後門程式針對國際人權組織

 

趨勢科技已經找到證據確認被入侵網站的人權組織並不是唯一的攻擊目標。

前面所提的這個網站會出現內建框架(iframe)將使用者導到另一個位在巴西的被駭網站。這個網站會執行一個被偵測為JAVA_DLOAD.ZZC的惡意Java程式。JAVA_DLOAD.ZZC會利用Java漏洞CVE-2011-3544來安裝TROJ_PPOINTER.SM,而這木馬程式會再產生出BKDR_PPOINTER.SM。接著BKDR_PPOINTER.SM會連到特定網址來收送來自攻擊者的命令。它也能夠收集中毒系統內的特定資訊。

根據趨勢科技的調查,這最先被報導出來的受駭單位看來只是攻擊的目標之一,而這攻擊本身可以辨認出不同的攻擊目標。我們研究了相關的檔案和網址,發現有關人權組織的字串出現在被駭巴西網站的檔案和資料夾名稱內:

  • hxxp://{BLOCKED}.com.br/cgi-bin/ai/ai.html
  • hxxp://{BLOCKED}.com.br/cgi-bin/ai/ai.jar

此外,從上述網址所取得的檔案程式碼也顯示這是針對這人權組織所特製的攻擊程式,因為程式碼內有出現相關的字串:

趨勢科技研究了這些蛛絲馬跡,發現在同一被駭網站上的其他資料夾和檔案使用不同的字串。這很有力地證明還存在著其他的目標。

  • hxxp://{BLOCKED}.com.br/cgi-bin/hk/hk.html
  • hxxp://{BLOCKED}.com.br/cgi-bin/hk/hk.jar
  • hxxp://{BLOCKED}.com.br/cgi-bin/so/so.html
  • hxxp://{BLOCKED}.com.br/cgi-bin/so/so.jar
  • hxxp://{BLOCKED}.com.br/cgi-bin/OM/om.html
  • hxxp://{BLOCKED}.com.br/cgi-bin/OM/om.jar

從這些網址所取得的檔案也出現了特定的字串在程式碼內,就跟前面我們所提到的AI例子一樣。這些惡意檔案現在也都被偵測為JAVA_DLOAD.ZZC和BKDR_PPOINTER.SM。

趨勢科技主動式雲端截毒服務  Smart Protection Network可以針對這類型的攻擊提供防護。另外,Deep Security 和OfficeScan加上Intrusion Defense Firewall(IDF )外掛程式可以用規則「Oracle Java SE Rhino Script
Engine Remote Code Execution Vulnerability
」來保護使用者不被漏洞攻擊。同時,當網路流量中出現BKDR_PPOINTER.SM取得並送出資訊的行為時,威脅偵測系統(Threat
Discovery Appliance,TDA)會將它偵測為HTTP_REQUEST_PPOINTER

在過去幾個月內,這個被入侵的人權組織首頁至少被被當成目標好幾次了,顯示網路犯罪份子是多麼堅定的針對這網站的經常訪客。在撰寫本文時,這網站已經將惡意程式碼給清除了。對於這些有特定主旨的網站來說,因為網站訪客多半是特定族群的使用者或團體,也就容易變成針對性攻擊的目標。所以網站擁有者在面對攻擊時也要跟公司企業一樣謹慎。

@原文出處:NGOs Targeted with Backdoors作者:Erika Mendoza(威脅反應工程師)

【嘻小編伴手禮~迷你麻將組雙重送】送給新春看臉書正妹,滑鼠不爆衝的PC-cillin 2012快過年囉,嘻小編準備了伴手禮要送大家,可以放在口袋帶著走的【迷你麻將組】,春節期間小玩一下,聯絡親友感情,真不賴~

祝福大家全年不當機,平安一整年!

雙重送活動一:複製留言輕鬆抽,參加辦法,按這裡

 

 

分享:
本篇發表於 APT攻擊/APT 進階持續性威脅/Advanced Persistent Threat 並標籤為 , , 。將永久鏈結加入書籤。

發表迴響

你的電子郵件位址並不會被公開。

你可以使用這些 HTML 標籤與屬性: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>