研究人员表明,在缅甸发觉了一个对于政府机构和国防组织开展攻击的高級互联网特工攻击活动,该攻击活动中采用了一个专业用来执行特工攻击的远程连接专用工具(RAT)。
卡巴斯基研究人员称,对其进一步的分析表明,此次活动是由一个被称作Cycldek(别名Goblin Panda,APT 27和Conimes)的高級持续危害(APT)组织开展的,她们填补说,该组织自2013年至今就一直很活跃性。
本次攻击活动中采用的恶意程序被称作FoundCore,它会容许攻击者开展系统文件操纵、过程控制、捕获截屏和实行随意指令等实际操作。
依据卡巴斯基在周一公布的数据分析报告,这意味着了该组织在攻击的复杂层面拥有很大的发展。研究人员表明,避免恶意程序被电脑杀毒软件开展研究的技术性针对该攻击集团公司而言是第一次应用的。
她们说明说:"有效载荷的头顶部(用于攻击的编码)被彻底分离,仅包括好多个断断续续的函数公式,根据这种做,攻击者促使研究人员针对恶意程序开展反向工程剖析的难度系数大大增加。更主要的是,感柒链的部件是密切藕合的,这代表着单独构件有时候难以乃至不太可能独立开展剖析,那样进而避免 了故意活动被剖析。"
本次攻击活动还采用了动态链接库(DLL)的侧载技术性,当一个有合理合法签字的资料被载入引入了一个故意的DLL时,便会出现这样的事情,那样可以促使攻击者可以绕开网络安全产品的安全防护。
依据剖析称:"在这个近期被看到的攻击活动中,DLL侧载感柒链能破译一个有效载荷的shellcode—FoundCore,它可以促使攻击者可以良好控制被感染的机器设备。"
FoundCore的4个恶意程序进程
感柒链中的最后一个有效载荷是一个远程管理专用工具,它可以使作业者对受害人的设备完成充分的操纵。研究人员称,在这个专用工具强制执行后,恶意程序会运行四个进程。
第一个线程会根据建立服务项目来达到对设备的持续性操纵。
第二个根据更改服务项目的Description、ImagePath和DisplayName等字段名,掩藏服务项目的有关信息。
第三种是为与现阶段过程密切相关的图片设定一个空的访问控制列表(DACL),避免对最底层故意文档的浏览。DACL是组装在Active Directory目标上的一个内部结构目录,它特定了什么客户和组可以浏览该目标,及其它们可以对该目标实行哪种实际操作。
最后一个进程正确引导程序运行并与C2网络服务器创建联接。依据它的配备,它还可以将自身的团本引入到另一个过程中。与网络服务器的通讯可以应用HTTPS或是对初始的TCPtcp协议开展RC4数据加密。
在感柒链中,研究人员发觉FoundCore还安装了2个别的的恶意程序。第一个是DropPhone,用以搜集受害人设备的条件信息内容并将其发送至DropBox。第二个是CoreLoader,协助恶意程序躲避网络安全产品的检验。
卡巴斯基的高級安全性研究员Mark Lechtik在剖析上说:"总体来说,在过去的一年里,大家注意到,很多网络黑客团队为她们的攻击活动都付出了许多的資源,也提升了他俩的工艺工作能力。在这儿,她们提升了大量的搞混技术性及其更加错综复杂的反逆向工程技术。而这也意味着,这种组织很有可能已经方案扩张它们的攻击范畴。"
越南地区变成APT攻击的总体目标
卡巴斯基的解析表明,本次活动中有数十台计算机变成了攻击总体目标,在其中绝大部分(80%)坐落于越南地区。别的总体目标则是在东亚和泰国的。
该企业还发觉,大部分被攻击的设备归属于政府部门或国防单位。与此同时,也有包含外交关系、文化教育或保健医疗以内的单位,也变成被攻击的总体目标。
Lechtik说:"如今来看,此次攻击活动好像大量的是对越南地区当地导致了危害,但将来很有可能会在大量我国大量的地域发觉FoundCore侧门"
卡巴斯基高級安全性研究员Pierre Delcher填补道:"更主要的是,这种网络黑客组织通常会互相共享她们的攻击对策,假如在别的活动中也看到了一样的搞混对策,大家也不会觉得诧异。大家可能紧密监管危害自然环境,找寻相近的异常攻击活动。针对公司而言,她们能做的事儿便是让自身的企业随时随地了解全新的威胁情报,那样它们就明白该注意什么了。"
文中翻譯自:https://threatpost.com/spy-operations-vietnam-rat/165243/倘若转截,请标明全文详细地址。