Buckeye網(wǎng)絡(luò)間諜組織正將數(shù)家中國香港機構(gòu)作為攻擊目標(biāo),Buckeye網(wǎng)絡(luò)間諜組織又被稱為APT3、Gothic Panda、UPS Team和 TG-0110,該組織已經(jīng)成立超過五年,并主要針對美國及其他目標(biāo)國家的企業(yè)組織開展攻擊行動。但自 2015年6月起, Buckeye似乎逐漸將攻擊重點轉(zhuǎn)向中國香港的政府機構(gòu)。2016年3月至今,該組織集中針對中國香港的相關(guān)機構(gòu)進行惡意攻擊。最近一次攻擊發(fā)生在8月4日,Buckeye犯罪組織企圖通過發(fā)送惡意電子郵件至被入侵的目標(biāo)網(wǎng)絡(luò),以實現(xiàn)盜取信息的目的。
通過賽門鐵克與Blue Coat Systems的聯(lián)合威脅情報服務(wù),賽門鐵克的安全團隊清晰掌握了Buckeye組織在近幾年的策略演變。這一發(fā)現(xiàn)能夠幫助賽門鐵克進一步增強安全防護功能,并幫助企業(yè)用戶抵御該組織的攻擊活動。
背景
在 2009 年,賽門鐵克已發(fā)現(xiàn)Buckeye針對多個地區(qū)的多家機構(gòu)展開攻擊。Buckeye 曾通過遠程訪問木馬(Backdoor.Pirpi)對一家美國機構(gòu)的網(wǎng)絡(luò)展開攻擊。該犯罪組織通過附帶Backdoor.Pirpi或鏈接的魚叉式網(wǎng)絡(luò)釣魚電子郵件對目標(biāo)進行攻擊。如今,賽門鐵克已經(jīng)識別出該組織所使用的其他黑客工具。
過去,Buckeye組織因利用零日漏洞進行攻擊而臭名昭著,包括在2010年攻擊中使用的CVE-2010-3962和在2014 年使用的CVE-2014-1776。盡管Buckeye利用其他零日漏洞進行的攻擊也被發(fā)現(xiàn),但這些攻擊活動并未得到賽門鐵克的證實。賽門鐵克安全人員表示,所有已知的或疑似被Buckeye組織利用的零日漏洞均來自Internet Explorer和Flash。
攻擊重心轉(zhuǎn)變
2015年8月起,賽門鐵克遙測技術(shù)發(fā)現(xiàn)中國香港的部分計算機感染 Backdoor.Pirpi。2016年3月底至4月初,該惡意程序的感染數(shù)量出現(xiàn)大幅增長。不僅如此,賽門鐵克同樣在其他調(diào)查中發(fā)現(xiàn)與該惡意程序相關(guān)的惡意軟件樣本,并從而確定該犯罪組織的攻擊目標(biāo)為中國香港的政府機構(gòu)。
在近期的部分攻擊中,Buckeye使用帶有惡意壓縮附件(.zip)的魚叉式網(wǎng)絡(luò)釣魚電子郵件,這些電子郵件的壓縮文檔附件中包含帶有Microsoft Internet Explorer標(biāo)識的Windows快捷方式 (.lnk) 文件。受害者一旦點擊該快捷方式,計算機將會下載Backdoor.Pirpi惡意程序,并在受感染的計算機中執(zhí)行。
攻擊目標(biāo)
從 2015 年至今,賽門鐵克發(fā)現(xiàn)在不同地區(qū)的大約82家組織機構(gòu)的網(wǎng)絡(luò)中發(fā)現(xiàn)Buckeye工具,但該現(xiàn)象無法準(zhǔn)確反映出Buckeye攻擊組織所感興趣的攻擊目標(biāo)。賽門鐵克認為,該組織通過采取“廣撒網(wǎng)” 的方式尋找攻擊目標(biāo),但只在感興趣的企業(yè)機構(gòu)網(wǎng)絡(luò)中保持攻擊活躍度。通過設(shè)定監(jiān)測指標(biāo)和深入觀察,例如:Buckeye對某機構(gòu)保持攻擊活躍度超過1天、部署額外工具,針對多臺計算機進行病毒傳播等,賽門鐵克發(fā)現(xiàn)Buckeye的攻擊目標(biāo)主要針對中國香港(13)、美國(3)和英國(1)的17 家組織機構(gòu)。
圖1. Buckeye感興趣的攻擊對象地區(qū)分布( 2015 年至今)
賽門鐵克的監(jiān)測數(shù)據(jù)從2015年開始統(tǒng)計,但值得注意的是,在 2016 年 3 月,針對中國香港的攻擊比例出現(xiàn)大幅增長。2015年中期之前,Buckeye的傳統(tǒng)攻擊目標(biāo)主要為不同類型的美國和英國組織機構(gòu)。而在2015年6月,Buckeye的攻擊目標(biāo)發(fā)生巨大轉(zhuǎn)變,開始攻擊中國香港,并逐漸停止對英國和美國的攻擊。
