*聲明:出于研究參考目的,本文為T(mén)hreatConnect報(bào)告編譯,文中涉及的觀點(diǎn)和立場(chǎng)不代表本網(wǎng)站觀點(diǎn)和立場(chǎng)。
這是最好的時(shí)代,這是最壞的時(shí)代。最近,俄羅斯對(duì)美國(guó)和其它國(guó)際組織開(kāi)展的APT攻擊占據(jù)新聞?lì)^條,而在聚光燈外,中國(guó)的APT攻擊也異常活躍。2016年6月,中國(guó)APT組織對(duì)歐洲某無(wú)人機(jī)電子設(shè)備公司和法國(guó)某能源管理公司在美子公司進(jìn)行了定向網(wǎng)絡(luò)攻擊,其中,法國(guó)某能源管理公司長(zhǎng)期為美國(guó)政府和國(guó)防部開(kāi)展基礎(chǔ)設(shè)施建設(shè),屬于美國(guó)防承包商。由于涉及無(wú)人機(jī)技術(shù)和美國(guó)軍方,這些攻擊明顯出于經(jīng)濟(jì)利益和軍事情報(bào)目的。
利用ThreatConnect入侵模型,我們圍繞攻擊使用的惡意軟件進(jìn)行分析,發(fā)現(xiàn)其中多個(gè)域名調(diào)用與2015年與中國(guó)相關(guān)的Anthem和OPM攻擊事件相關(guān)。雖然利用現(xiàn)有證據(jù),無(wú)法準(zhǔn)確歸因到某個(gè)中國(guó)APT組織,但我們?nèi)愿叨葢岩墒侵袊?guó)國(guó)家支持黑客所為。
攻擊技術(shù):HttpBrowser后門(mén)
2016年6月8日,我們捕獲了MD5值為3BEA073FA50B62C561CEDD9619CD8425的惡意程序,該惡意程序?yàn)镠ttpBrowser后門(mén)變體,是Emissary Panda(APT27TG-3390)、Dynamite Panda(APT18WekbyTG0416)等中國(guó)APT組織使用的攻擊后門(mén)。也有一些調(diào)查報(bào)告把HttpBrowser后門(mén)稱(chēng)為Gtalk木馬,根據(jù)趨勢(shì)科技的分析,HttpBrowser后門(mén)和其它RAT程序類(lèi)似,在目標(biāo)系統(tǒng)內(nèi)生成一個(gè)反向連接控制進(jìn)程,實(shí)現(xiàn)上傳下載文件、鍵盤(pán)記錄等功能。一些殺毒軟件對(duì)HttpBrowser后門(mén)的檢測(cè)率很低,僅能憑其啟發(fā)式特征來(lái)發(fā)現(xiàn)識(shí)別。
HttpBrowser后門(mén)存在多種變體,而在該樣本中,通過(guò)網(wǎng)絡(luò)流量包分析顯示,User-Agent原本字段“HttpBrowser/1.0”被替換為“Mozilla/5.0 (Windows; U; Windows NT 5.2) Gecko/%lu Firefox/3.0.1”,其中%lu為格式修飾符,實(shí)現(xiàn)在User-Agent字段追加一個(gè)無(wú)符號(hào)長(zhǎng)整型數(shù)據(jù)。
該惡意程序使用以下查詢(xún)字段向遠(yuǎn)程C&C端發(fā)送受害者系統(tǒng)信息:
computer=
攻擊架構(gòu):域名adobesys[.]com和其它攻擊使用的注冊(cè)信息
利用ThreatConnect系統(tǒng)WHOIS查詢(xún)功能,發(fā)現(xiàn)惡意程序回連域名adobesys[.]com的大量注冊(cè)信息,如通過(guò)中國(guó)網(wǎng)絡(luò)服務(wù)商注冊(cè),注冊(cè)郵箱為li2384826402[@]yahoo[.]com,而該郵箱與2015年攻擊美國(guó)Anthem和OPM的APT組織DEEP PANDA高度關(guān)聯(lián),進(jìn)一步為此次攻擊事件提供了重要證據(jù)。
經(jīng)分析,adobesys[.]com域名對(duì)應(yīng)兩個(gè)IP地址:173.231.11[.]24和185.92.222[.]81;攻擊者使用的另一個(gè)域名newsoft2[.]com對(duì)應(yīng)IP地址185.92.222[.]81,WHOIS信息顯示,newsoft2[.]com通過(guò)中國(guó)地區(qū)網(wǎng)絡(luò)利用郵箱omyname@gmail[.]com進(jìn)行注冊(cè)。攻擊者利用newsoft2[.]com配合adobesys[.]com進(jìn)行網(wǎng)絡(luò)滲透活動(dòng)。
