包含有关如何访问Sodinokibi Tor付款站点的说明,您可以在此处支付赎金。

  Windows的默认设置是隐藏文件拓展名,攻击者利用此设置,勒索软件以可执行文件的形式发放,名称为"DHL海关申报单.doc.exe“。由于Windows隐藏了扩展名,因此大多数用户只会看到带有Word图标的“ DHL海关申报单.doc”,并认为它是Word文档而不是可执行文件。为避免这种情况,建议用户启用显示文件扩展名。

  (天地和兴安全研究院翻译整理,参考来源:Bleeping Computer)

  (二)台湾当局诬称大陆黑客攻击台大医院

  据台媒27日报道,台当局情报部门表示,台大医院电脑系统日前遭到大陆黑客攻击,黑客进入系统内“逛了一圈”。由于该系统内有不少台当局官员、VIP病患病历资料,引起了台“国安”单位高度关切。

  台军方人士还煞有其事地称,“近年来大陆网军恶意攻击台军医院系统,应该是企图窃取台军人就医时的资料,同时与大陆掌握的台湾军方人员个人资料进行比对,正确掌握军方人员身份后进行情报作为。”

  不过,台当局以及台军方这一说法,遭到台大医院打脸。台大医院发言人王亭贵27日晚间回应称,“根本没有这回事。”王亭贵表示,台大医院的防火墙每天都有黑客攻击,但近日并未传出有黑客攻入,甚至资料外泄事件,不知(台当局)消息从何传出。

  对于台当局情报部门捏造大陆黑客攻击一事,有台湾网友讽刺称,“难道又要制造假新闻抹黑对岸、制造‘反共’意识形态了吗?”

  至于台当局拿大陆对台“网络攻击”的说法进行炒作,也不是第一次了。台“中央社”曾援引英国《金融时报》报道称,台湾过去两年遭受中国大陆严重网络攻击次数激增。岛内绿营媒体也曾宣称,台军方的军网、民网长期遭到大陆网军及不明对象的网络攻击。

  而在其后举行的国台办例行新闻发布会上,发言人马晓光也被问及,有西方媒体频繁炒作过去两年台湾遭受大陆网络攻击。马晓光当时表示:这种报道毫无事实依据,不值得一驳。

  (本文版权归原作者所有,参考来源:新浪军事)

  (三)台湾省将于11月与美国在内十多个国家举行大规模网络攻防演练风暴

  美国在台协会(AIT)台北办事处处长郦英杰9月16日透露,美国今年11月将首次与台湾省(专题)共同举行“网络攻防演练”,并集合至少15个国家,共同演练应对来自北韩的网络攻击和针对金融系统的黑客活动等问题。

  据台湾媒体报道,郦英杰在出席台湾省一个“人工智慧与资安讲座”致辞时表示,网络安全威胁可能影响产业、民主体制及电信网络的未来。目前面对的最大威胁,不再是抢滩部队,而是利用社会和网络的开放性来颠覆民主的恶行者。紧接着,他提出了几个可笑的观念,大肆宣传阴谋论。就像2016年俄罗斯企图干预美国总统大选一样,据可靠报告,外来影响力近期也对台湾选举进行干预。郦英杰还透露,美国一直在努力加深与台湾的网络合作,将协助台湾省加入美国国土安全部的“自动指标分享系统”(Automated Indicator Sharing),以便能更快速地分享网络威胁指标。

  紧接着,台湾副总理陈其迈在22号实锤表示,台湾省将在11月与美国进行的首次网络攻防演习中测试其网络防御能力。内阁负责信息安全的部门部长陈说,随着针对政府的网络攻击的增加,该部门一直在定期进行网络安全演习,以测试相关机构的准备情况和响应能力。作为应对这些威胁的持续努力的一部分,陈说,台湾省和美国将在11月初举行为期五天的网络攻防演习。

  陈说,这些演习将类似于“网络风暴”演习,后者是美国国土安全部每两年举行一次的旨在增强公共和私营部门的网络准备的演习。演习于2006年首次启动,最后一次于去年春季举行。

  台湾省即将进行的演习将分为两部分,第一部分是测试政府人员和官员对网络钓鱼电子邮件或短信的反应,这是网络攻击的最常见形式。演习的第二部分将研究公共和私营部门对外国或本地发起的网络攻击的反应。网络进攻和防御演习计划将汇集来自15个国家的团队,以应对来自朝鲜的模拟网络威胁,目标是社会工程,关键基础设施和金融机构。