圖2. 在不同時期及不同地區(qū)中,Buckeye攻擊目標(biāo)分布圖
惡意軟件和黑客工具
Buckeye攻擊組織采用多種黑客工具和惡意軟件進行攻擊,其中,許多黑客工具為開源應(yīng)用。此外,為了躲避檢測,Buckeye對這些工具還進行了一定程度的修補或調(diào)整。
Buckeye通過使用遠程訪問木馬Backdoor.Pirpi,來讀取、寫入和執(zhí)行文件與程序,以及收集攻擊目標(biāo)的本地網(wǎng)絡(luò)信息,包括域控制器和工作站等。
Buckeye所采用的黑客工具包括:
Keylogger:Keylogger(鍵盤記錄器)可通過使用命令行參數(shù)網(wǎng)絡(luò)服務(wù)、替換、安裝、注銷進行配置。這些參數(shù)可以作為服務(wù)被安裝,然后Keylogger開始記錄如thumbcach_96.dbx等加密文件的擊鍵次數(shù)。該工具將記錄如thumbcach_96.dbx等加密文件的鍵盤輸入信息。此外,Keylogger還能夠收集MAC地址、IP 地址、WINS、DHCP服務(wù)器和網(wǎng)關(guān)等網(wǎng)絡(luò)信息。
RemoteCMD:RemoteCMD工具類似于PsExec工具,主要用于在遠程計算機上執(zhí)行命令。用法為:%s shareIp domain [USER INFORMATION|[USER NAME AND PASSWORD]] [/run:[COMMAND]] ,能夠傳遞的命令包括上傳、下載、服務(wù)(創(chuàng)建、刪除、開始、停止)、刪除、重命名和 AT。
PwDumpVariant:RemoteCMD工具可以導(dǎo)入lsremora.dll(通常攻擊者將其作為工具箱的一部分一同下載),并使用GetHash導(dǎo)出DLL文件。該工具可在執(zhí)行過程中,將自身注入到 lsass.exe中,并通過參數(shù)“dig”觸發(fā)。
OSinfo:OSInfo是一種通用系統(tǒng)信息收集工具。它具有以下命令行參數(shù)幫助指令:
info [options]
[options]:
-d 域
-o 操作系統(tǒng)信息
-t 任務(wù)信息
-n 網(wǎng)絡(luò)使用信息
-s 分享信息和目錄
-c 連接測試
-a局部和全局組用戶信息
-l局部組用戶信息
-g 全局組用戶信息
-ga 組管理員
-gp 組高級用戶
-gd 組域管理員
-f //輸入文件中的服務(wù)器列表,一行一臺服務(wù)器
info
ChromePass:一種來自NirSoft的工具,可用于恢復(fù)保存在Chrome瀏覽器中的密碼。
Lazagne:一種編譯的Python工具,可從安裝在本地的多個應(yīng)用類別中提取密碼,例如,Web 瀏覽器。這些應(yīng)用類別包括:聊天、Svn(一種版本管理工具)、無線網(wǎng)絡(luò)、電子郵件、Windows、數(shù)據(jù)庫、系統(tǒng)管理和瀏覽器。
Buckeye似乎將文件和打印服務(wù)器作為主要攻擊目標(biāo),因此,賽門鐵克認為該組織的目的很有可能是盜取文件。結(jié)合該組織在過去利用的零日漏洞、定制工具以及攻擊目標(biāo)的組織類型等因素,這表明Buckeye是一家擁有國家支持背景的網(wǎng)絡(luò)間諜組織。
賽門鐵克安全防護
賽門鐵克和諾頓產(chǎn)品可通過檢測以下惡意軟件,幫助用戶抵御該網(wǎng)絡(luò)間諜組織的攻擊行為:
防病毒程序
Backdoor.
PirpiBackdoor.
Pirpi!drBackdoor.
Pirpi!gen1Backdoor.
Pirpi!gen2Backdoor.
Pirpi!gen3Backdoor.
Pirpi!gen4Backdoor.
Pirpi.ABackdoor.
Pirpi.BBackdoor.
Pirpi.CBackdoor.
Pirpi.DDownloader.
PirpiDownloader.
Pirpi!g1
入侵預(yù)防系統(tǒng)
System Infected: Backdoor.Pirpi Activity 3