Endpoint Protection

政府相关机构不再是补丁攻击团伙的唯一目标。我们的研究表明，网络间谍团伙为了传播后门木马程序，已开始对多种行业机构进行攻击，其目标包括航空业、广播业和金融业。

赛门铁克安全响应部门一直积极监视Patchwork（该团伙又名为“Dropping Elephant”）的一举一动。该团伙将中国主题的内容作为诱饵，以对目标网络进行入侵。最近，卡巴斯基和Cymmetria这两家安全软件公司均发布了有关此攻击活动的报告，报告内容与我们的观察结果大致相符。

[click_to_tweet:1]

目标
正如其它研究机构所观察到的一样，Patchwork起初的目标是政府及政府相关机构。然而，该团伙目前已将其目标扩展至各行各业。

虽然，公共行业仍是该团伙的主要攻击对象，但最近多起攻击的目标涉及到以下行业：

• 航空业
• 广播业
• 能源业
• 金融业
• 非政府机构（NGO）
• 制药业
• 公共行业
• 出版业
• 软件业

赛门铁克通过遥测技术发现，这些攻击目标机构分散于各个区域。近半攻击将目标瞄准美国，但受攻击的其它区域还包括中国、日本、东南亚和英国。

[click_to_tweet:2]

攻击媒介
我们首次发现与此活动相关的攻击可追溯至2015年11月，但赛门铁克遥测数据表明此活动可能在2015年初或更早就已出现。

网络攻击者主要通过合法邮件列表提供商向指定目标发送新闻邮件，邮件中内含网络攻击者网站的链接，而网站内容主要采用了与中国相关的主题以引起目标的兴趣。这些网站与邮件列表提供商使用相同域名，并针对指定目标进行定制，网站内容包括与目标行业相关的特定主题。

图1. 一个定制网站，其内容与中国一家公立医院有关

图2. 一个定制网站，其内容与中国军事有关

这些恶意网站可链接到不同域名上仅用于恶意用途的文件，其域名伪装成在中国合法注册的域名。网络攻击者在这些攻击中主要使用托管在两个服务器上的几个域名，其IP地址为212.83.146.3 和37.58.60.195。

这些网站主要包含两种不同的恶意文件，即PowerPoint文件(.pps)和带有Word .doc扩展名的多信息文本文件。

PowerPoint恶意文件可利用微软Windows OLE包管理器远程代码执行漏洞(CVE-2014-4114)。2014年10月，Sandworm团伙在对美国和欧洲目标进行攻击时使用了此类文件。多信息文本恶意文件通常可利用微软Office内存破坏漏洞(CVE-2015-1641)，而该漏洞于2015年4月进行了修补。我们还证实了一个较久的漏洞遭到了利用，即微软Windows常见ActiveX控件远程代码执行漏洞(CVE-2012-0158)。

从我们能够证实的情况看，这些文件复制了合法网站上的公开内容，而这些内容的主题包括军事/防御、医院和海事争端，甚至还包括恶意软件删除。

PowerPoint恶意文件
这种.pps文件可利用微软Windows OLE包管理器远程代码执行漏洞(CVE-2014-4114)。然而，这种特殊攻击活动所利用漏洞的方法与往常略有不同。补丁程序仅是警告用户，而不是在没有用户互动的情况下完全防止恶意软件感染，而这种攻击正是利用了这一点。

使用PowerPoint 2016打开此文件时并没有异常。然而，在使用旧版PowerPoint打开文件时显示了一条安全警告信息，询问用户是否参照不同环境（如应用补丁和操作系统版本）打开driver.inf。

图3. 在2016版本之前的PowerPoint打开.pps文件后显示此提示信息

如果用户选择打开此文件，则计算机将受到感染，反之则不然。然而，打开.pps文件后，Backdoor.Enfourks病毒即使不执行也将拖放至暂时目录之中，对指定目标构成感染风险。

我们证实在实验室测试之所有版本的PowerPoint均具有此类问题。用户应手动删除所有相关拖放文件，而这些文件通常命名为“sysvolinfo.exe”。

Word .doc恶意文件
除了.pps恶意文件外，网络攻击者还使用多信息文本文件发送恶意软件。虽然其它研究机构报道这些文件利用了CVE-2012-0158这个漏洞，但赛门铁克还发现网络攻击者还利用CVE-2015-1641漏洞放置Backdoor.Steladok病毒。

主要负载
.doc和.pps恶意文件主要放置两种恶意软件。通常情况下，PowerPoint幻灯片文件放置Backdoor.Enfourks病毒，这种病毒是一种将目标主要瞄准32位系统的AutoIT可执行文件，文件中常充满无用数据；.doc文件则放置Backdoor.Steladok病毒。

虽然这两种后门木马病毒需等待网络攻击者的命令，但其在激活后便可搜索相关文件并将文件上传至指定服务器。出于未知原因，这两种病毒在例程中均使用了百度（一家中国软件供应商）。病毒先测试连接百度服务器以确认连接至互联网，之后使用百度的名称创建一个注册表目录，使Windows每次启动后就运行此目录。这两种文件用于发送两种不同负载，因此参与此恶意软件开发的可能不止一人或一个团伙。

缓解措施
为了防止Patchwork成功攻击，用户应遵守以下建议：

• 删除所有接收到的可疑电邮，尤其是那些含有链接或附件的电邮。网络间谍攻击者常使用鱼叉式网络钓鱼电邮诱惑受害者打开恶意文件。
• 及时更新操作系统和其它软件。软件更新通常会对新发现的安全漏洞进行修补，以防止网络攻击者对其进行利用。
• 及时更新安全软件，防止遭受此恶意软件新变体的攻击。

保护
赛门铁克和诺顿产品检测Patchwork的恶意软件为：

反病毒：

• Bloodhound.RTF.3
• Trojan.PPDropper
• Backdoor.Enfourks
• Backdoor.Steladok
• Backdoor.Steladok!g1
• Trojan.Gen.2
• Infostealer

入侵防御系统：

• 受感染系统：Backdoor.Steladok Activity
• 受感染系统：Backdoor.Enfourks Activity

受入侵迹象
以下内容描述了Patchwork可能已入侵计算机的相关可疑域名、IP地址和文件：

可疑域名和IP地址：

• chinastrats.com
• epg-cn.com
• extremebolt.com
• info81.com
• lujunxinxi.com
• militaryworkerscn.com
• milresearchcn.com
• modgovcn.com
• newsnstat.com
• nudtcn.com
• socialfreakzz.com
• 81-cn.net
• cnmilit.com
• nduformation.com
• expatchina.info
• info81.com
• climaxcn.com
• expatchina.info
• miltechcn.com
• miltechweb.com
• securematrixx.com
• 46.166.163.242
• 212.129.13.110

表1.与此攻击活动相关的恶意PowerPoint幻灯片

表2.与此攻击活动相关的恶意多信息文本文件

表3.与此攻击活动相关的负载