[APT攻击]趋势科技捕获一次APT攻击活动

趋势科技曾经在2013年下半年度目标攻击综合报告里指出,发现了好几起APT攻击-高级持续性渗透攻击 (Advanced Persistent Threat, APT) /目标攻击相关的攻击活动。

趋势科技目前正在监视一起专门针对行政单位的攻击活动。趋势科技将这起特定攻击活动命名为PLEAD,来自于其相关恶意软件所发出后门指令的字母。

此次攻击活动的进入点是通过电子邮件。在PLEAD攻击活动里,攻击者利用RTLO(从右至左覆盖)技术来欺骗目标收件者将被解开的档案误认成非执行档。(编按:比如将文件名xxx.fdp.scr显示成xxx.rcs.pdf)

在某些PLEAD攻击活动的相关案例里正确地运用了RTLO技术,如同一起针对某部会的案例,声称是关于技术顾问会议的参考数据:

图一:寄送至某政府单位的电子邮件

一旦.7z附加档案被解开,收件者会看到两个档案,看来像一个PowerPoint文件和一个Microsoft Word档案。RTLO技术基本上是利用支持由右到左书写语言的Unicode字符,可以从第一个档案清楚地看到。事实上是屏幕保护程序档案。

此威胁的主角还包括一个用作诱饵的.DOC文件,图二内的第二个档案,其唯一的作用是增加电子邮件的可信度。

图二:解开的附件文件显示RTLO伎俩作用在.SCR档案上

为了进一步让受害者相信.SCR档案是PPT文件,这个.SCR档案实际上会产生下列PPT档案以充作诱饵。

图三:.SCR产生这个PPT档案作为诱饵

另一封电子邮件伪装成某企业的统计数据:

针对某政府单位的APT 攻击

图四:第二封电子邮件样本,被寄送到不同的政府单位

图五:附件文件解开后发现该档案是个可执行文件

趋势科技还观察到有攻击利用CVE-2012-0158漏洞,这漏洞早在2012年就通过MS12-027修补。此漏洞存在于Windows常用控件中,可以让攻击者执行恶意代码,是目标攻击中所常见到的漏洞。

图六:第三封电子邮件利用漏洞攻击

PLEAD攻击活动的有效载荷通常是后门程序,会先解密自己的程序代码,然后注入其他的程序。不同的样本会安装不同的程序,但通常这些后门程序会从受害者计算机获取下列信息:

1、使用者名称
2、计算机名称
3、主机名
4、目前恶意软件的程序ID

作为恶意份子监控其运作时用来掌握其特定受害者的方法。一旦与远程服务器建立联机,后门程序会执行其指令:

1、检查已安装的软件/代理服务器设定
2、列出驱动程序
3、取得档案
4、删除档案
5、远程控制接口

这些指令都是典型的侦察活动。

趋势科技还在进行与PLEAD攻击活动相关的C&C和恶意工具的研究,将会提供关于此攻击活动更多的技术细节。目前看来,和此攻击活动相关的攻击在2012年就已经开始出现。

[via iqushi]

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2014-06-05

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏安恒信息

漏洞预警:Apache Struts2 漏洞凶猛来袭 安恒信息提醒用户及时关注并防护

六月份Apache Struts2的远程代码执行漏洞风暴刚刚过去,今日,国外公共漏洞和暴露平台CVE再次公布了Apache Struts2两个严重漏洞(CVE-...

29560
来自专栏DHUtoBUAA

通过ODBC接口访问人大金仓数据库

  国产化软件和国产化芯片的窘境一样,一方面市场已经存在性能优越的同类软件,成本很低,但小众的国产化软件不仅需要高价买入版权,并且软件开发维护成本高;另一方面,...

24500
来自专栏FreeBuf

围观2016年最活跃的“顶级Exploit Kit”

Exploit Kit作为传播犯罪软件的重要工具,一直深受网络犯罪分子喜爱。俗话说知己知彼百战百胜,面对与时俱进,不断升级更新的Exploit Kit,我们必须...

23750
来自专栏FreeBuf

一款玩俄罗斯轮盘的勒索程序:TeslaWare

据Emsisoft的安全研究员xXToffeeXx介绍,一款名为TeslaWare的勒索程序正被黑客在网上进行推广和出售。xXToffeeXx告诉我们,他已经获...

30640
来自专栏FreeBuf

警惕,WinRAR和TrueCrypt安装程序在用户电脑中植入恶意程序

WinRAR解压缩软件在中国有非常大的保有量,中国也是WinRAR的重要市场。不过最近卡巴斯基实验室的研究报告却让我们惊出一身冷汗,某些来源的WinRAR和Tr...

28260
来自专栏安恒信息

国家.cn根域名服务器遭遇有史最大的DDOS攻击

25日凌晨,“.CN”域名经历“惊魂一夜”,多家网站及新浪微博客户端无法登录。中国互联网络信息中心(CNNIC)新浪认证微博25日10时30分许确认了...

48160
来自专栏企鹅号快讯

甲骨文MICROS系统再曝漏洞 POS终端网络安全谁买单?

“用指尖改变世界” ? 关于POS终端的安全问题并不是什么新鲜事!在最近的几年里,有许多针对POS终端的黑客攻击活动或者安全漏洞问题被报道。 考虑到此类设备与个...

21090
来自专栏腾讯云安全的专栏

腾讯云发布一键封堵工具,完美规避 NSA 黑客工具影响

24070
来自专栏DT数据侠

4500个热门景点数据,告诉你国庆长假的正确打开姿势

国庆出游,确实是个让人头痛的问题。今天这位数据侠,不仅用数据告诉你国庆如何成功避开“people mountain people sea”,还手把手带你用Pyt...

10100
来自专栏企鹅号快讯

《网络战争》第59期:暗网暴露 14 亿明文密码库,或成史上最大规模数据泄露案

据外媒报道,美国一家网络情报公司 4iQ 于 12 月 5 日在暗网社区论坛上发现了一个大型汇总数据库,其中包含了 14 亿明文用户名和密码组合,牵涉 Link...

44980

扫码关注云+社区

领取腾讯云代金券