中國南海和東南亞問題相關的網(wǎng)絡攻擊組織 捕獲Patchwork APT攻擊

最近,一個與東南亞和中國南海問題相關的APT攻擊被發(fā)現(xiàn),該APT攻擊以包括美國在內(nèi)的各國政府和公司為目標 。經(jīng)安全專家分析,該APT攻擊所使用的全部工具代碼都是通過 復制-粘貼 互聯(lián)網(wǎng)公開代碼組合而成,相對于其它APT特有的攻擊工具而言,比較獨特。
Cymmetria發(fā)現(xiàn)并發(fā)布了此APT攻擊的分析報告,由于其代碼來源于多個網(wǎng)絡論壇和網(wǎng)站,如Github、暗網(wǎng)和隱秘的犯罪論壇等,故把其命名為Patchwork APT 攻擊(Patchwork:拼湊物)。
一、報告綜述
Patchwork APT自2015年12月被監(jiān)測到之后,目前已經(jīng)感染了大約2500臺電腦,雖有跡象表明其最早活動可追溯至2014年,但Cymmetria并未第一時間發(fā)現(xiàn)。
Patchwork APT針對的目標是軍事和政治機構,特別是那些與東南亞和南海問題相關的工作機構雇員,目標多是政府或與政府有間接聯(lián)系的機構。
在存活的受害者系統(tǒng)上,Patchwork APT通過搜索文檔并上傳至其C&C服務器,如果目標主機非常有價值,Patchwork APT還會進一步安裝第二階段滲透工具。
以下為PatchworkAPT 的攻擊時間范圍:
二、調(diào)查
1 概述該APT攻擊于今年5月在針對歐洲政府部門的一起釣魚活動中被發(fā)現(xiàn),攻擊目標為一個中國政策研究機構的工作人員,其以PPT文檔為誘餌發(fā)起網(wǎng)絡攻擊,文檔內(nèi)容為中國在南海的一系列活動。
當PPT文檔被打開后,嵌入執(zhí)行CVE-2014-4114漏洞代碼,這個漏洞存在于未打補丁的 Office PowerPoint 2003 和2007中,漏洞利用代碼曾被發(fā)起了名為 Sandworm的APT 攻擊。
一旦漏洞代碼開始執(zhí)行,第一階段為部署攻擊載體:一個利用AutoIt工具編譯的腳本。這個腳本使用某網(wǎng)絡論壇出現(xiàn)的名為UACME方法和代碼來繞過系統(tǒng)UAC。
獲得更高權限之后,以Meterpreter方式執(zhí)行powersploit 腳本,(Meterpreter是著名的metasploit框架遠控工具)
下一階段,開始對文檔和目標主機價值進行篩選判斷,如果目標足夠有價值,攻擊者再次部署第二階段攻擊模塊,涉及到的攻擊工具也大多來源于知名論壇或網(wǎng)絡資源。以下為其攻擊感染流程:
為了捕獲攻擊者發(fā)起的第二階段攻擊程序,觀察其在內(nèi)網(wǎng)中的滲透活動,我們創(chuàng)建了一個真實網(wǎng)絡環(huán)境,這個環(huán)境讓攻擊者覺得他們已經(jīng)成功獲取了主機權限。
零星的誘餌數(shù)據(jù)可以讓攻擊者向另一主機轉(zhuǎn)移,這些數(shù)據(jù)可以是存儲憑據(jù),共享文件夾、瀏覽器cookies,VPN配置等其它信息。最終我們利用了Cymmetria’s MazeRunner 系統(tǒng)成功捕獲了攻擊者的活動。
相關文章
thinkphp代碼執(zhí)行getshell的漏洞解決
本文來介紹一下thinkphp官方修復的一個getshell漏洞,框架對控制器沒有進行足夠的檢測導致的一處getshell,小編覺得挺不錯的,現(xiàn)在分享給大家,也給大家做個參考。一起跟隨2018-12-12記 FineUI 官方論壇discuz所遭受的一次真實網(wǎng)絡攻擊
這篇文章主要介紹了記 FineUI 官方論壇discuz所遭受的一次真實網(wǎng)絡攻擊,需要的朋友可以參考下2018-11-30- 這篇文章主要介紹了Linux 下多種反彈 shell 方法,需要的朋友可以參考下2017-09-06
- 這篇文章主要為大家介紹了基于反射的XSS攻擊,主要依靠站點服務端返回腳本,在客戶端觸發(fā)執(zhí)行從而發(fā)起Web攻擊,需要的朋友可以參考下2017-05-20
- 這篇文章主要介紹了SQL注入黑客防線網(wǎng)站實例分析,需要的朋友可以參考下2017-05-19
- 這里為大家分享一下sql注入的一些語句,很多情況下由于程序員的安全意識薄弱或基本功不足就容易導致sql注入安全問題,建議大家多看一下網(wǎng)上的安全文章,最好的防范就是先學2017-05-19
- 對于目前流行的sql注入,程序員在編寫程序時,都普遍的加入防注入程序,有些防注入程序只要在我們提交一些非法的參數(shù)后,就會自動的記錄下你的IP地址,提交的非法參數(shù)和動作等,2017-04-29
- 我們友情進行XSS檢查,偶然跳出個小彈窗,其中我們總結了一些平時可能用到的XSS插入方式,方便我們以后進行快速檢查,也提供了一定的思路,其中XSS有反射、存儲、DOM這三類2016-12-27
- 這篇文章主要介紹了Python 爬蟲使用動態(tài)切換ip防止封殺的相關資料,需要的朋友可以參考下2016-10-08
- 這篇文章主要介紹了使用爬蟲采集網(wǎng)站時,解決被封IP的幾種方法的相關資料,需要的朋友可以參考下2016-10-08