今年早些時候,美國第二大醫療保險服務商Anthem遭黑客攻擊,近8000萬員工和客戶資料被盜,包括姓名、生日、醫保ID號、社會保險號、住宅地址、電子郵箱、雇傭情況、以及收入數據。
賽門鐵克認為入侵Anthem的幕后黑手一定是非常強大的網絡間諜組織Black Vine(黑色藤蔓),而且Anthem也只是該間諜組織眾多攻擊目標中的其中一個。
賽門鐵克近期發布的白皮書中介紹,Black Vine間諜組織早在2012年就出現了,它的攻擊目標燃氣輪機制造商、航空航天公司、醫療保險服務商等等。該組織慣用的是0day漏洞利用程序和自定義開發的惡意后門,并認為Black Vine與黑客組織“隱秘山貓”以及中國北京的安全公司天融信(Topsec)有關聯。
Black Vine背景
Black Vine主要利用以下的0day漏洞,然后以水坑攻擊開始:
微軟IE CDwnBindInfo Use-After-Free遠程代碼執行漏洞(CVE-2012-4792)
微軟IE Use-After-Free遠程代碼執行漏洞(CVE-2014-0322)
Black Vine首先會攻破攻擊目標慣用的網站,植入惡意代碼,當目標再次訪問該網站時就會感染惡意程序。如果0day漏洞應用程序成功的感染了受害者電腦,攻擊者會進而釋放Black Vine的自定義后門,即可遠程訪問受害者電腦。除了水坑式攻擊以外,Black Vine還會通過發送魚叉式釣魚郵件展開攻擊。
Black Vine入侵的行業列表:
航空航天公司
醫療保險服務商
能源業
軍事國防
金融行業
農業
科技行業
受Black Vine影響最大的地區是美國,其次是中國、加拿大、意大利、丹麥、印度。
惡意程序
通過調查研究,Black Vine在攻擊活動中主要使用了3種自定義惡意程序:Hurix、 Sakurel 、Mivast。它們能執行的操作有:
打開一個后門
執行文件和命令
刪除、修改、創建登錄密鑰
搜集被感染電腦上的信息
賽門鐵克的分析發現,Black Vine是一個實力雄厚的網絡間諜組織,它會不斷的更新、修改其惡意程序,以躲避追蹤。
與黑客組織“隱秘山貓”共用攻擊平臺
隱秘山貓(Hidden Lynx)是一個專業的黑客組織,具有超強的攻擊能力。他們曾攻陷了美國安全公司Bit9的數字證書簽名系統,使他們的間諜程序變得合法。攻擊Bit9只是他們在過去的四年時間里所進行的眾多動作之一。點我查看隱秘山貓的詳細報告
在分析中我們發現Black Vine與隱秘山貓使用了相同的0day漏洞利用程序,這是因為他們兩者共用一套0day攻擊框架——Elderwood平臺。我們第一次發現這個平臺是在2012年,這個平臺會持續的更新最新0day利用程序。2014年,我們發現多個攻擊組織也在使用它,并且這些攻擊組織與中國有關。
另一些調查報告則顯示,Black Vine與中國北京的安全公司天融信(Topsec)有關。
總結
Black Vine是一個強大、實力雄厚的網絡間諜組織,并且其間諜活動還在繼續。希望各行業能正視該間諜組織的危害,部署更為嚴謹的防護措施。
京公網安備 11010502049343號