  对于朝鲜这点,作者认为这是美国在顺便利用台湾作为攻击朝鲜的测试,毕竟朝鲜网络攻击美国不是一天两天的事了。发言人称不会透露这15个国家的名字,只是说这支队伍是亚洲,欧洲和美洲。他们将以蓝色(防御)和红色(攻击)来指定这支队伍,其中台湾省安全队为蓝色队,其他15个国家为红色队。这种模拟攻击将试图入侵台湾省官方政府网站,以测试当地网络安全团队保护其能力并应对此类攻击的潜在后果。台民间资安团队也会参与其中,由「白帽黑客」(即「道德黑客」,以试探入侵电脑系统的方式提出安全建议)进攻政府与关键基础设施。

  侦测进攻路径「止血」,攻防实兵演练将模拟朝鲜的网络攻击,以金融关键设施为目标,因此这次演练将複製实际的银行、证交所、期交所等金融资料库与防火牆,作为「红军」模拟攻击目标。

  「蓝军」则要侦测进攻路径并防守,在目标被「红军」攻下的情况下则要演练如何「止血」,控制损害范围。最后,发言人补充说,台湾省希望首次网络安全演习不仅可以为政府做好攻击准备,而且可以帮助台湾省和其他地区或国家组成一个联合网络安全网络。

  作者对美国同盟以及提示进行分析,大概认为这只队伍涉及的国家可能为:五眼联盟:美国,英国,加拿大,澳大利亚,新西兰;亚洲:韩国,日本,越南,新加坡;欧洲统一战线:荷兰,法国,德国;中东:沙特阿拉伯,以色列,科威特。

  从该新闻可看出,假想敌到底是谁,同时发出警告,我们需要同样做好防护措施,并且美国在其中起着什么样的作用,将来又会联合中国省份采取什么样的措施,务必加以研判。

  (本文版权归原作者所有,参考来源:黑鸟)

  第二章海外关键信息基础设施安全动态简讯

  (一)伊朗遭受大规模网络攻击,石油和金融设施瘫痪

  根据俄罗斯卫星通讯社9月22日的最新报道称,不久之前,美国国务卿蓬佩奥曾经宣布,目前白宫正在积极寻求与伊朗和平对话的途径,他们希望与德黑兰方面重新坐到谈判桌前对话。此话一出,不少人甚至认为,美国已经对伊朗服软了。

  然而如今习惯出尔反尔的白宫,一天之后就把自己的这种言论抛之脑后,其一方面宣布要向霍尔木兹海峡地区调动大规模兵力,到今年年底之前,他们至少要在波斯湾部署50艘以上的军舰;另一方面宣布对伊朗中央银行进行制裁,冻结伊朗中央银行在美国的全部资产,并且撺掇各种小弟紧跟随其脚步。

  就在德黑兰方面还没有制定好完善的反击计划的时候,伊朗当地时间9月22日晚,他们再度遭遇了一次大规模袭击,整个伊朗的网络系统遭遇了不明来源的大规模攻击,其中重点攻击目标在于伊朗的石油和金融设施,对此毫无准备的伊朗,受到了惨重损失。在短时间之内,其金融和石油设施迅速瘫痪,一切正常交易都无法进行下去。好在德黑兰方面及时向俄罗斯请求援助,俄罗斯派遣了大量网络战专家远程指挥伊朗网络安全部门反击,才度过了这一劫。

  根据伊朗高层不愿透露姓名的官员表示,目前俄罗斯已经确定攻击来源正是美国中央情报局。中情局希望用这种手段,让伊朗暴露出自己的弱点,最终达到使得伊朗方面屈膝投降的目的。

  事实上利用网络发动大规模攻击,美国人早已经不是第一次这么干了。早在1999年的科索沃战争中,美国就曾经率先攻击前南联盟的网络系统。在后来的伊拉克战争,利比亚战争以及叙利 亚战争中都是如此。对此,有不少伊朗网络安全部门的官员表示,这一天还是来了。伊朗已经宣布接下来将会在俄罗斯的帮助之下,完善伊朗的网络防御系统,以免再度出现这种情况。

  美国人这种对伊朗发动大规模网络攻击的做法,证明鹰派的思维在白宫中还占有相当重要的部分,虽说鹰派大佬博尔顿已经被美国首脑解除了职务,但是以莱特希泽和蓬佩奥为首的一票官僚还在相当程度地左右着白宫的政策。知情人士称,白宫由于终于了武力打击计划,转而采用网络袭击,这样才能给鹰派一个交代。

