Skip to main content

<APT進階持續性威脅>經由Email 發送的"員工滿意度調查"PDF檔案含SYKIPOT,展開目標攻擊行動

 

 又有一起APT進階持續性威脅(Advanced Persistent Threats, APT(註)

上禮拜所報導的Adobe Reader零時差漏洞(CVE-2011-2462)已經被用在從11月開始的目標攻擊惡意PDF檔案經由電子郵件發送給目標,而郵件內文還會引誘目標去打開看似員工滿意度調查的惡意附件檔。一旦開啟之後,惡意軟體BKDR_SYKIPOT.B就會被安裝到目標的電腦上。已知的受害目標包括美國國防工業和政府部門。

              APT 進階性持續威脅:目標攻擊常用媒介之給員工的信件

目標攻擊通常是有組織有計劃的攻擊行動。這攻擊行動是從對各個目標做一連串攻擊開始,然後持續一段時間,並不是各自獨立的「破壞搶奪」攻擊。雖然每個單一事件的資料可能都不完整,但時間久了,我們也就能把每塊拼圖給組合起來(攻擊媒介、惡意軟體、工具、基礎網路架構、目標),就會對一次的攻擊行動有了全盤的了解。

 Sykipot攻擊行動在這幾年來已經有了許多名稱,它的歷史可以被追溯到2007年,甚至是2006年。

 一次跟這次類似的攻擊發生在2011年9月,它利用美國政府醫療給付文件做誘餌。而這次攻擊利用了Adobe Reader的零時差漏洞(CVE-2010-2883)。在2010年3月,則是利用Internet Explorer 6的零時差漏洞。所以在過去兩年內就用了三次零時差攻擊。

 其他的攻擊還發生在2009年9月,利用漏洞CVE-2009–3957加上跟國防會議有關的資料,和使用一個著名的智囊團身份當做誘餌。在2009年8月,另外一次針對政府員工的攻擊用應急應變管理的劇情跟聯邦緊急事務管理總署(Federal Emergency Management Agency,FEMA)的身分當做誘餌。而這次攻擊裡所使用的命令和控制(Command and Control,C&C)伺服器也被用在2008年的攻擊裡。

 最後,則是發生在2007年2月的攻擊,它利用惡意Microsoft Excel檔案漏洞(CVE-2007-0671)來植入惡意軟體,這惡意軟體的功能跟BKDR_SYKIPOT.B很像,所以也很有可能是它的前身。而這次攻擊中所使用的C&C伺服器的歷史則可以追溯到2006年。 

日期

雜湊值

命令和控制伺服器

2010九月 32dbd816b0b08878bd332eee299bbec4
0ade988a4302a207926305618b4dad01
68f5a1faff35ad1ecaa1654b288f6cd9
www.mysundayparty.com
2010三月 a4bdddf14cee3cc8f6d4875b956384d2 notes.topix21century.com
2009九月 e42f8e662d39a31b596d86504b9dc287
590a6e6c811e41505bebd4a976b9e7f3
230040293ed381e32faa081b76634fcb
music.defense-association.com
2009八月 126c0353957a506c0a3b41b0bdfb88ce news.marinetimemac.com
2008十二月 a1c8276b008b9386b36ef73b163a0c75 www.marinetimemac.com
2007二月 56055a77675058b614a282d9624b67f2
69ed09e31c06c7763a91c408d9ad9c10
271e3fa15a81c5b9e7543460808cfbeb
www.top10member

 雖然這幾次攻擊所用的惡意軟體功能都差不多,但還是有不同的地方。比方說,早期版本跟C&C伺服器之間是用明文(HTTP)溝通,而新版本則是用加密(HTTPS)的通訊連線。

 我們分析了2007年和2011年的惡意軟體所產生的DLL檔案。除了​用一樣的URL格式跟C&C伺服器溝通,它們也使用相同的加密金鑰。而2008年的樣本則有點不一樣,攻擊者有新加入一些指令,不過在之後又拿掉了,像是「findpass2000」和「port2000」等只作用在Windows 2000上的指令。

 所有不同時間點的樣本都包含後門功能,讓攻擊者可以遠端對受害電腦執行指令。舊版本是經由cmd.exe來執行指令,而新版本則是呼叫winexec API來執行指令。這讓攻擊者對受害電腦有著完整的遠端控制能力。

 Sykipot攻擊行動仍然是受高度重視的威脅。

 @原文出處:The Sykipot Campaign  作者:趨勢科技Nart Villeneuve(資深威脅研究員)

註:
什麼是 APT?簡單的說就是針對特定組織所作的複雜且多方位的網路攻擊。
APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT) 集中於間諜與竊取機敏資料方面,其影響程度雖大但攻擊範圍甚小,使得蒐集有用的證據相對困難。攻擊者除了使用現成的惡意程式外亦使用客制化的惡意元件,並建立一個類似殭屍網路/傀儡網路 Botnet 的遠端控制架構而隱身其後,達成一高度安全的作業環境。網路犯罪和網絡間諜之間的界限越來越模糊,藉由使用一般 的惡意程式、漏洞與架構使得要區分與調查這類案件越來越困難。

APT 進階持續性滲透攻擊(Advanced Persistent Threat, APT)可能持續幾天,幾週,幾個月,甚至更長的時間。APT攻擊可以從蒐集情報開始,這可能會持續一段時間。它可能包含技術和人員情報蒐集。情報收集工作可以塑造出後期的攻擊,這可能很快速或持續一段時間。
例如,試圖竊取商業機密可能需要幾個月有關安全協定,應用程式弱點和文件位置的情報收集,但當計畫完成之後,只需要一次幾分鐘的執行時間就可以了。在其他情況下,攻擊可能會持續較長的時間。例如,成功部署Rootkit在伺服器後,攻擊者可能會定期傳送有潛在價值文件的副本給命令和控制伺服器(C&C Server)進行審查。

鎖定單一對象的惡意程式攻擊有多高超?

專偷商業機密的Nitro 目標攻擊背後的意義

APT 進階持續性滲透攻擊:目標攻擊查明真相並不容易

進階持續性威脅LURID: 入侵了61個國家1465台電腦,包含外交等單位

CTO 觀點:我們從最近的 Sony 等駭客攻擊學到什麼?

現在是在駭什麼?從近日Sony 花旗等大公司被駭談駭客史

精確鎖定企業的目標攻擊與最大的弱點(內含Google與 RSA 遭目標攻擊案例)

繼假 Facebook 登入頁面後,殭屍病毒ZeuS鎖定美國陸軍銀行帳戶

@參考推文
雲端系!史上最強防毒軟體現身
看更多<PC-cillin 真的不一樣>100字推文

趨勢科技行動安全防護 for Android(手機 平板)

@開箱文與評測報告

防毒也防失竊 趨勢科技行動安全防護軟體測試

[評測]趨勢科技行動安全防護for Android

TMMS 3.75 Stars in PC World AU

 

免費下載防毒軟體:歡迎試用下載瞭解與試用

◎ 歡迎加入趨勢科技社群網站