快捷搜索:  后门  木马  网络  CVE  VPN  扫描  渗透  黑客

APT新动向 | 揭秘黄金鼠构造的三次攻击步履 - |

日前,360威胁情报中心追日团队发布了黄金鼠构造(APT-C-27)APT研究讲演。从2014年11月起至今,黄金鼠构造(APT-C-27)对叙利亚区域放开了有构造、有计划、有针对性的长时间不间断攻击。攻击平台从最先的Windows平台逐渐扩大至Android平台,截至目前追日团队一共拿获了Android平台攻击样本29个,Windows平台攻击样本55个,触及的C&C域名9个。

2016年6月,追日团队首次注意到该攻击构造中触及的PC端恶意代码,并放开关联阐发,但通过大数据关联阐发发现相干攻击步履最早可以追溯到 2014年11月,并关联出数十个恶意样本文件,包括PC以及Android平台。此外,Android以及PC平台的恶意样本首要伪装成聊天软件及一些特定领域经常使用软件,通过水坑攻击方式配合社会工程学手段进行渗透排泄,向特定目标人群进行攻击,进一步结合恶意代码中诱饵文件的内容以及其他情报数据,追日团队判断这是一次以窃取敏感信息为目的的针对性攻击,且目标熟识阿拉伯语。 

2015年7月,叙利亚哈马市消息媒体在Facebook上发布了一则新闻,该条新闻称带有“土耳其对叙利亚边界部署反导弹体系进行干涉干与,具体信息为http://www.gulfup.com/?MCVlNX”的信息为恶意信息,并申饬人人不要关上信息中链接,该链接为黑客入侵链接,相干C&C为31.9.48.183。哈马市揭破的这次攻击步履,就是追日团队在 2016年6月发现的针对叙利亚区域的APT攻击。从消息中追日团队确定了该步履的攻击目标最少包括叙利亚区域,其载荷投递方式最少包括水坑式攻击。

360威胁情报中心将APT-C-27构造命名为黄金鼠,主若是考虑了下列几方面的身分:一是该构造在攻击过程中使用了大批的资源,说明该攻击构造资源丰富,而黄金鼠有长期在田野囤积食粮的习性,字面上也有丰富的含义;二、该攻击构造一般为间隔一段时间出来攻击一次,这跟鼠有相通之处;三是黄金仓鼠是叙利亚区域一种比较有代表性的动物。

三次攻击步履

 揭秘黄金鼠构造的三次攻击步履
图 该攻击构造相干重点事故时间轴

注:

1)  圆形蓝色里程碑:相干典型后门首次出现时间

2)  正方形灰色里程碑:相干典型后门再次出现时间

3)  三角形深蓝色里程碑:相干C&C出现时间

4)  菱形黑色里程碑:重要事故出现的时间

攻击步履 活跃时间 首要载荷 首要C&C
第一次 2014.10 – 2015.7 njRAT、Downloader bbbb4.noip.me 31.9.48.183
第二次 2015.8 – 2016.11 DarkKomet、VBS Backdoor、AndroRAT basharalassad1sea.noip.me 31.9.48.183
第三次 2016.12 – 至今 Android RAT、定制RAT、JS Backdoor、JS后门 82.137.255.56 telgram.strangled.net chatsecurelite.us.to

表 三波攻击步履

第一次攻击步履集中在 2014 年 10 月到 2015 年 7 月,该期间攻击构造首要使用开源遥控njRAT以及Downloader进行攻击,攻击载荷并不复杂,使用的 C&C 首要为 bbbb4.noip.me 以及 31.9.48.183。然则 2015 年 7 月,该构造使用的C&C(31.9.48.183)被叙利亚哈马市消息媒体在Facebook暴光。

第二次攻击步履集中在 2015 年7 月到 2016 年 11 月,在这期间攻击者使用了多种不同类型的攻击载荷。在2015年8月攻击者最先使用Delphi编写的DarkKomet遥控,此外,在2015年11月针对Android操作体系的攻击最先出现,并使用了AndroRAT恶意程序,期间使用的C&C主若是31.9.48.183,然则到了2016年1月,该构造最先使用新的域名basharalassad1sea.noip.me作为C&C服务器。另外,本次攻击步履具有代表性的就是2016年10月最先使用Facebook进行水坑攻击,并使用全新的VBS后门作为攻击载荷。

第三次攻击步履集中在2016年12月至今,该期间攻击构造表现尤其活跃,使用的攻击载荷变得愈加丰富。在2017年4月使用了telgram.strangled.net钓鱼页面进行水坑攻击,并且根据telegram升级程序的步骤制造RAT进行攻击,攻击平台包括PC与Android,C&C服务器也改变成82.137.255.56。此外,在2017年5月,首次出现了JS后门,并结合前期的VBS后门、RAT同时攻击。在这次攻击中需要引起重视的是,在2017年9月,攻击者最先使用域名chatsecurelite.us.to替换原有域名telgram.strangled.net进行水坑攻击,并偏重针对Android平台进行攻击,开发了一系列不同伪装情势的RAT,近来两个月,攻击者基本上都只对Android平台进行攻击。

总结

通过对该构造相干TTPs(Tools、Techniques、Procedures)的研究阐发,和结合以往跟进或表露的 APT 构造或攻击步履,总结出下列几点:

1)挪移端APT事故逐渐增多

以往表露的APT事故主若是针对Windows体系进行攻击,当今由于Android体系、APP的普及与发铺,带动了Android手机等智能终端用户量的持续爬升,从而导致黑客构造的攻击目标也逐渐转向挪移端。从追日团队拿获的样本也能够知道,攻击者显示从Windows平台逐渐过度到Android平台,并且在近期攻击者首要使用Android样本进行攻击,且更新速度很快,从而变相说明该构造后期首要会基于Android体系进行攻击。

2)攻击手艺由浅入深

手艺阐发显示,该构造初期使用的特种木马手艺并不复杂,首要使用开源的njRAT。但后期版本中,攻击者最先使用定制RAT,此种RAT需要通过层层开释执行恶意功能,于此同时,攻击者也最先使用VBS、JS脚本、Android RAT进行全方位攻击。综合来看,该构造的攻击周期较长攻击目标之明确,并且攻击过程中使用了大批资源,都表明这不是一小我私人或一般构造能承受的攻击成本。

3)攻击构造很可能来自阿拉伯国家

通过前面阐发我们知道PDB路径有“TpPro”、“aboomar”等字符串,文档作者Raddex,IP信息获取的“aboomar”、“abo moaaz”计算机名,黑客漏洞,这些名字(“aboomar”、“abo moaaz”)常常出现在阿拉伯区域。并且通过部分样本中使用的字符串及文件名(如“حمص تلبيسة قصف بالهاون”)可以知道攻击者熟识阿拉伯语。

查看讲演全文

*

您可能还会对下面的文章感兴趣: