趨勢科技發現了一個正在進行中的高級持續性滲透攻擊(APT),可將其稱之為“LURID”。該攻擊已經成功入侵了位于61個不同國家和地區的1465臺電腦。趨勢科技已經從中確定了47個受害者,包括外交單位、政府部門,甚至與太空工程有關的政府機構和公司,以及研究機構。
受害最深的國家是俄羅斯、哈薩克斯坦、越南,以及其他一些國家,其中以獨聯體國家居多。
這次特殊的APT攻擊事件包括超過300次惡意的目標攻擊,攻擊者在攻擊用的惡意軟件中嵌入了一個獨特的識別特征以供監視。趨勢科技對于這次攻擊事件的分析顯示,攻擊者所選擇的對象具有特定的地域性,也是針對某些特定的團體。總的來說,攻擊者通過一個命令和控制殭尸網絡,用了15個域名和10個活躍的IP位址,以確保能持久控制這個由1465個受害者組成的殭尸網絡。
“Lurid Downloader”通常也被稱為“Enfal”,是一個眾所周知的惡意軟件家族,不過它并不是一般網絡犯罪分子可以買得到的犯罪工具包。這個惡意軟件家族在過去曾被用來針對美國政府機構和非政府組織發動攻擊。然而現在這次特殊的攻擊網絡似乎和過去的攻擊活動之間沒有直接關系。
APT越來越頻繁。目標通常會收到一封電子郵件,誘導他打開附件。這個由攻擊者添加的附件內嵌入了惡意程序代碼,可以攻擊常用軟件的漏洞,例如Adobe Reader(PDF)和微軟Office(DOC)。
這些漏洞攻擊的目的是偷偷地在目標電腦上執行惡意軟件,這樣就可以讓攻擊者獲得電腦控制權,并訪問數據。隨后攻擊者可能會入侵目標所處的整個網絡,而且通常可以長時間地控制受害者電腦。最終,攻擊者會找到并且取得受害者所處網絡內部的敏感數據。
解析攻擊
高級:這是一個正在進行的連續目標攻擊,會使用各種針對Adobe Reader漏洞的惡意程序代碼,包括CVE - 2009 - 4324,CVE - 2010 - 2883,以及利用RAR壓縮文件夾帶惡意的屏幕保護程序。
除了攻擊進入的手段外,“LURID”惡意軟件會在受害者的電腦上執行,并連接到命令和控制服務器。攻擊者并不總是利用零時差弱點攻擊,很多時候往往會利用舊的、可靠的漏洞。而保留零時差弱點攻擊則可以針對那些進行定時更新與強化的目標。當我們找出那些被用在零時差弱點攻擊的樣本后,攻擊者在這些攻擊活動中用來做識別的特征就可以當作指標了。
持續性:在趨勢科技的研究中,我們發現惡意軟件用了兩種不同的持續性設計。其中一個版本會將自己安裝成Windows服務,以確保持續性;另外一個版本則會將自己復制到系統文件夾,并且將一般的啟動程序文件夾變成它所建立的文件夾。接著會將所有常用的自動啟動項目和惡意程序本身復制到啟動文件夾,以確保自動運行。此外,我們已經可以將惡意軟件和受害者根據事件組織到一起(惡意軟件進行通訊時會帶有一定特征,就跟宣傳活動一樣),這樣就可以追蹤到是誰被哪個惡意軟件給感染了。
威脅:惡意軟件從被感染的電腦上收集數據,并通過HTTP POST發送給控制服務器。通過與控制服務器進行通訊,攻擊者能夠給被感染的電腦發出各種命令。這些命令使得攻擊者可以發送和接收文件,或是啟動受害系統的遠程命令行窗口。攻擊者通常會從被害電腦中列出目錄清單,并竊取數據(例如特定的XLS文件)。趨勢科技的研究人員已經取得了一些指令,但沒有獲得實際文件內容。
從命令服務器所取得的數據來看,趨勢科技可以確認以下信息:
前10個受害國家(根據2272個IP地址確定):
和以往一樣,很難確定誰是這一連串攻擊背后真正的黑手。因為許多信息都很容易被假造,例如IP地址和域名的注冊資料。這主要是為了誤導研究人員相信這些攻擊應該由某個特定團體負責。
雖然趨勢科技的研究沒有顯示出這次攻擊的目標是針對哪些信息,但我們能確定的是,在某些情況下,攻擊者試圖竊取特定的文件數據和電子表格。
通過揭露“Lurid”網絡,趨勢科技希望能讓大家了解這類攻擊的程度和頻率,以及傳統防御措施面對目標攻擊時所遇到的挑戰。
了解惡意軟件的目標攻擊如何運作,可以有效幫助加強防御策略。包括了解攻擊背后的幕后黑手所使用的工具、策略和步驟的發展趨勢。通過有效利用來自外部和內部人士所揭露的威脅情報,加上通過信息安全工具進行強化的人為分析,企業可以更好地檢測和避免這種針對性攻擊所帶來的威脅。
注釋:作者David Sancho 與 Nart Villeneuve現為趨勢科技資深威脅研究員。
京公網安備 11010502049343號