Buckeye網絡間諜組織又被稱為APT3、Gothic Panda、UPS Team和 TG-0110���,該組織已經成立超過五年���,并主要針對美國及其他目標國家的企業(yè)組織開展攻擊行動。
Buckeye網絡間諜組織又被稱為APT3�����、Gothic Panda���、UPS Team和 TG-0110��,該組織已經成立超過五年����,并主要針對美國及其他目標國家的企業(yè)組織開展攻擊行動���。但自 2015年6月起���, Buckeye似乎逐漸將攻擊重點轉向中國香港的政府機構���。2016年3月至今,該組織集中針對中國香港的相關機構進行惡意攻擊�����。最近一次攻擊發(fā)生在8月4日����,Buckeye犯罪組織企圖通過發(fā)送惡意電子郵件至被入侵的目標網絡,以實現盜取信息的目的�����。
通過賽門鐵克與Blue Coat Systems的聯合威脅情報服務���,賽門鐵克的安全團隊清晰掌握了Buckeye組織在近幾年的策略演變�。這一發(fā)現能夠幫助賽門鐵克進一步增強安全防護功能�,并幫助企業(yè)用戶抵御該組織的攻擊活動。
背景
在 2009 年�����,賽門鐵克已發(fā)現Buckeye針對多個地區(qū)的多家機構展開攻擊����。Buckeye 曾通過遠程訪問木馬(Backdoor.Pirpi)對一家美國機構的網絡展開攻擊。該犯罪組織通過附帶Backdoor.Pirpi或鏈接的魚叉式網絡釣魚電子郵件對目標進行攻擊�����。如今�,賽門鐵克已經識別出該組織所使用的其他黑客工具。
過去�,Buckeye組織因利用零日漏洞進行攻擊而臭名昭著,包括在2010年攻擊中使用的CVE-2010-3962和在2014 年使用的CVE-2014-1776�����。盡管Buckeye利用其他零日漏洞進行的攻擊也被發(fā)現��,但這些攻擊活動并未得到賽門鐵克的證實�����。賽門鐵克安全人員表示���,所有已知的或疑似被Buckeye組織利用的零日漏洞均來自Internet Explorer和Flash�。
攻擊重心轉變
2015年8月起�����,賽門鐵克遙測技術發(fā)現中國香港的部分計算機感染 Backdoor.Pirpi。2016年3月底至4月初���,該惡意程序的感染數量出現大幅增長�。不僅如此�����,賽門鐵克同樣在其他調查中發(fā)現與該惡意程序相關的惡意軟件樣本���,并從而確定該犯罪組織的攻擊目標為中國香港的政府機構����。
在近期的部分攻擊中���,Buckeye使用帶有惡意壓縮附件(.zip)的魚叉式網絡釣魚電子郵件���,這些電子郵件的壓縮文檔附件中包含帶有Microsoft Internet Explorer標識的Windows快捷方式 (.lnk) 文件。受害者一旦點擊該快捷方式��,計算機將會下載Backdoor.Pirpi惡意程序����,并在受感染的計算機中執(zhí)行���。
攻擊目標
從 2015 年至今,賽門鐵克發(fā)現在不同地區(qū)的大約82家組織機構的網絡中發(fā)現Buckeye工具��,但該現象無法準確反映出Buckeye攻擊組織所感興趣的攻擊目標����。賽門鐵克認為�,該組織通過采取“廣撒網” 的方式尋找攻擊目標,但只在感興趣的企業(yè)機構網絡中保持攻擊活躍度��。通過設定監(jiān)測指標和深入觀察�,例如:Buckeye對某機構保持攻擊活躍度超過1天、部署額外工具����,針對多臺計算機進行病毒傳播等,賽門鐵克發(fā)現Buckeye的攻擊目標主要針對中國香港(13)�����、美國(3)和英國(1)的17 家組織機構�����。
圖1. Buckeye感興趣的攻擊對象地區(qū)分布( 2015 年至今)
賽門鐵克的監(jiān)測數據從2015年開始統(tǒng)計,但值得注意的是����,在 2016 年 3 月,針對中國香港的攻擊比例出現大幅增長�。2015年中期之前,Buckeye的傳統(tǒng)攻擊目標主要為不同類型的美國和英國組織機構����。而在2015年6月,Buckeye的攻擊目標發(fā)生巨大轉變����,開始攻擊中國香港,并逐漸停止對英國和美國的攻擊��。
圖2.在不同時期及不同地區(qū)中��,Buckeye攻擊目標分布圖
惡意軟件和黑客工具
Buckeye攻擊組織采用多種黑客工具和惡意軟件進行攻擊�����,其中,許多黑客工具為開源應用�����。此外�,為了躲避檢測,Buckeye對這些工具還進行了一定程度的修補或調整�。
