Endpoint Protection

 View Only

Patchwork 網路間諜團體已將鎖定對象從政府擴展至各行各業 

Jul 25, 2016 08:56 AM

Patchwork 攻擊團體的目標已不僅限於與政府相關組織。我們針對該團體的研究發現,該團體已開始攻擊各行各業,並留下後門木馬程式。受害產業包括航空業、廣播業及金融業。

賽門鐵克安全機制應變中心持續積極監控 Patchwork (又名 Dropping Elephant),該團體使用中國相關主題的內容來引誘目標,並藉此入侵目標網路。Cymmetria 和 Kaspersky 這兩家安全公司最近也發表關於此團體活動的報告,其中多數內容與我們的觀察發現相符。

[click_to_tweet:1]

目標

正如其他研究人員觀察所見,Patchwork 原先是以政府和與政府相關的組織做為目標。然而,如今此團體已擴大攻擊範圍,以囊括更多產業。

雖然其重心仍舊放在公家機關,但近來我們發現有更多攻擊的目標鎖定下列產業:

  • 航空業
  • 廣播業
  • 能源業
  • 金融業
  • 非政府組織 (NGO)
  • 製藥業
  • 公家機關
  • 出版業
  • 軟體業

根據賽門鐵克遙測結果,遭到鎖定的企業分佈在各個不同地區。儘管近半數的攻擊目標位於美國,其他地區如中國、日本、東南亞及英國也有受到攻擊。

[click_to_tweet:2]

攻擊媒介

我們最早在 2015 年 11 月觀察到與本活動相關但未得手的攻擊。然而,賽門鐵克遙測資料顯示,此活動可能在 2015 年初甚至更早便已存在。

威脅行動者主要依靠合法郵件名單供應商,傳送電子報給一些選定的目標。此電子報會包含連往攻擊者網站的連結,網站中含有關於中國主題的內容,用以引起目標對象的興趣。這些網站所在的網域和郵件名單供應商相同。每個網站都會專為覬覦的目標量身打造,包含與目標產業相關的特定主題。

Figure1_19.png
圖 1.包含關於中國公立醫院內容的客製化網站

Figure2_12.png
2.包含關於中國軍隊內容的客製化網站

這些惡意網站會連結到位於不同網域的檔案,而這些檔案顯然完全是用於不良意圖。這些網域會以合法中國情報來源的名稱註冊。常用於進行攻擊的數個網域位於兩台伺服器上,其 IP 位址分別為 212.83.146.3 和 37.58.60.195。

這些網站有兩個不同類型的惡意檔案:一個是 PowerPoint 檔案 (.pps),另一個是帶有 Word .doc 副檔名的 RTF 檔案。

該 PowerPoint 檔案似乎會利用 Microsoft Windows OLE Package Manager 遠端程式碼執行漏洞 (CVE-2014-4114)。此漏洞也同樣用於 Sandworm 攻擊,並在 2014 年 10 月攻擊了美國和歐洲的目標。該 RTF 檔案通常會嘗試利用 Microsoft Office 記憶體損毀漏洞(CVE-2015-1641),該漏洞已於 2015 年 4 月修補完成。我們也確認有一個較早的瑕疵遭到利用:Microsoft Windows 常見控制項 ActiveX 控制遠端程式碼執行漏洞 (CVE-2012-0158)。

從我們可確認的資訊得知,這些文件包含可自合法網站公開取得內容的複本。主題從軍隊/國防、醫院到海軍糾紛都有,甚至包括惡意程式移除。

惡意 PowerPoint 檔案

這種 .pps 檔案可能會利用 Microsoft Windows OLE Package Manager 遠端程式碼執行漏洞 (CVE-2014-4114)。然而,本次活動中利用此漏洞的方式和過去觀察到的類似情況有些許不同。由於修補程式的設計宗旨僅在於警告使用者,在缺乏與使用者互動的情況下,無法完全防止惡意程式感染,因此就遭到利用。

此檔案在 PowerPoint 2016 中開啟時,全然不會發生異常狀況。然而,若用舊版的 PowerPoint 開啟檔案,則會顯示安全性警告,詢問使用者是否要依據環境 (例如作業系統版本和使用的修補程式) 開啟 driver.inf。

Figure3_9.png
3. 2016 之前的版本的 PowerPoint 開啟該 .pps 檔案,就會顯示此提示

若使用者選擇開啟檔案,電腦就會遭到入侵。若使用者選擇不開啟,則電腦不會受到感染。不過,Backdoor.Enfourks 會留在系統中,並在 .pps 檔案開啟時進入暫存目錄 (儘管並未執行)。如此將使鎖定的目標有遭到入侵的風險。

我們已在實驗室中測試所有版本的 PowerPoint 並確認此問題。使用者應手動移除任何可能遺留、且一般命名為「sysvolinfo.exe」的檔案。

惡意 Word .doc 檔案

除 .pps 檔案外,威脅行動者也使用 RTF 檔案來散播惡意程式。除了其他研究人員報告此檔案會利用的 CVE-2012-0158 外,賽門鐵克也觀察到,此檔案會利用 CVE-2015-1641 以留下 Backdoor.Steladok