  (本文版权归原作者所有,参考来源:工业互联网安全应急响应中心)

  (二)恶意软件攻击多地国防承包商至信息技术系统中断

  近日,恶意软件攻击了国防承包商Rheinmetall AG和Defence Construction Canada (DCC) 的信息技术系统至其中断。

  2019年9月24日晚,Rheinmetall AG受到了恶意软件攻击,至其信息技术系统中断。德国莱茵金属股份公司(German Rheinmetall AG)是军事装备和系统的全球最大供应商之一,其中装甲战车,坦克,弹药和各种电子系统是全球最大的制造商之一。该公司位于巴西、墨西哥、和美国的工厂的IT基础设施受到了恶意软件攻击。由于攻击持续了数天,这些地点的正常生产流程遭受了重大破坏。其他地域的工厂的IT系统并未受到此攻击的影响,该公司正在尽其所能,尽快解决受影响工厂造成的破坏,并尽可能快的将零部件产品发送给客户。受攻击影响,即使客户期望在短期内立即获得所有订单,但中断可能会持续两到四个星期。根据该事件对其运营的估计影响,从第二周开始,该攻击可能造成每周300万至400万欧元的损失。

  2019年9月11日,网络攻击了DCC的信息技术系统,直到今天,其中一些问题仍然影响着该公司。DCC是一家为加拿大国防部提供基础设施和环境项目的公司,包括承包、建筑承包管理、和相关的基础设施服务。在调查了这次攻击的原因和结果之后,DCC目前正在努力将受此事件影响的IT系统恢复到攻击前的状态。受此事件影响,DCC承担的DND管理项目没有任何延误。所有该公司办事处的日常活动也都没有中断。

  目前,尚无关于这两个网络攻击或威胁参与者用来破坏两个国防承包商IT系统的恶意软件的更多详细信息。

  (天地和兴安全研究院翻译整理,参考来源:Bleeping Computer)

  (三)空客遭受供应链攻击,其供应商在过去一年内受到四次重大网络攻击

  欧洲航空巨头空中客车公司遭受了一系列的供应链攻击,黑客针对其供应商发起了袭击,试图窃取机密技术文件。专家们怀疑这些攻击是由与中国有联系的黑客进行的。

  在过去的12个月中,空客的供应商至少受到了四次重大打击。该集团长期以来一直被认为是一个诱人的攻击目标,因其拥有尖端技术使其成为了全球最大的民用飞机制造商和战略军事供应商之一。

  2019年初,空中客车公司宣布遭受数据泄露,黑客入侵了该公司的“商用飞机业务”信息系统,并获得了一些员工个人信息的访问权限。据知情人士推测,入侵是去年进行的一项更大行动的一部分。

  威胁组织针对的是英国发动机制造商罗尔斯·罗伊斯(Rolls-Royce)和法国技术咨询公司及供应商Expleo。至少有两家法国空客承包商遭到网络攻击。供应链攻击非常危险,黑客经常试图通过破坏其供应商的系统来达到目标。

  (天地和兴安全研究院翻译整理,参考来源:Security Affairs)

  (四)美空军发布《网络飞行计划》 规划未来十年网络战建设

  为实施美空军多域作战愿景,继2018年发布《情报、监视与侦察优势飞行计划》之后,美空军副参谋长杰米森在空军协会9月18日召开的“空、天、网”大会上透露,空军正在制定一份《网络飞行计划》,并透露了该计划的框架和部分信息。

  

2

 

  《网络飞行计划》是一份高保密文件,包含三条工作主线和七大重点领域,明确了空军未来十年的网络资源、优先发展事项和投资方向,推动美空军力量在网络空间的投送。“网络战”是美空军新提出的信息战理论四大支柱之一,“信息战”=“网络战+电磁战+信息行动+ISR”。美空军现已决定将第24和第25航空队合并为第16航空队,组建第一支信息战航空队。网络飞行计划中提出的新作战计划核心是以创造性的方式将上述四个支柱结合起来。为防备对手,美空军将对该计划的详细信息保密,仅公开部分信息。

  ①三条工作主线。基础能力:创建人才管理体系;开展敏捷性、模块化的网络战训练。战备能力与杀伤力:发展进攻性/防御性网络空间作战能力;现代化士兵作战能力。新兴/颠覆性技术与发展机遇:采用开放式架构和灵活的数据开发方法,为战斗赋予新的能力。

