深入剖析某国外组织针对中国境内企业的APT攻击(CVE-2015-8651)

怪狗 2016-7-29 HACK 0 0

  2015年12月31日,微步在线对一起利用Flash零日漏洞的APT攻击做了分析和预警,并通过溯源分析确定了其幕后的黑客组织为“DarkHotel”。此后,通过我们的持续监控跟踪,发现DarkHotel的定向鱼叉式攻击依然在继续,主要目标为我国境内企业及其管理层人员,且有多起成功攻击案例。因此微步在线决定进一步披露攻击中所利用的手段和技术,并全面公开相应的威胁情报IOC(攻陷指标),与业界共同携手抵御来自境外势力的APT攻击

  

深入剖析某国外组织针对中国境内企业的APT攻击(CVE-2015-8651)

  0x00 攻击概况

  微步在线的监测数据和分析显示,此次DarkHotel发起的定向攻击从2015年11月起一直持续到现在,被攻击的国家地区包括:

  中国

  俄罗斯

  朝鲜

  

深入剖析某国外组织针对中国境内企业的APT攻击(CVE-2015-8651)

  同时,我们注意到这个境外组织对中国存在异乎寻常的兴趣和关注,可以认为中国是它主要的攻击目标之一,除本次行动外:

  2014年卡巴斯基发现该组织利用Flash 0day(CVE-2014-0497)对中国境内的3个163.com邮箱用户进行定向攻击;

  在之前的攻击中,该组织使用了163pics.net、163services.com作为C2C域名,此次又使用manage-163-account.com的C2C域名,这说明攻击者对中国有一定了解并且尝试在特殊环境下进行结合社会工程学进行鱼叉式攻击。

  0x01攻击渠道

  此次攻击的渠道是通过鱼叉式钓鱼邮件定向发给被攻击对象。整体流程如下图:

  

深入剖析某国外组织针对中国境内企业的APT攻击(CVE-2015-8651)

  邮件附件的word 文档中内嵌恶意的SWF 链接,该SWF exploit文件的metadata如下。根据其metadata推测,此攻击文件生成于2015年11月25日:

  

深入剖析某国外组织针对中国境内企业的APT攻击(CVE-2015-8651)

  点击恶意的SWF链接将触发整数溢出漏洞,该漏洞正是12月28日被Adobe修复的CVE-2015-8651,利用成功后跳转到下面这段shellcode:

  

深入剖析某国外组织针对中国境内企业的APT攻击(CVE-2015-8651) 
 
  shellcode 被执行后将下载的恶意木马updata.exe保存在被感染系统的%temp%路径下,RC4解密后,再利用Windows自带的echo命令添加可执行文件的“MZ”头来构建有效的PE文件,然后updata.exe通过调用mshta.exe 进一步下载并执行恶意代码,盗取系统的信息。

原文地址:http://www.77169.com/hack/201601/223761.shtm

转载请注明来自华盟网,本文标题:《深入剖析某国外组织针对中国境内企业的APT攻击(CVE-2015-8651)》

喜欢 (0) 发布评论
发表评论