国产91对白在线,国产精品中文久久久久久久,精品特级一级毛片免费观看

Buckeye網絡間諜組織正將數家中國香港機構作為攻擊目標

責任編輯：editor007

2016-09-09 21:02:43

摘自：賽門鐵克

Buckeye網絡間諜組織又被稱為APT3、Gothic Panda、UPS Team和 TG-0110，該組織已經成立超過五年，并主要針對美國及其他目標國家的企業組織開展攻擊行動。

Buckeye網絡間諜組織又被稱為APT3、Gothic Panda、UPS Team和 TG-0110，該組織已經成立超過五年，并主要針對美國及其他目標國家的企業組織開展攻擊行動。但自 2015年6月起， Buckeye似乎逐漸將攻擊重點轉向中國香港的政府機構。2016年3月至今，該組織集中針對中國香港的相關機構進行惡意攻擊。最近一次攻擊發生在8月4日，Buckeye犯罪組織企圖通過發送惡意電子郵件至被入侵的目標網絡，以實現盜取信息的目的。

通過賽門鐵克與Blue Coat Systems的聯合威脅情報服務，賽門鐵克的安全團隊清晰掌握了Buckeye組織在近幾年的策略演變。這一發現能夠幫助賽門鐵克進一步增強安全防護功能，并幫助企業用戶抵御該組織的攻擊活動。

背景

在 2009 年，賽門鐵克已發現Buckeye針對多個地區的多家機構展開攻擊。Buckeye 曾通過遠程訪問木馬(Backdoor.Pirpi)對一家美國機構的網絡展開攻擊。該犯罪組織通過附帶Backdoor.Pirpi或鏈接的魚叉式網絡釣魚電子郵件對目標進行攻擊。如今，賽門鐵克已經識別出該組織所使用的其他黑客工具。

過去，Buckeye組織因利用零日漏洞進行攻擊而臭名昭著，包括在2010年攻擊中使用的CVE-2010-3962和在2014 年使用的CVE-2014-1776。盡管Buckeye利用其他零日漏洞進行的攻擊也被發現，但這些攻擊活動并未得到賽門鐵克的證實。賽門鐵克安全人員表示，所有已知的或疑似被Buckeye組織利用的零日漏洞均來自Internet Explorer和Flash。

攻擊重心轉變

2015年8月起，賽門鐵克遙測技術發現中國香港的部分計算機感染 Backdoor.Pirpi。2016年3月底至4月初，該惡意程序的感染數量出現大幅增長。不僅如此，賽門鐵克同樣在其他調查中發現與該惡意程序相關的惡意軟件樣本，并從而確定該犯罪組織的攻擊目標為中國香港的政府機構。

在近期的部分攻擊中，Buckeye使用帶有惡意壓縮附件(.zip)的魚叉式網絡釣魚電子郵件，這些電子郵件的壓縮文檔附件中包含帶有Microsoft Internet Explorer標識的Windows快捷方式 (.lnk) 文件。受害者一旦點擊該快捷方式，計算機將會下載Backdoor.Pirpi惡意程序，并在受感染的計算機中執行。

攻擊目標

從 2015 年至今，賽門鐵克發現在不同地區的大約82家組織機構的網絡中發現Buckeye工具，但該現象無法準確反映出Buckeye攻擊組織所感興趣的攻擊目標。賽門鐵克認為，該組織通過采取“廣撒網” 的方式尋找攻擊目標，但只在感興趣的企業機構網絡中保持攻擊活躍度。通過設定監測指標和深入觀察，例如：Buckeye對某機構保持攻擊活躍度超過1天、部署額外工具，針對多臺計算機進行病毒傳播等，賽門鐵克發現Buckeye的攻擊目標主要針對中國香港(13)、美國(3)和英國(1)的17 家組織機構。

Buckeye網絡間諜組織正將數家中國香港機構作為攻擊目標

　　圖1. Buckeye感興趣的攻擊對象地區分布( 2015 年至今)

賽門鐵克的監測數據從2015年開始統計，但值得注意的是，在 2016 年 3 月，針對中國香港的攻擊比例出現大幅增長。2015年中期之前，Buckeye的傳統攻擊目標主要為不同類型的美國和英國組織機構。而在2015年6月，Buckeye的攻擊目標發生巨大轉變，開始攻擊中國香港，并逐漸停止對英國和美國的攻擊。

Buckeye網絡間諜組織正將數家中國香港機構作為攻擊目標

　　圖2. 在不同時期及不同地區中，Buckeye攻擊目標分布圖

惡意軟件和黑客工具

Buckeye攻擊組織采用多種黑客工具和惡意軟件進行攻擊，其中，許多黑客工具為開源應用。此外，為了躲避檢測，Buckeye對這些工具還進行了一定程度的修補或調整。

Buckeye通過使用遠程訪問木馬Backdoor.Pirpi，來讀取、寫入和執行文件與程序，以及收集攻擊目標的本地網絡信息，包括域控制器和工作站等。

Buckeye所采用的黑客工具包括：

Keylogger：Keylogger(鍵盤記錄器)可通過使用命令行參數網絡服務、替換、安裝、注銷進行配置。這些參數可以作為服務被安裝，然后Keylogger開始記錄如thumbcach_96.dbx等加密文件的擊鍵次數。該工具將記錄如thumbcach_96.dbx等加密文件的鍵盤輸入信息。此外，Keylogger還能夠收集MAC地址、IP 地址、WINS、DHCP服務器和網關等網絡信息。

RemoteCMD：RemoteCMD工具類似于PsExec工具，主要用于在遠程計算機上執行命令。用法為：%s shareIp domain [USER INFORMATION|[USER NAME AND PASSWORD]] [/run:[COMMAND]] ，能夠傳遞的命令包括上傳、下載、服務(創建、刪除、開始、停止)、刪除、重命名和 AT。

PwDumpVariant：RemoteCMD工具可以導入lsremora.dll(通常攻擊者將其作為工具箱的一部分一同下載)，并使用GetHash導出DLL文件。該工具可在執行過程中，將自身注入到 lsass.exe中，并通過參數“dig”觸發。

OSinfo：OSInfo是一種通用系統信息收集工具。它具有以下命令行參數幫助指令：

info [options]

[options]:

-d 域

-o 操作系統信息

-t 任務信息

-n 網絡使用信息

-s 分享信息和目錄

-c 連接測試

-a局部和全局組用戶信息

-l局部組用戶信息