交换一下怎么样【黑客组织春龙(Spring Dragon)发起的APT攻击分析 】—-文雅婷,南国论坛,买了否能,1973年今年运程

网络干货 litianseo 8个月前 (07-01) 78次浏览 已收录 0个评论

正文:

  黑客组织春龙(Spring Dragon)发起的 APT 攻击分析  
我们在这里分析下前几年的 APT 案例——黑客组织春龙(Spring Dragon)发起的“Lotus Blossom 行动”。
黑客组织 Spring Dragon
?这个攻击事件来源 2012 年出现的 Elise 代码库的调试字符串的特征(d:\lstudio\projects\lotus\Elise…)。??

在前几年,黑客组织 Spring Dragon 最为人津津乐道的就是对 CVE-2012-0158 漏洞的利用。而如今他们又开始了钓鱼挂马,利用 web 漏洞攻击网站,以及重定向用户的 Flash 升级请求到恶意网站进行水坑攻击。该组织的钓鱼工具包里有 PDF 的 exp,Adobe Flash Player 的 exp,以及从不太出名的 Tran Duy Linh 工具包提取的 CVE-2012-0158 漏洞的 exp。当 Spring Dragon 的 APT 行动把大家的注意吸引到越南的黑客事件上时,我们突然发现他们似乎还准备了混合使用 exp 的战术来攻击越南(VN)、台湾(TW)、菲律宾(PH)等后缀的网站。
攻击案例
接下来,我们来看看几个新的攻击案例

第一个案例
Spring Dragon 的黑客手段可不只有交叉钓鱼,他们也会渗透 WEB 网站做坏坏的事。在某次黑客攻击案例中,他们替换了某网站提供下载的 Myanma 字体的安装包。你可以看到,在上面的图中,在 2012 年 Planet Myanmar 网站曾提供该字体安装包的下载,所有的 zip 文件下载 URL 都指向一个有毒的 zip 安装包:Zawgyi_Keyboard_L.zip。解压这个 zip 文件会释放一个 setup.exe,里面附带了一些后门组件,包括 Elise“wincex. dll” (文件 MD5 值:a42c966e26f3577534d03248551232f3,检测结果:Backdoor.Win32.Agent.delp)。
在受害者无意中启动它时,会向外发出一个典型的 Elise 式 Get 请求:
GET /%x/page_%02d%02d%02d%02d.html
就像上面讨论“Lotus Blossom 行动”的文章里写的那样。
第二个案例
在 2014 年 11 月,还有一个黑客攻击案例是利用 CVE-2014-6332 漏洞的 exp,其中包含一个 VBS 恶意脚本以及变种 payload。在 2012 年 6 月,该组织还在这个网站上挂了了某 PDF 漏洞的 exp(CVE-2010-288),文件名为:“Zawgyi Unicode Keyboard.pdf”。其实在早些时候,他们也曾挂了这个 PDF 漏洞的 exp,只是当时用的名字不一样而已。
在 2011 年 11 月,他们还曾用“台灣安保協會「亞太區域安全與台海和平」國際研討會邀 請 函 _20110907. pdf”、“china-central_asia.pdf”、“hydroelectric sector.pdf”,以及伪装成来自政府机构的信函名等手段来诱惑人点击。
还有就是,我们观察到 Spring Dragon 针对政府目标进行 APT 攻击时,一般会把用户重定向到下载 Flash 安装包的网站。

如图所示,这个网站将用户重定向到一个典型 Elise 后门的 flash 安装包下载的网站,后门文件会与“210.175.53.24”主机交互,并向该主机发出 GET 请求包:“GET /14111121/page_321111234. html HTTP/1.0”。
至于用户在网站下载行为的重定向过程如下:
hxxp://www.bkav2010.net/support/flashplayer/downloads.htm
==> 
hxxp://96.47.234.246/support/flashplayer/install_flashplayer.exe (Trojan-Dropper.Win32.Agent.ilbq)。
这次黑客攻击有效地利用了他们过去用烂的 CVE-2012-0158 漏洞的 exp。Spring Dragon 通过普通的手法,做出了更多创造性 APT 攻击。
*参考来源:securelist,由 FreeBuf 小编 dawner 翻译整理,转载请注明来自 FreeBuf 黑客与极客(FreeBuf.COM)交换一下怎么样,文雅婷

———————————-

相关阅读:
南国论坛,买了否能,www.xianxinbing.cn

  【元李道纯中和集】

  《赐黄伯固辞依旧兵侍知隆兴抚安使不允诏》:情生于文,岂不念天伦之爱,义重于死,而容辞王事之劳。

  《公孙丑》:尊贤使能,俊杰在位,则天下之士,皆悦而愿立于其朝矣。壮阳药1973 年今年运程


32w.net , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:http://www.32w.net/ganhuo/757.html
交换一下怎么样【黑客组织春龙(Spring Dragon)发起的APT攻击分析 】—-文雅婷,南国论坛,买了否能,1973年今年运程
喜欢 (0)
[576801182@qq.com]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址