  ②七个重点工作领域。美空军网络空间战和作战通信主管布莱德利·皮伯恩概述了该文件的七个重点工作领域。伙伴关系:加强内部机构、跨部门机构以及学术机构间的伙伴关系,以形成统一、多边的利益关系共同对抗网络战及电磁频谱领域的威胁。情报、监视与侦察:寻求如何从多域作战信息网络中获取情报,如何生成情报,并在试图压制敌方能力时为网络战提供信息。人力资本:发展可执行混合战任务的人员,以与均势对手竞争。新兴的颠覆性技术:加速研发下一代基础设施与平台,创建数字战略,充分利用人工智能等技术。进攻性网络作战:扩大网络防御能力,发展进攻性网络防御力量,与合作伙伴共同应对威胁。防御性网络作战:投资创新及巅峰性技术,赋予美空军在网络空间作战域及全作战域对抗威胁的能力。作战人员通信:提供全球性范围内可靠的、弹性通信能力。

  美空军空战司令部司令霍尔姆斯9月18日宣布,空军已确定正式创建新的信息战司令部,命名为第16航空队,由空军负责网络作战的第24航空队与负责全球情报监视与侦察的第25航空队合并而来,并提名三星中将蒂莫西·霍出任司令。第16航空队将统管空军网络、电磁频谱作战、情报监视与侦察及信息作战,在蒂莫西·霍的司令提名获得参议院批准后正式启动。

  (本文版权归原作者所有,参考来源:国防科技要闻)

  (五)美国怀俄明州医院遭受勒索软件攻击导致服务中断

  2019年9月20日,位于美国怀俄明州吉列特市坎贝尔县纪念医院因为坎贝尔县卫生局的计算机系统受到勒索软件攻击导致医院服务持续中断。这次袭击迫使医院取消了一些手术,并取消了门诊实验室,呼吸治疗和放射学检查和程序以及新的住院病人。

  坎贝尔县卫生局一直是勒索软件攻击的受害者,所有CCH计算机系统都受到了影响,这影响了该组织提供病人护理的能力。该组织首次宣布这一事件时说,将对急诊科和步入式诊所就诊的患者进行分类,并在需要时转移到适当的护理机构。如果该医院无法提供安全的护理,他们正在与地区机构合作,将患者转移至其他医院。目前急诊室是开放的,并配备了专家医生和护理专家团队,以评估和评估患者的护理需求。

  该医院很快就确定了该破坏是由勒索软件引起的,勒索软件是一种旨在加密用户文件并阻止对其进行访问或感染系统的恶意软件。卫生局声称,这次攻击未访问患者和员工的数据。坎贝尔县卫生局在发现袭击事件后立即与有关当局联系,但对此事的调查仍在继续。目前,尚无证据表明已访问或滥用了任何患者数据。调查正在进行中,坎贝尔县卫生局正在努力恢复对服务的完全访问权限。

  截至2019年9月22日,急诊医疗服务(EMS),急诊科,产妇(OB)部门和步入式诊所均已开放,但医院继续建议患者提前致电以确认预约。然而,该医院仍取消或改期服务,包括手术,呼吸治疗,心脏康复,放射学及其他多项服务。该医院大多数服务都是开放的。

  (天地和兴安全研究院翻译整理,参考来源:Security Week)

  (六)DDoS攻击导致南非ISP整日瘫痪

  2019年9月21日至22日,一位神秘的攻击者使用地毯式轰炸的DDoS技术攻击了一家南非的互联网提供商(ISP),导致这家南非最大的ISP之一Cool Ideas关闭。从开放源代码报告工具可以看出,在DDoS期间,攻击者成功地设法切断了Cool Ideas与其他ISP的外部连接。由于受到这种攻击,Cool Ideas的客户在访问国际服务或打开网站时都遇到了“间歇性连接丢失和性能降低”的问题。

  Cool Ideas的联合创始人Paul Butschi 告诉当地新闻媒体,攻击者密切关注他们如何处理攻击,还会对缓解措施做出相应反应。一旦Cool Ideas设法缓解第一次DDoS攻击浪潮,并慢慢恢复服务,几分钟之内攻击者就会发起另一次DDoS攻击,再次破坏了ISP的系统。到目前为止,这家倒霉的ISP一共遭遇了四次攻击。

