Dropping Elephant黑客组织使用旧的Windows漏洞施行攻击

安全动态 发布时间:2016-07-11 11:43:03 182 浏览

https://p5.ssl.qhimg.com/t013005d52c9cd9e26b.png

古语有云:不要以貌取人。对于网络犯罪组织也是一样,不要仅从其利用的漏洞来判断一个黑客组织的能力。根据国外媒体的报道,卡巴斯基实验室的全球研究与分析团队发现了一个网络犯罪组织。目前,这个黑客组织正在亚洲地区大肆进行网络间谍攻击活动,受攻击的目标主要为位于亚洲地区的多个与中国和中国国际事务有关的外交部门和国家政府机构。据了解,该网络犯罪组织在进行网络攻击时使用的都是一些比较老的漏洞和黑客工具,而且攻击方法和攻击过程也并不复杂,但是他们仍然成功地对多个高级目标进行了攻击,其中也包括一些西方国家的重要机构。

根据安全研究专家透露的信息,卡巴斯基实验室首先发现了这一名为“Dropping Elephant”的网络犯罪组织。该组织在2015年11月份至今年的6月份之间,网络犯罪活动异常活跃。卡巴斯基实验室于今日发布了一篇报告,并在报告中说到:该组织只会利用社会工程学技巧以及一些廉价的恶意软件来对目标实施攻击,并且针对的都是一些过时的旧漏洞,例如已经成功修复了的Windows系统漏洞。

根据研究人员的报告显示,该黑客组织的主要攻击目标基本都位于亚洲地区。而中国的政府机构,外交部门,以及很多在中国的外国大使馆和外交办事处都是该黑客组织攻击的主要目标。这些国家还包括巴基斯坦,斯里兰卡,乌拉圭,孟加拉国,台湾,澳大利亚和美国等多个国家。

卡巴斯基实验室APAC全球研究与分析团队的主任Vitaly Kamluk在接受媒体采访时表示:“尽管这个网络犯罪组织使用的技术十分简单,黑客工具也十分便宜,而且利用的漏洞也是一些老旧的系统漏洞。但从表面上看,该黑客组织似乎非常擅长从各个机构中收集和获取情报信息。可能也正是由于这一原因,该组织在2016年5月进行了扩张。这次扩张也表明,此次攻击行动不会很快结束。符合攻击目标特征的组织和个人一定要加强安全防范。但好消息是,我们还未发现这一攻击组织使用复杂的、难以被检测的攻击手段和工具进行攻击。这也就意味着,他们的攻击行为很容易被识别,但是这一情况可能随时会改变。”

对攻击行动的分析显示,攻击者所在的时区似乎是在UTC+5或UTC+6。有趣的是,从2016年5月开始,卡巴斯基实验室的研究人员发现该攻击组织在一个新的地区展开了新的攻击行动,这一地区包括太平洋标准时区地区,其攻击时间也对应美国西海岸的办公时间。发生这一现象的原因,可能是Dropping Elephant团队中增加了新的黑客成员。

与大多数的黑客组织一样,在初始攻击时,Dropping Elephant网络犯罪组织会向攻击目标发送大量的网络钓鱼邮件,而该组织在此之前就已经收集到了与攻击目标有关的邮件地址。攻击者发送的钓鱼邮件中包含获取远程内容的引用链接,但是这些内容并没有嵌入邮件本身,而是需要另外从外部资源下载。邮件本身没有任何的恶意功能,仅包含一个简单的“ping”请求。一旦攻击目标打开了邮件,便会发送ping请求到攻击者的服务器。在此之后,目标主机会自动发送一条包含收件人基本信息的消息给攻击者,信息中包括:目标用户的IP地址,目标所使用的浏览器类型,以及目标用户使用的设备类型和地理位置信息。

通过这种简单的攻击方式,攻击者可以过滤出最重要的目标信息,以便之后实施更具针对性的网络钓鱼攻击。这种邮件通常使用包含了CVE-2012-0158漏洞利用程序的Word文档,或者使用包含了CVE-2014-6352漏洞利用程序的PowerPoint文档。这两种漏洞利用程序早就已经被曝光了,但是这些漏洞仍然可以被利用。

尽管攻击者所利用的漏洞已经被微软公司的成功修复了,但攻击者仍然能够通过社会工程学技巧来感染受攻击目标,但前提是受攻击者忽视多个安全警告,仍然坚持启用文档中的危险功能。

除此之外,根据卡巴斯基实验室的研究报告,有些目标甚至还会遭遇水坑式攻击。目标用户会收到一封恶意邮件,邮件中的链接指向了一个伪装成专门处理中国对外事务的政治新闻门户网站。该网站上的大部分链接指向了一种PPS格式(PowerPoint文档)的内容,而该文档中包含有恶意的攻击代码。

卡巴斯基实验室表示:“恶意PPS文档中的内容是经过精心挑选的,因为那些包含了地缘政治话题的新闻报道看起来可信度更高,目标用户才会更加容易去点击阅读。而正因为如此,才会有大量的用户受到了感染。”

根据卡巴斯基实验室的报告,当恶意payload被执行之后,攻击者便会将一个利用了UPX(一个免费开源的可执行程序压缩软件)封装的AutoIT可执行脚本注入至目标系统中。感染成功后,AutoIT脚本会自动从攻击者的服务器下载其他的恶意组件,然后开始窃取目标主机中的秘密文档和数据。

在对Dropping Elephant黑客组织所使用的AutoIT可执行程序进行了分析之后,安全研究专家在其中发现了一个嵌入式的AutoIT3脚本。安全研究人员在报告中写到:“当程序运行之后,它会从远程服务器中下载其他的恶意软件,并上传一些关于目标系统的基本信息。除此之外,恶意软件还会窃取用户的机密数据,包括谷歌Chrome浏览器中存储的用户账户凭证。”

除此之外,恶意软件还会不断遍历目标系统中的文件目录,并从中收集文件(doc, docx, ppt, pptx, pps, ppsx, xls, xlsx, 以及pdf),然后将这些文件上传至攻击者的C&C服务器。

Dropping Elephant黑客组织所采用的攻击方式并不算复杂。攻击者十分依赖社会工程学技术和一些廉价的恶意软件。但是,他们的这种攻击方式却十分的有效,从某种程度上来说,该黑客组织的威胁仍然非常大。

免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐

Python网络安全:最强工具,保护你的网络世界

Ollama AI 框架中的严重缺陷可能导致 DoS、模型盗窃和中毒

美国大选进入冲刺阶段!网络安全问题再成关注焦点!

300个网络安全专业术语,懂一半绝对高手

PTZOptics相机的零日漏洞正在被广泛利用

谷歌警告安卓系统中存在被主动利用的 CVE-2024-43093 漏洞