Patchwork組織目前已經(jīng)將攻擊目標(biāo)鎖定美國、中國、日本、東南亞和英國的各大行業(yè)
賽門鐵克安全響應(yīng)團(tuán)隊(duì)通過對(duì)Patchwork組織的調(diào)研發(fā)現(xiàn),該組織現(xiàn)在不僅針對(duì)政府相關(guān)企業(yè),更是通過后門木馬程序?qū)⒑娇铡V播和金融等各行業(yè)作為攻擊目標(biāo)。
賽門鐵克安全響應(yīng)團(tuán)隊(duì)一直密切關(guān)注Patchwork組織的攻擊動(dòng)向。Patchwork又被稱為Dropping Elephant,該組織以中國相關(guān)主題作為誘餌,進(jìn)而對(duì)目標(biāo)的網(wǎng)絡(luò)進(jìn)行攻擊。
攻擊目標(biāo)
最初,Patchwork組織僅針對(duì)政府以及政府相關(guān)企業(yè)進(jìn)行攻擊。但隨后,該組織擴(kuò)大目標(biāo)范圍,將更多行業(yè)企業(yè)作為攻擊目標(biāo)。盡管Patchwork依然將公共部門作為主要攻擊對(duì)象,但近期實(shí)施的攻擊被發(fā)現(xiàn)已經(jīng)擴(kuò)大至以下行業(yè):
· 航空行業(yè)
· 廣播行業(yè)
· 能源行業(yè)
· 金融行業(yè)
· 非政府組織 (NGO)
· 醫(yī)藥行業(yè)
· 公共部門
· 出版行業(yè)
· 軟件行業(yè)
賽門鐵克的遙測數(shù)據(jù)顯示,Patchwork組織的攻擊目標(biāo)遍布世界各地。盡管超過半數(shù)的攻擊仍集中在美國,但中國、日本、東南亞和英國同樣受到該組織的攻擊。
攻擊途徑
2015年11月,賽門鐵克首次監(jiān)測到該組織的未遂攻擊行為,但賽門鐵克的遙測數(shù)據(jù)表明,該類活動(dòng)早在2015年初或更早之前便已出現(xiàn)。
Patchwork組織主要通過合法的郵件列表提供商,向選定數(shù)量的目標(biāo)發(fā)送包含攻擊者網(wǎng)站的郵件簡報(bào)。攻擊者網(wǎng)站的主要內(nèi)容與中國相關(guān),以期望能夠吸引對(duì)此類話題感興趣的目標(biāo)企業(yè)。這些網(wǎng)站托管在與郵件列表提供商相同的網(wǎng)域中。值得注意的是,每個(gè)網(wǎng)站專為攻擊目標(biāo)而定制,包含與目標(biāo)行業(yè)相關(guān)的專題。
▲與中國公立醫(yī)院相關(guān)的定制網(wǎng)站
▲與中國國防相關(guān)的定制網(wǎng)站
這些惡意網(wǎng)站中包含鏈接到托管于不同網(wǎng)域上的惡意文件。這些網(wǎng)域注冊(cè)所使用的名稱則偽裝成合法的中國情報(bào)來源。Patchwork攻擊活動(dòng)中所使用的幾個(gè)主要網(wǎng)域托管于兩臺(tái)服務(wù)器上,IP 地址為212.83.146.3和37.58.60.195。
這些網(wǎng)站主要托管兩種不同的惡意文件:一種為PPT文件(.pps),另一種為包含Word.doc擴(kuò)展名的富文本文件。
PPT文件利用Microsoft Windows OLE軟件包管理程序遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2014-4114),該漏洞在2014年10月曾被用于針對(duì)美國和歐洲的Sandworm攻擊。富文本文檔通常利用Microsoft Office內(nèi)存損壞漏洞(CVE-2015-1641),該漏洞已于2015年4月完成修補(bǔ)。此外,賽門鐵克同樣確認(rèn)了一個(gè)正在被攻擊者利用的舊漏洞:Microsoft Windows公共控件 ActiveX空間遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2012-0158)。
根據(jù)賽門鐵克安全響應(yīng)團(tuán)隊(duì)所確認(rèn)的信息,這些文檔包含來自合法網(wǎng)站的公開內(nèi)容副本,話題涉及軍隊(duì)及國防、醫(yī)療、海事爭端,甚至惡意軟件刪除等。
惡意PowerPoint文件
PPT文件通常利用Microsoft Windows OLE軟件包管理程序遠(yuǎn)程代碼執(zhí)行漏洞 (CVE-2014-4114),但該特定攻擊活動(dòng)所利用的漏洞與過去觀察到的類似漏洞利用攻擊略微不同。這類攻擊利用了補(bǔ)丁的一項(xiàng)缺陷,即補(bǔ)丁只用于警告用戶,而并非完全阻止惡意軟件感染,如果沒有用戶直接操作。
