當心APT搞鬼!
在過去的十年裡,APT的針對性攻擊已遍佈印度各地,範圍橫跨了一般個人和企業組織。 印度地區的技術開發環境、地緣關係、具有包容力與自由度的憲政體制,以及快速成長的經濟實力,大大引起網路攻擊者的覬覦而將其列為攻擊目標。 APT群組的攻擊清單已長期鎖定印度的相關組織。 目前已知的APT攻擊包括Gh0stNet、 Shadownet、 Enfal actor、 Red October, NetTraveler、 LuckyCat actor、 Turla APT、 Mirage actor、 Naikon crew。 這些攻擊案例數量相當龐大。 在特殊案例中,我們已經發現到一些新的惡意技術,包括行動裝置的滲透攻擊、針對蘋果裝置的特定攻擊、各種有效的水坑式攻擊和常見干擾行為,我們希望能透過這些APT攻擊找出主要的攻擊模式與行為。 最近在3月,我們發現到針對印度政務機關發動可能影響財經政策的惡意攻擊。 這起攻擊事件使用特殊WMI技術進行的惡意攻擊已持續關注印度組織好幾年,並且攻擊行為目前仍然有效存在。 這類型的元件會呼叫WMIGhost 或 Shadow。 這些攻擊者,就像其他目前的惡意活動,一般都是重複使用目前地方政治事件,做為魚叉式釣魚主題,來對特定組織機關發動攻擊。 例如,在2014年3月的攻擊事件,就是利用國家能源實驗室和能源部門召開會議的議題來偽造會議通知檔案"India US strategic dialouge press release.doc" (000150415302D7898F56D89C610DE4A9),以進行魚叉式網路釣魚攻擊。 在這當中的點滴式外洩功能和元件運行方式是使用與他們過去相同的手法。 利用"dw20.exe"(803e8f531989abd5c11b424d8890b407) --> "gupdate.exe" (481f8320b016d7f57997c8d9f200fe18) 和 "~tmpinst.js" (6a279a35141e9a7c73a8b25f23470d80) 漏洞成功進行外洩傳輸。 這項指令碼執行的WMI元件能與WordPress重新導向服務溝通,開啟後門連線到後端的控制伺服器以進行進一步的指令操作。 WMIGhost攻擊通常會搭配其他惡意程式一同攻擊目標對象 - 印度。 另一則在今年發起的WMIGhost活動,是有關軍事機密的詐騙文件“2009-2047美國空軍無人飛機系統的飛行計劃.doc”被同時發送到多個印度目標對象來進行攻擊。 我們觀察到攻擊目標範圍已有擴大的跡象,從政府和軍事單位、非政府組織、軍事承包商和技術開發商…等等, 不斷的蔓延開來。 以現今的惡意組織行動來說,NetTraveler是屬於最大宗的,並且在許多方面得手最多外洩資料。 NetTraveler花費少量的精神和關注,即取得印度組織的整體資料。 遭受NetTraveler竊取資料的受害者遍佈全球各地,其中有許多受害者位於印度地區。 從先前針對印度發佈的釣魚案例資料顯示,這些情資包含有關當地的政治議題,以及目前發佈的時間: 在同一時刻,其他惡意行動也正持續從印度地區挖掘更多的資料情報。 印度各個層級單位所要擔憂面臨的是,一場沒有止息的網路釣魚與惡意攻擊行動。 資安知識不可少,小心謹慎保荷包!掌握個人資訊安全,湛揚科技將與您同步關心。 【文章來源:https://securelist.com/blog/incidents/64876/haunted-by-apt/ securelist 主題:當心APT搞鬼 發文時間:2014/07/22