網絡安全公司Proofpoint稱某個此前曾與中國存在關聯的黑客組織一直在利用最近剛剛得到修復的.NET漏洞攻擊美國各組織機構(包括造船企業以及與軍方有關的高校研究中心)。
黑客組織在攻擊活動中慣用漏洞該黑客組織因利用名為“NanHaiShu”的遠程訪問木馬(簡稱RAT)而聞名,且至少自2014年以來就一直相當活躍。過去幾年當中,該組織將矛頭指向與海運事務相關的美國與西歐各機構,包括多家海軍國防承包商以及研究機構。
F-Secure公司去年發布的一份報告指出,該組織所發起的各項攻擊活動實際上專門針對2016年“南海仲裁案”鬧劇中參與常設仲裁庭審判的各參與方——菲律賓司法部、亞太經合組織APEC峰會組織者、國際律師事務所( 美國福利·霍格律師事務所)。報告中包括幾項表明NanHaiShu惡意軟件確實擁有中國“血統”的證據。
9月:利用.NET安全漏洞CVE-2017-8759該組織的最新一輪攻擊由Prrofpoint公司于今年9月中旬發現,其向一家美國造船企業以及一座與軍方相關的美國高校研究中心發送魚叉式釣魚郵件。這些郵件當中附有可利用.NET安全漏洞CVE-2017-8759(SOAP WSDL解析器代碼注入漏洞)的文檔,然而該漏洞已經在攻擊發動前幾天就已被微軟方面修復。但在微軟發布修復補丁之前,該項漏洞已經被某中東威脅組織用于傳遞間諜軟件。
8月:利用CVE-2017-0199漏洞Proofpoint公司還發現,該黑客組織早在今年8月初就曾經發起多次攻擊,并利用CVE-2017-0199漏洞(Petya勒索病毒也利用該漏洞),這項Office安全漏洞此前同樣曾被其它組織所使用,并由微軟公司于今年4月發布補丁完成修復。
這些攻擊活動主要針對多家國防承包商,且其中具體采用了惡意微軟Publisher文件、PowerPoint演示文稿以及專門仿冒軍艦與潛艇制造廠商的域名。
安全公司的研究人員對這些攻擊事件作出了分析,有研究人員指出該黑客組織目前已經開始將關注點轉向韓國。
除了NanHaiShu之外,這批攻擊者還曾經利用“Orz”后門——該后門曾先后被用于早期攻擊以及2017年8月的最新攻擊活動,且配合SeDLL與MockDLL等加載器外加Cobalt Strike滲透測試工具。
在某些情況下,研究人員們注意到該組織還會利用目標機構當中的已入侵郵件帳戶將惡意附件發送給同機構內的其他對象,還利用被劫持的服務器實施命令與控制(簡稱C&C)操作。
Prrofpoint公司的研究人員們在一篇博文中解釋稱,“這些工具、技術與目標始終貫穿于其工作當中,特別是考慮到他們對海軍與海上防務目標的關注以及所使用的定制化后門。研究人員提醒符合該黑客組織目標的特征的機構應當特別警惕看似來自外部合法實體、但卻不請自來的電子郵件。”
京公網安備 11010502049343號