當前位置：安全 → 行業動態 → 正文

印度多個商業、政府組織遭受間諜團體Suckfly攻擊

責任編輯：editor005 作者：安小白 |來源：企業網D1Net 2016-05-24 15:13:04 本文摘自：FreeBuf.COM

在2016年3月，賽門鐵克曾發表過一篇關于Suckfly攻擊韓國組織，竊取數組證書的文章，Suckfly是一個網絡間諜組織。調查發現，Suckfly自2014年4月，在兩年間持續發起過一系列攻擊。這些攻擊都以政府或著名的商業組織為目標，雖然它們發生在不同的國家，但是主要目標是印度的個人和組織機構。

Suckfly使用其自定義的惡意軟件Backdoor.Nidiran進行感染，而該惡意軟件在印度地區的活躍度比其他地區都高。這表明，這些攻擊是針對印度特定目標的有計劃行動的一部分。

印度攻擊活動

Suckfly的第一次活動開始于2014年4月，在此次活動中，多個跨行業的國際組織受到攻擊，其中很多都是印度的知名商業組織，包括：

印度最大的經濟組織之一

大型電商公司

該電商的主要供貨商

印度前五IT企業之一

一個美國醫療保健機構的印度業務部

兩個政府組織

與商業目標相比，Suckfly花費更多精力攻擊政府網絡。并且兩個政府組織中的其中一個感染率最高。

　　圖一攻擊目標的感染率

政府組織#2負責為印度中央政府的不同部門實施和部署網絡軟件，因此其高感染率可能是因為它擁有其他印度政府組織的技術和信息的訪問權限。

Suckfly對為政府提供技術服務的政府組織的攻擊并不限于印度，也對沙特阿拉伯實施了此類攻擊。

圖二展示了根據行業分類的Suckfly攻擊目標，大部分的攻擊目標為政府和技術相關的企業和組織。

　　圖二根據行業分類的Suckfly攻擊目標

Suckfly攻擊的生命周期

通過分析其中一次的攻擊行為，我們詳細分析了Suckfly的攻擊流程。2015年4月22日到5月4日間，Suckfly對印度的一家電商組織實施了一次多級攻擊。與其他攻擊類似，Suckfly使用了Nidiran后門和多個黑客工具來感染目標的內網主機，這些工具和惡意軟件使用了之前失竊的數字證書進行簽名。在此期間，以下事件發生：

　　圖三 Suckfly攻擊的生命周期

1、確認目標用戶。雖然我們沒有Suckfly如何獲取目標信息的確鑿證據，但是我們發現最初的目標中存在大量的開源數據，工作職能、公司郵箱地址、項目信息和公開可訪問的個人博客都可以輕易在網絡上找到。

2、2015年4月22日，Suckfly借助目標操作系統（Windows）中的一個漏洞，該漏洞允許攻擊者讓用戶賬戶控制并安裝Nidiran后門，來獲取了系統的訪問權限。雖然我們知道Suckfly使用了一個自定義的dropper安裝后門，但是并不知道它的傳播載體，根據目標的開源信息，我們猜測很可能他們使用了釣魚郵件。

3、通過利用員工的操作系統，他們獲取了電商企業的內網訪問權限。證據表明，Suckfly使用了黑客工具進行橫向移動和權限提升。Suckfly使用已簽名的credential-dumping工具獲取用戶證書，使用該證書，攻擊者就可以登錄受害人賬戶，以員工身份進入內網。

4、4月27日，攻擊者掃描了內網中8080、5900和40端口開放的主機。8080和5900端口是合法協議的通用端口，但是當這些端口不安全時就可能會被攻擊者利用。目前尚不清楚攻擊者為何會掃描40端口，因為它并不是常見協議使用的端口。通過攻擊者掃描端口可以看出，他們企圖擴大在內網中的立足點。

5、最后一步就是提取內網中的信息到Suckfly基礎設施中。然而，我們知道Suckfly通過Nidiran后門竊取組織的信息，但不知道他們是否獲取了其他信息。

這些攻擊步驟發生在13天的攻擊周期中的特定幾天。在追蹤他們使用黑客工具的具體時間時，通過分析使用命令行驅動的黑客工具，發現該組織只在星期一到星期五保持活躍狀態。

　　圖四 Suckfly一周內的活躍程度

Suckfly的命令和控制指令

Suckfly的惡意軟件難以解析，進而在一定程度上限制了防護軟件的檢測。但是我們成功分析了Suckfly的惡意軟件樣本，并提取Nidiran后門和Suckfly命令控制服務器之間的通信。

該可執行文件包含以下三個文件：

1、dllhost.exe，.dll文件的主要host

2、iviewers.dll，用于下載加密的負載并解密

3、msfled，加密的負載

這三個文件是惡意軟件正常運行必不可少的文件。一旦惡意軟件成功執行，就會在運行前檢查是否連接到網絡。如果測試成功，就會通過443和8443端口向C&C服務器發送通信請求。分析發現，這兩個端口和C&C信息被加密并硬編碼到Nidiran惡意軟件本身。Nidiran后門向C&C服務器發送如下初始化通信請求。

該信息被發送到有以下內容組成的cookie中：

[COOKIENAME]=[RC4 ENCRYPTED + B64 ENCODED DATA FROM VICTIM]

樣本中的RC4加密密鑰是硬編碼的字符串“h0le”。一旦該cookie數據被解碼，Suckfly就會獲取網絡名、主機名、IP地址和操作系統信息。

總結

Suckfly以眾多印度商業組織和政府組織為目標，所有的這些目標都是對印度經濟起到關鍵性作用的大企業。通過攻擊這些目標，Suckfly會對印度及其經濟造成重大影響。

Suckfly有足夠的資源來開發惡意軟件，購買基礎設施，多年來開展有針對性的攻擊并且關閉了組織的安全雷達。在此期間，他們從韓國公司竊取數字證書，針對印度和沙特實施攻擊。目前沒有證據表明Suckfly從這些攻擊中獲取利用，但是總會有人獲利。

Suckfly攻擊的性質表明，不太可能是他們自己組織了這些攻擊。我們相信，Suckfly將繼續瞄準印度和其他國家的類似組織，以為Suckfly背后的組織提供經濟情報。

關鍵字：Suckfly 攻擊步驟