Buckeye(也称为APT3、Gothic Panda、UPS Team和 TG-0110)是一个运营五年以上的网络间谍团伙。通常情况下,该组织将攻击目标瞄准美国机构和一些其它机构。然而,自2015年6月起,该团伙的目标似乎有所改变,开始对香港的政府机构进行攻击。自2016年3月起,该团伙似乎将香港机构作为了主要目标,并在8月4日向这些目标发送了很多恶意电邮,企图通过在受入侵网络中传播电邮的方式盗取相关信息。
通过赛门铁克和Blue Coat Systems(知名应用交付网络技术厂商)的安全威胁情报,我们清楚地了解了Buckeye在近些年战术演变的具体情况,从而进一步提高了防御该团伙攻击的能力。
背景
赛门铁克发现Buckeye的攻击活动可追溯至2009年,其中涉及到多区域的各种机构。2009年,该团伙在攻击美国相关机构网络时使用了远程访问木马(Backdoor.Pirpi),其传播方式是借助于鱼叉式网络钓鱼电子邮件中的恶意附件或链接。而且,我们发现该团伙还使用了其它黑客工具,相关内容将在下面进行讨论。
据我们所知,Buckeye在过去善于利用一些零日漏洞,例如,其在2010年的攻击活动中利用了CVE-2010-3962漏洞,并在2014年利用了CVE-2014-1776漏洞。相关报道声称该团伙还利用了其它一些漏洞,对此我们无法下以定论,但我们知道该团伙利用的所有已知或未知的零日漏洞均来自微软IE浏览器和Flash。
转移攻击目标
最近,赛门铁克遥测部门透露上述香港受入侵之计算机与Backdoor.Pirpi木马有着紧密联系,而这种联系可追溯至2015年8月。 而且,在2016年3月末至2016年4月初,该木马传染计算机的次数显著增加。调查发现了相关的恶意攻击案例,并确定目标机构为香港的政府机构。
在最近的几次攻击中,Buckeye使用了含有.zip恶意附件的鱼叉式网络钓鱼电子邮件,附件中内含使用微软IE浏览器标志的Windows快捷方式(.lnk)文件。若用户点击该快捷方式,则计算机将自动下载Backdoor.Pirpi并运行该木马,以致感染。
目标是谁?
自2015年起,赛门铁克发现Buckeye在众多区域中82家机构的网络之上使用黑客工具。然而,我们并不能准确了解该团伙对何种目标报以兴趣。该团伙在捕获目标时撒下大网,却只挑其感兴趣的机构网络下手。因此,赛门铁克想更准确地了解情况,只能去调查该团伙在哪个网络活动时间超过一天,并调查其是否在该网络上部署额外工具以感染多台电脑。在对相关数据进行筛选后,我们总共发现了17家该团伙感兴趣的机构,其中香港13家,美国3家,英国1家。
图1. 自2015年起,Buckeye感兴趣的受害机构(按区域划分)
值得注意的是,该数据来自于2015年。因此,2016年3月后,香港相关机构在受害机构中的比例可能会高出很多。在2015年上半年前,Buckeye还是将主要目标瞄准美国的各类机构,且这些机构的类型与英国受害机构的类型大同小异。但是,到了2015年6月份左右,该团伙在兴趣目标上产生了巨大改变,开始将黑手伸向香港的相关机构。不久后,该团伙便终止了对英国和美国相关机构的攻击。
图2. 在这段时间内,每个区域受Buckeye攻击的机构
恶意软件和黑客工具
Buckeye在攻击中使用了大量黑客工具和恶意软件。很多黑客工具是开源应用程序, Buckeye为了躲避安全软件的检测,便以某种方式对这些开源应用程序进行了修补和调整。
Buckeye在攻击中使用了远程木马Backdoor.Pirpi,这种木马能够读写和执行相关文件及程序,也能够收集包括域控制器和工作站等目标局域网络的信息。
正如之前所述,该团伙还使用了很多黑客工具,其中包括:
Keylogger: Keylogger(键盘记录器)通过命令行参数进行配置,这些参数包括:网络服务、替换、安装和注销。用户可通过上述参数将keylogger作为服务进行安装。安装后,该工具将记录加密文件(如thumbcache_96.dbx)中的键盘输入信息,同时也收集一些网络信息,比如MAC地址、IP地址、WINS、DHCP服务器和网关。
RemoteCMD:该工具可在远程计算机上执行相关命令,与PsExec这个工具很相似。使用方法为输入:%s shareIp domain [USER INFORMATION|[USER NAME AND PASSWORD]] [/run:[COMMAND]]。
将传递的命令包括上传、下载、服务(创建、删除、启动和停止)、删除、重命名和AT命令。
PwDumpVariant:该工具可导入lsremora.dll(黑客们通常将其作为工具集的一部分进行下载),并使用GetHash导出该DLL文件。在执行后,该工具将自我整合入lsass.exe之中,并由参数“dig”触发。
OSinfo: OSInfo是一个通用系统信息采集工具。该工具拥有下列命令行参数帮助指令:
info <Server/Domain> [options]
[options]:
-d 域
-o 操作系统信息
-t 任务信息
-n 网络使用信息
-s 分享信息和目录
-c 连接测试
-a局部和全局组用户信息
-l局部组用户信息
-g 全局组用户信息
-ga 组管理员
-gp 组高级用户
-gd 组域管理员
-f <infile> //输入文件中的服务器列表,一行一台服务器
info <\\server> <user>
ChromePass:该工具出自于NirSoft,用来恢复Chrome浏览器储存的密码。
Lazagne:该工具是一种Python编译工具,可提取本地安装应用程序(如网络浏览器)中的密码。Lazagne的完整列表为:聊天、svn(一种版本管理工具)、无线网络、邮件、windows、数据库、系统管理员和浏览器。
Buckeye看似将目标瞄准文件和打印服务器,其目的可能是为了盗取相关文件。此外,该组织还曾在攻击中利用零日漏洞和定制工具。将上述因素和受攻击机构之类型结合考虑,我们得出Buckeye是一个国家资助的网络间谍团伙。
保护
赛门铁克和诺顿产品通过以下检测方式,帮助用户防御该网络间谍团伙的攻击:
反病毒
入侵防御系统