  攻击Cool Ideas的所有攻击都是利用DNS和CLDAP协议的所谓DDoS放大攻击。黑客将垃圾流量发送到未打补丁的DNS和CLDAP服务器,利用开放式DNS解析器的功能,以便使用更大的流量压倒目标服务器或网络。但是,值得注意的是黑客并未在攻击了Cool Ideas网络中的关键服务器之后进行经典的DDoS攻击。反而使用了一种称为地毯轰炸的技术,将垃圾DDoS流量发送到Cool Ideas网络中的随机IP地址。在地毯式轰炸中,Cool Ideas网络上的

  

3

 

  每个客户都收到了一些垃圾流量。垃圾流量不足以破坏每个客户的连接;但是,它的大小足以破坏Cool Ideas的网络边缘服务器,该服务器瘫痪了,最终也导致ISP的外部连接中断。也许有人会想为什么攻击者一开始就没有直接针对Cool Ideas的边缘服务器。原因很简单——因为这些系统受到DDoS缓解解决方案的保护,并且会在垃圾流量造成任何实质性的破坏之前洞沉所有垃圾流量。通过将DDoS攻击针对Cool Ideas IP地址池中的随机IP,DDoS缓解系统没有看到针对特定目标的DDoS攻击,而是看到大量流量流向数以千计的ISP客户。随着DDoS流量的增长,边缘路由器逐渐不堪重负,最终崩溃,而DDoS缓解解决方案始终未能检测到任何攻击。

  地毯式轰炸主要针对ISP,通常不会在其它任何地方使用。另外,虽然一般都认为攻击整个互联网服务提供商很难,但现实是这些攻击经常发生。去年,一名利比里亚互联网服务提供商起诉一家竞争对手公司及其两名高管雇用一名黑客,以对其基础设施发起DDoS攻击。攻击仅导致Lonestar的移动网络无法处理所有传入的流量,而且还堵塞了连接利比里亚和其他互联网的海底通信电缆,同时降低了其他电信公司的服务。

  (本文版权归原作者所有,参考来源:MottoIN)

  (七)朝鲜黑客开发出针对印度ATM系统恶意软件

  朝鲜黑客已经开发出一种新型恶意软件,该恶意软件可植入ATM系统,并用于记录和窃取插入机器中的支付卡中的数据。

  卡巴斯基专家在今天发布的一份报告中说,自2018年夏末以来,这种名为ATMDtrack的新恶意软件已在印度银行网络中发现。目前最新的攻击还针对印度研究中心,提供了功能更强大和扩展性更高的同一恶意软件版本,名为DTrack,该恶意软件专注于间谍和数据盗窃,而不是金融犯罪,并且具有远程访问特洛伊木马(RAT)中通常具有的功能。

  卡巴斯基研究人员说,他们共同追踪的这两种恶意软件版本都来自DTrack家庭,与”“黑暗首尔行动“中使用的恶意软件有很多相似之处,其中”“黑暗首尔行动”指的是2013年攻击韩国的一系列恶意活动。

  这些攻击归因于拉撒路集团(Lazarus Group),这是一家受朝鲜政府追捧的知名网络间谍组织。Lazarus Group是十天前被美国财政部制裁的三个朝鲜黑客组织之一,原因是它们策划了对银行,ATM网络,赌博网站,在线赌场和加密货币交易所的网络攻击,以从合法企业中窃取资金并为该国的武器和导弹计划筹集资金。换句话说,发现ATMDTrack恶意软件菌株可以支持并证明美国财政部批准制裁与该组织相关的任何实体的决定,并使其符合Lazarus的正常运作模式。此外,DTrack似乎是Lazarus Group的最新作品之一。卡巴斯基首次部署于2018年夏末,并表示最新样本在2019年9月这个月就活跃了。据悉,最新的DTrack示例可以执行以下恶意操作:键盘记录;检索浏览器历史记录;收集主机IP地址,有关可用网络和活动连接的信息;列出正在运行的进程 ;列出所有可用磁盘卷上的文件。

  根据目前可获得的信息,尚不清楚DTrack是否从ATMDTrack演变而来,还是ATMDTrack是从主要DTrack开发而来,当时朝鲜黑客去年设法突破了印度的后盾,并需要专门的工具来瞄准ATM设备。

  (天地和兴安全研究院翻译整理,参考来源:ZDNet)

  (八)俄罗斯组织Fancy Bear用新后门攻击政治目标

  斯洛伐克安全软件公ESET的研究人员发现了与俄罗斯有关联的APT组织“Fancy Bear”(也称APT28、Sednit、Sofacy、Zebrocy和Strontium)针对政治目标发起了攻击。

