前一阵,我们在《揭秘Patchwork APT攻击:一个与中国南海和东南亚问题相关的网络攻击组织》一文中谈到了这个名叫Patchwork的组织。实际上,卡巴斯基实验室之前也做了相关该组织APT攻击的调查报告(卡巴斯基在报告中将该组织称作Dropping Elephant)。
这两天,赛门铁克安全响应中心也针对Patchwork发起了一份最新的报告。其中谈到Patchwork先前一直是以政府以及与政府相关的组织,为攻击目标的。不过最近Patchwork似乎将攻击目标做了极大扩展,企业现在也需要小心Patchwork APT攻击了!
攻击目标极大扩展
从赛门铁克的追踪情报来看,Patchwork现如今的攻击目标有了极大范围的扩展,不过主要还是针对公共部门和企业。近期Patchwork的一些攻击针对的行业包括:航空、广播、能源、金融、非政府组织、制药、公有企业、出版、软件。
攻击目标的地理位置则也扩展到了美国之外,虽然大约有半数攻击仍然针对美国,但其余攻击针对的国家地区则相对已经比较分散了,包括中国、日本、东南亚、英国等。
而其攻击方式看来并没有太大变化:仍然是向目标发出时事新闻邮件。邮件中会包含攻击者的网站链接,这些网站的内容主要都是相关中国的——用赛门铁克的话来说,这些内容能够“吸引被攻击目标的兴趣”。
作为APT攻击,具有高度针对性是必然的,所以攻击者的不同网站针对不同的目标——网站上的内容肯定也是针对被攻击行业目标做定制的,比如像上面这个网站是相关中国军方的。先前《揭秘APT组织》一文中也提到了这一点。
这些站点会涉及的恶意文件链接,指向不同的域名(似为中国情报机构合法来源注册的域名),其中主要的几个域名均指向两个IP地址:212.83.146.3,37.58.60.195。
依旧通过.pps和.doc文档传播
上面提到的恶意站点主要提供的恶意程序包含两种格式,分别是.pps和.doc文档——其实也就是PowerPoint和Word文档。其中PPT文件利用的是Windows OLE Package Manager远程代码执行漏洞(CVE-2014-4114);而Word文档则利用了Office内存破坏漏洞(CVE-2015-1641)——这个漏洞已经在去年4月份修复;另外还有CVE-2012-0158这样更老的漏洞。
我们之前在文章中已经分析了恶意PPT文件对Windows OLE Package Manager远程代码执行漏洞的利用。在此,如果用户使用较老版本的PowerPoint(PowerPoint 2016之前的版本)打开此处的恶意PPT文件,会弹出一个警告对话框(而非完全禁止恶意程序感染),如下图所示。
这个对话框询问用户是否想要打开driver.inf,根据操作系统版本情况可能会有差异。如果用户在此选择了“打开”,则设备中招。如果选择取消的话,系统就不会被感染。打开PPT文件的话,临时文件夹中就会出现Backdoor.Enfourks木马。恶意Word文件在对CVE-2015-1641漏洞的利用中,则会释放Backdoor.Steladok。
这两个后门木马家族还是需要等待攻击者具体的指令再行动,其具体用途在于对文件进行搜索,将文件上传到指定服务器。尤为值得一提的是(赛门铁克原话是:for unknown reason),两者都会用到百度。
这两只木马通过ping百度服务器的方式来确认网络连接(!!!),并且在注册表中用baidu的名字创建注册表随机启动项。这两个不同的文件实际上包含两套不同的payload,可见开发团队应该不是一个人,甚至有可能是多个开发团队协力(虽然貌似质量不是很高)。
有关恶意程序恶意行为和查杀的详情可以关注先前Cymmetria的赛门铁克的详细报告。
对企业用户的忠告其实还是那几句话,不要打开看起来可疑的邮件,如果邮件中还有附件和链接的话更需要谨慎——毕竟具有高度针对性的钓鱼邮件是网络间谍行动的常规手法;另外就是保持操作系统和软件版本最新,这次的恶意程序主要还是利用一些比较老的漏洞。
原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/57351.html