Buckeye通過使用遠程訪問木馬Backdoor.Pirpi,來讀取�����、寫入和執(zhí)行文件與程序��,以及收集攻擊目標的本地網絡信息���,包括域控制器和工作站等。
Buckeye所采用的黑客工具包括:
Keylogger:Keylogger(鍵盤記錄器)可通過使用命令行參數網絡服務�、替換、安裝����、注銷進行配置。這些參數可以作為服務被安裝��,然后Keylogger開始記錄如thumbcach_96.dbx等加密文件的擊鍵次數。該工具將記錄如thumbcach_96.dbx等加密文件的鍵盤輸入信息���。此外�,Keylogger還能夠收集MAC地址��、IP 地址��、WINS�����、DHCP服務器和網關等網絡信息�����。
RemoteCMD:RemoteCMD工具類似于PsExec工具�����,主要用于在遠程計算機上執(zhí)行命令���。用法為:%s shareIp domain[USER INFORMATION|[USER NAME AND PASSWORD]] [/run:[COMMAND]]�����,能夠傳遞的命令包括上傳�����、下載���、服務(創(chuàng)建�、刪除��、開始�、停止)、刪除�����、重命名和 AT�����。
PwDumpVariant:RemoteCMD工具可以導入lsremora.dll(通常攻擊者將其作為工具箱的一部分一同下載)�,并使用GetHash導出DLL文件�。該工具可在執(zhí)行過程中,將自身注入到 lsass.exe中��,并通過參數“dig”觸發(fā)。
OSinfo:OSInfo是一種通用系統(tǒng)信息收集工具�����。它具有以下命令行參數幫助指令:
info [options]
[options]:
-d域
-o操作系統(tǒng)信息
-t任務信息
-n網絡使用信息
-s分享信息和目錄
-c連接測試
-a局部和全局組用戶信息
-l局部組用戶信息
-g全局組用戶信息
-ga組管理員
-gp組高級用戶
-gd組域管理員
-f //輸入文件中的服務器列表����,一行一臺服務器
info <\\server>
ChromePass:一種來自NirSoft的工具,可用于恢復保存在Chrome瀏覽器中的密碼�。
Lazagne:一種編譯的Python工具,可從安裝在本地的多個應用類別中提取密碼��,例如�����,Web瀏覽器����。這些應用類別包括:聊天、Svn(一種版本管理工具)��、無線網絡�����、電子郵件、Windows���、數據庫�����、系統(tǒng)管理和瀏覽器��。
Buckeye似乎將文件和打印服務器作為主要攻擊目標�����,因此�,賽門鐵克認為該組織的目的很有可能是盜取文件����。結合該組織在過去利用的零日漏洞、定制工具以及攻擊目標的組織類型等因素����,這表明Buckeye是一家擁有國家支持背景的網絡間諜組織�����。
賽門鐵克安全防護
賽門鐵克和諾頓產品可通過檢測以下惡意軟件,幫助用戶抵御該網絡間諜組織的攻擊行為:
防病毒程序
·Backdoor.Pirpi
·Backdoor.Pirpi!dr
·Backdoor.Pirpi!gen1
·Backdoor.Pirpi!gen2
·Backdoor.Pirpi!gen3
·Backdoor.Pirpi!gen4
·Backdoor.Pirpi.A
·Backdoor.Pirpi.B
·Backdoor.Pirpi.C
·Backdoor.Pirpi.D
·Downloader.Pirpi
·Downloader.Pirpi!g1
入侵預防系統(tǒng)
·System Infected: Backdoor.Pirpi Activity 3
###
關于賽門鐵克:
賽門鐵克公司(納斯達克:SYMC)是全球網絡安全領導廠商��。擁有全球最大的數據智能網絡之一��,能夠監(jiān)測全球更多網絡威脅��,保護更多客戶從容應對下一代網絡威脅�����。賽門鐵克公司旨在為個人�����、企業(yè)和政府機構的重要數據提供全面的安全保護���。
歡迎登錄賽門鐵克新浪微博:@賽門鐵克官方微博 �����,賽門鐵克官方微信賬號:賽門鐵克數據安全與防護�����,參與實時互動溝通:http://www.weibo.com/symantecchina