攻擊目標(biāo):兩家公司
在該案例中,攻擊者只關(guān)注小范圍的特定目標(biāo)。我們與合作伙伴通過(guò)網(wǎng)絡(luò)流量分析和攻擊域名監(jiān)測(cè)發(fā)現(xiàn),中國(guó)APT組織使用HttpBrowser后門(mén),對(duì)歐洲某無(wú)人機(jī)設(shè)備公司的系統(tǒng)控制工程師發(fā)起了定向攻擊,另外,美國(guó)國(guó)防部承包商的法國(guó)某能源管理公司在美分部也成為了這次攻擊的目標(biāo),該公司長(zhǎng)期為美方提供能源管理和SCADA系統(tǒng)解決方案。
在攻擊發(fā)現(xiàn)后,我們及時(shí)通知了這兩家攻擊公司,但目前還暫時(shí)無(wú)法確定是否造成了數(shù)據(jù)泄露。
攻擊者:老練的“熊貓”組織
雖然此次攻擊手法與Emissary Panda和Dynamite Panda高度一致,但我們還不能確定攻擊者具體屬于哪支中國(guó)APT組織。Emissary Panda和Dynamite Panda都以國(guó)防和航空航天領(lǐng)域?yàn)橹饕裟繕?biāo),Emissary Panda也曾對(duì)能源領(lǐng)域開(kāi)展過(guò)入侵攻擊。根據(jù)SecureWorks報(bào)告,Emissary Panda通常以?huà)祚R攻擊、策略式網(wǎng)頁(yè)攻擊或水坑攻擊為主要技術(shù),針對(duì)特定組織機(jī)構(gòu)人員實(shí)施定向滲透。另外,魚(yú)叉式釣魚(yú)郵件也是Emissary Panda使用的攻擊手段。
社會(huì)-政治因素:攻擊動(dòng)機(jī)討論
在2015年中美雙方承諾遵守反對(duì)經(jīng)濟(jì)間諜的協(xié)議以來(lái),HttpBrowser后門(mén)樣本的出現(xiàn)可能讓人們大失所望,雖然攻擊目標(biāo)為法國(guó)公司,但其中涉及美國(guó)利益,抑或者中國(guó)可以聲稱(chēng),這屬于軍事間諜范疇,并不違反去年中美協(xié)定。
相比之下,針對(duì)歐洲無(wú)人機(jī)設(shè)備公司的攻擊就屬于典型的經(jīng)濟(jì)間諜活動(dòng)。雖然中國(guó)的大疆占據(jù)全球70%的民用無(wú)人機(jī)市場(chǎng),但隨著無(wú)人機(jī)商業(yè)經(jīng)濟(jì)的持續(xù)增長(zhǎng),可能不得不促使中國(guó)尋求與其它競(jìng)爭(zhēng)對(duì)手抗衡的方法。無(wú)人機(jī)公司的系統(tǒng)控制工程師作為此次攻擊的開(kāi)始,如果進(jìn)一步滲透,攻擊者會(huì)獲取更多無(wú)人機(jī)相關(guān)的知識(shí)產(chǎn)權(quán)、敏感資料和產(chǎn)品路線(xiàn)圖等信息,之后,通過(guò)竊取資料,中國(guó)可以為其無(wú)人機(jī)企業(yè)獲得更多經(jīng)濟(jì)優(yōu)勢(shì):
整合競(jìng)爭(zhēng)對(duì)手能力,縮小中國(guó)無(wú)人機(jī)技術(shù)差距
竊取競(jìng)爭(zhēng)對(duì)手的技術(shù)創(chuàng)新,先于競(jìng)爭(zhēng)對(duì)手實(shí)現(xiàn)產(chǎn)品
與競(jìng)爭(zhēng)對(duì)手搶占金融市場(chǎng)或市場(chǎng)定價(jià)
了解競(jìng)爭(zhēng)對(duì)手的商業(yè)和研究計(jì)劃
經(jīng)濟(jì)間諜活動(dòng)的演化?
近年來(lái),雖然中國(guó)的網(wǎng)絡(luò)經(jīng)濟(jì)間諜活動(dòng)不太明顯,但可以肯定的是這并沒(méi)有結(jié)束,這些攻擊活動(dòng)可能已經(jīng)演變成鞏固其市場(chǎng)地位的方式存在。從某種程度上來(lái)說(shuō),鞏固中國(guó)公司在國(guó)際市場(chǎng)上占據(jù)主導(dǎo)地位的方式,可能是其經(jīng)濟(jì)間諜活動(dòng)的轉(zhuǎn)向。就像中國(guó)長(zhǎng)期針對(duì)美國(guó)鋼鐵企業(yè)開(kāi)展的APT攻擊一樣,讓其世界鋼鐵產(chǎn)量占比從2000年的15%上升到了2015年的50%。
京公網(wǎng)安備 11010502049343號(hào)