美国时间2013年12月9日,FireEye公布了一个最新的APT***行动,并取名为K3chang。这个***行动被NYTimes,路透社,FT纷纷报道。
据fireeye报告,这个***行动最新的一次***针对的是多个欧洲国家的外交事务部门。这个***组织从2010年开始活跃,并且***操作来自中国( the K3chang attackers are operating out of China)。从今年8月份开始他们以moveistar为行动代号,利用叙利亚危机为幌子,对欧洲多国的外交部门进行***,而这个时间正值在俄罗斯召开的旨在解决叙利亚危机的G20峰会之前。
Fireeye并未说k3chang是中国政府组织的,只是说operating within China,很有技术性。不过NYTimes,路透社,FT就没那么遣词酌句,直接称***来自“有政府作后台的中国***”,并指出这“表明中国和美国争夺网络情报全球霸主地位的角力愈演愈烈”(引用自FT)。
Fireeye为了论证***者的行为来自中国做了很多论证,并提供了多个论据。包括***者电脑的操作系统是中文版的,***工具有公文版的,CnC的很多域名是在中国申请的(新网互联),包括中国风格的gmail/yahoo帐号(例如xiaoxiao_222@yahoo.com)。
回到技术层面,***者采用的手法是经典的鱼叉式钓鱼(spear phishing,我称之为定向钓鱼)。受害者会收到一封有关叙利亚危机升级的邮件,作为外交部门的雇员,又正值G20峰会之时,你很难抗拒这个看一下的诱惑。而一旦你看了这个邮件,并且正好电脑存在这个相关漏洞(包括当时的java 0-day CVE-2012-4681,WORD漏洞CVE-2010-333,以及PDF漏洞CVE-2010-288),那么恶意代码就植入了。接下来,就是通过CnC进行控制和信息刺探了。Fireeye声称他们拿下了23个有关的CnC服务器,并且发现有21个受害者跟这些CnC通讯。
仅就moviestar***而言,***者利用了一个称作BS2005的恶意代码。邮件附件名诸如“US_military_options_in_Syria.zip”,“US_military_options_in_Syria.pdf.exe”。
而在K3chang的其他***中,还有的邮件附件是关于伦敦2012年奥运会的,以及法国前总理萨科齐的老婆的裸照。
比较值得一提的是这个组织在以往的代号为newtiger的***中,还发出过一个McAfee的威胁报告为幌子的恶意附件。
下图是他们掌握的CnC的连接拓扑:
【参考】
FireEye:数字面包屑——识别APT***来源的7大线索
Symantec:揭秘Hidden Lynx组织的APT***行动
TrendMicro:新的APT***针对亚洲和欧洲政府组织,包括中国媒体机构
TrendMicro:针对以色列美国等国的基于Xtreme RAT的APT***
McAfee:High Roller金融欺诈行动采用了创新性技术
TrendMicro:针对东亚政府和台湾电子企业的APT***IXESHE
转载于:https://blog.51cto.com/yepeng/1339188
扫一扫
3188
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