  在最近的攻击中,黑客使用了一组新的恶意载荷,包括使用新语言编写的后门。该组织至少自2007年就开始活跃,攻击世界各地的政府、军方和安全机构,该组织还参与了针对2016年美国总统大选的攻击。

  在ESET发表的分析报告中称,“2019年,该组织针对东欧和中亚国家的使馆和外交部发起了新的攻击活动。其在工具集中添加了一种新针对下载者的开发语言:Nim语言。开发人员改进了Golang语言下载器,还将后门从Delphi重写为Golang”。威胁分子使用包含恶意附件的钓鱼邮件,附件需要一长串下载,最后以后门结尾。

  

4

 

  网络钓鱼信息带有空白附件,引用一个托管在Dropbox上的远程模板wordData.dotm。一旦受害者在Word上打开了该文件,其便会触发下载wordData.dotm,并将其合并到关联文档的工作环境中,包括模板可能包含的任何活动内容。wordData.dotm文件包含恶意宏,然后会被执行(根据Microsoft Word版本的不同,默认情况下会禁用VBA宏,需要用户启用。),还包含一个嵌入式ZIP归档文件,可以由宏来删除和提取。

  攻击涉及多个不同语言的下载器,其中一个就是新编写的Nim语言,是一个静态类型编译系统编程语言,结合了Python、Ada和Modula这些语言的优点。相较于Golang下载器而言,用Nim语言所写的下载器的数据收集能力很轻量。

  该组织曾在8月首次使用Golang下载器编写的后门,该恶意软件与之前攻击中的DelPhi后门类似。专家在攻击链中抓取了六种其他模型才最终获取了Golang后门。该恶意软件能从感染机器上窃取敏感数据,并在感染的前几分钟内每35秒截一次屏。这个后门还能安装额外的负载。

  该组织似乎想通过使用其他语言来绕过检测,这样就不用更换其原有的战术、技术和程序了。最初的感染矢量依旧没变,但所使用的像Dropbox这样的服务来进行远程模板下载对该组织来说并不常见。

  (天地和兴安全研究院翻译整理,参考来源:Security Affairs)

  (九)Cisco Talos 发现针对美国退伍军人的定向攻击

  思科塔罗斯(Cisco Talos)最近发现了一个威胁组织,试图利用可能正在寻找工作的美国人,特别是退伍军人。这个威胁组织先前被赛门铁克(Symantec)称为Tortoiseshell,他部署了一个名为hxxp:// hiremilitaryheroes [。] com的网站,该网站是一个旨在帮助美国退伍军人找到工作的网站。该网址非常接近美国商会(https://www.hiringourheroes.org)的合法网站。该网站提示用户下载一个应用程序,该应用程序实际上是一个恶意软件下载器,并部署了恶意间谍工具和其他恶意软件。这只是Tortoiseshell的最新动作。先前的研究表明,该组织是沙特阿拉伯一家IT提供商的攻击者的幕后黑手。在Talos跟踪的这次活动中,Tortoiseshell使用了与过去相同的后门程序,这表明他们依赖某些相同的战术,技术和程序(TTP)。该网站仅由三个链接组成,可免费下载桌面应用程序。该应用程序是伪造的安装程序,希望美军退伍军人可以下载并安装该应用程序,以期获得工作机会。该应用程序仅在用户系统上

  

5

 

  安装恶意软件,并显示错误消息,表明安装失败。

  

6

 

  在后台,该恶意软件继续在受害者的计算机上运行,收集有关系统技术规格的信息,并将数据发送到攻击者控制的Gmail收件箱。恶意软件收集的数据类型包括以下信息:系统,补丁程序级别,处理器数量,网络配置,硬件,固件版本,域控制器,管理员名称,帐户列表,日期,时间,驱动程序等。

  DHS网络安全分析师表示:黑客不是针对退伍军人,而是针对即将成为退伍军人的现役军人。他们的目标是在服务结束时为现役军人寻找工作。“黑客希望他们的目标之一可以使用DOD系统下载并运行恶意软件。”

  (天地和兴安全研究院翻译整理,参考来源:ZDNet)

扫二维码用手机看

天地和兴

公司总部:北京市海淀区中关村软件园8号华夏科技大厦三层

服务热线:400-810-8981 / 010-82896289

版权所有:北京天地和兴科技有限公司      京ICP备17065546号-1

扫一扫关注

天地和兴微信公众号