賽門鐵克安全響應(yīng)團(tuán)隊(duì)發(fā)現(xiàn),使用PowerPoint 2016版本打開該文件時(shí)一切正常,但如果使用舊版本PowerPoint打開該文件,電腦系統(tǒng)便會(huì)彈出安全警告,詢問用戶是否想要打開驅(qū)動(dòng)程序.inf,這根據(jù)當(dāng)下環(huán)境,例如操作系統(tǒng)的版本和執(zhí)行應(yīng)用的補(bǔ)丁。
▲用早于2016年的PowerPoint版本打開.pps文件時(shí),會(huì)彈出該提示
如果用戶選擇打開該文件,就會(huì)使計(jì)算機(jī)受到入侵。但如果用戶選擇不打開,計(jì)算機(jī)則不會(huì)受到感染。盡管未執(zhí)行該文件,Backdoor.Enfourks木馬程序依然會(huì)被放入臨時(shí)目錄中,這將給攻擊目標(biāo)造成潛在的感染風(fēng)險(xiǎn)。
賽門鐵克安全響應(yīng)團(tuán)隊(duì)已經(jīng)在實(shí)驗(yàn)室測試的所有PowerPoint版本中證實(shí)了這一問題。用戶應(yīng)該手動(dòng)刪除任何潛在的拖放文件,此類文件的名稱通常為“sysvolinfo.exe”。
惡意 Word.doc 文件
除.pps文件外,攻擊者還使用富文本文件發(fā)送惡意軟件。安全研究人員曾報(bào)告,這些文件利用CVE-2012-0158漏洞進(jìn)行感染。此外,賽門鐵克還注意到,CVE-2015-1641漏洞同樣正被用于感染Backdoor.Steladok木馬程序。
主要有效載荷
攻擊者主要將兩種惡意軟件嵌入.doc和.pps文件中。通常,攻擊者將Backdoor.Enfourks木馬程序嵌入PPT文件中,該木馬為自動(dòng)安裝的可執(zhí)行程序,充滿大量無意義的數(shù)據(jù),其主要目標(biāo)是32位系統(tǒng)。而.doc文件則嵌入Backdoor.Steladok程序木馬。
盡管兩種后門木馬都需要等待攻擊者的命令才會(huì)采取行為,但它們卻能夠搜索文件,并在激活后將文件上傳到指定服務(wù)器。
防御措施
賽門鐵克建議用戶采取以下措施,抵御Patchwork組織的攻擊:
· 及時(shí)刪除收到的任何可疑郵件,特別是包含鏈接或附件的郵件。魚叉式網(wǎng)絡(luò)釣魚郵件經(jīng)常被用于引誘受害者打開惡意文件;
· 及時(shí)更新操作系統(tǒng)和其它軟件,軟件更新通常會(huì)對(duì)新發(fā)現(xiàn)并可能被攻擊者利用的安全漏洞進(jìn)行修補(bǔ);
· 定期更新安全軟件,防御惡意軟件的新變種。
賽門鐵克安全防護(hù)
賽門鐵克和諾頓產(chǎn)品已經(jīng)檢測出以下Patchwork組織所使用的惡意軟件:
-- 防病毒程序:
Bloodhound.RTF.3
Trojan.PPDropper
Backdoor.Enfourks
Backdoor.Steladok
Backdoor.Steladok!g1
Trojan.Gen.2
Infostealer
入侵預(yù)防系統(tǒng):
System Infected: Backdoor.Steladok Activity
System Infected: Backdoor.Enfourks Activity
-- 攻擊指示:
以下詳細(xì)信息為Patchwork組織可能對(duì)計(jì)算機(jī)實(shí)施攻擊的可疑域名、IP地址和文件:
可疑域名與IP地址:
chinastrats.com
epg-cn.com
extremebolt.com
info81.com
lujunxinxi.com
militaryworkerscn.com
milresearchcn.com
modgovcn.com
newsnstat.com
nudtcn.com
socialfreakzz.com
81-cn.net
cnmilit.com
nduformation.com
expatchina.info
info81.com
climaxcn.com
expatchina.info
miltechcn.com
miltechweb.com
securematrixx.com
46.166.163.242
212.129.13.110
▲與攻擊活動(dòng)相關(guān)的惡意PPT文件
▲與攻擊活動(dòng)相關(guān)的惡意富文本文件
▲與攻擊活動(dòng)相關(guān)的有效負(fù)載
京公網(wǎng)安備 11010502049343號(hào)