主要酬載

.doc 和 .pps 檔案主要會留下兩種惡意程式系列。一般來說,該 PowerPoint 投影片檔案會留下 Backdoor.Enfourks。這是一種 AutoIT 執行檔,會以無意義的資料不斷膨脹,主要以 32 位元系統做為攻擊目標。.doc 檔案則會留下 Backdoor.Steladok。

兩種後門木馬程式都會等待來自威脅行動者的命令。在啟動後,兩者都能搜尋檔案,並將檔案上傳到指定的伺服器。此兩種威脅都會利用中國軟體廠商百度來發動攻擊,原因不明。此木馬程式會在每次 Windows 啟動時偵測百度伺服器,並以廠商名稱建立登錄項,藉此確認網際網路連線。雖然這兩種檔案是用來散布兩種不同酬載,不過可能有許多個人或團體在協助惡意程式的開發。

降低威脅

使用者應遵守下列建議,以避免 Patchwork 的攻擊成功得手:

  • 刪除任何可疑的電子郵件,尤其是含有連結或附加檔案的郵件。網路間諜活動攻擊者常使用魚叉式網路釣魚電子郵件,以誘騙受害者開啟惡意檔案。
  • 時常更新您的作業系統和其他軟體。軟體更新中常包含針對新發現漏洞的修補程式,可修正常遭攻擊者利用的漏洞。
  • 確保您的安全軟體是最新版本,以保護您抵禦最新變種惡意程式的威脅。

防護方法

賽門鐵克和諾頓的產品能偵測下列 Patchwork 製作的惡意程式:

防毒:

入侵預防系統:

入侵指標

下列資料詳細列出了可疑的網域、IP 位址和檔案,可能表示 Patchwork 已入侵電腦:

可疑的網域和 IP 位址:

  • chinastrats.com
  • epg-cn.com
  • extremebolt.com
  • info81.com
  • lujunxinxi.com
  • militaryworkerscn.com
  • milresearchcn.com
  • modgovcn.com
  • newsnstat.com
  • nudtcn.com
  • socialfreakzz.com
  • 81-cn.net
  • cnmilit.com
  • nduformation.com
  • expatchina.info
  • info81.com
  • climaxcn.com
  • expatchina.info
  • miltechcn.com
  • miltechweb.com
  • securematrixx.com
  • 46.166.163.242
  • 212.129.13.110

 

偵測名稱 MD5 檔案名稱
Trojan.PPDropper 0bbff4654d0c4551c58376e6a99dfda0  
Trojan.PPDropper 1de10c5bc704d3eaf4f0cfa5ddd63f2d MilitaryReforms2.pps
Trojan.PPDropper 2ba26a9cc1af4479e99dcc6a0e7d5d67 2016_China_Military_PowerReport.pps
Trojan.PPDropper 375f240df2718fc3e0137e109eef57ee PLA_UAV_DEPLOYMENT.pps
Trojan.PPDropper 38e71afcdd6236ac3ad24bda393a81c6 militarizationofsouthchinasea_1.pps
Trojan.PPDropper 3e9d1526addf2ca6b09e2fdb5fd4978f How_to_easily_clean_an_infected_computer.pps
Trojan.PPDropper 475c29ed9373e2c04b7c3df6766761eb PLA_Forthcoming_Revolution_in_Doctrinal_Affairs.pps
Trojan.PPDropper 4dbb8ad1776af25a5832e92b12d4bfff maritime_dispute.pps
Trojan.PPDropper 4dbb8ad1776af25a5832e92b12d4bfff Clingendael_Report_South_China_Sea.pps
Trojan.PPDropper 543d402a56406c93b68622a7e392728d 2016_China_Military_PowerReport.pps
Trojan.PPDropper 551e244aa85b92fe470ed2eac9d8808a Assessing_PLA_Organisational_Reforms.pps
Trojan.PPDropper 6877e60f141793287169125a08e36941 Clingendael_Report_South_China_Sea.pps
Trojan.PPDropper 6d8534597ae05d2151d848d2e6427f9e cn-lshc-hospital-operations-excellence.pps
Trojan.PPDropper 74fea3e542add0f301756581d1f16126 Clingendael_Report_South_China_Sea_20160517Downloaded.pps
Trojan.PPDropper 812a856288a03787d85d2cb9c1e1b3ba  
Trojan.PPDropper 8f7b1f320823893e159f6ebfb8ce3e78  
Trojan.PPDropper b163e3906b3521a407910aeefd055f03 china_security_report_2016.pps
Trojan.PPDropper d456bbf44d73b1f0f2d1119f16993e93  
Trojan.PPDropper e7b4511cba3bba6983c43c9f9014a49d Chinastrats.com netflix2.pps
Trojan.PPDropper ebfa776a91de20674a4ae55294d85087 Chinese_Influence_Faces_2.pps
Trojan.PPDropper eefcef704b1a7bea6e92dc8711cfd35e Top_Five_AF.pps

1.和此攻擊活動有關的惡意 PowerPoint 投影片

偵測名稱 MD5 檔案名稱
Trojan.Mdropper 2099fcd4a81817171649cb38dac0fb2a  
Trojan.Mdropper 3d852dea971ced1481169d8f66542dc5 China_Vietnam_Military_Clash.doc
Trojan.Mdropper 4ff89d5341ac36eb9bed79e7afe04cb3 Cyber_Crime_bill.doc
Trojan.Mdropper 7012f07e82092ab2daede774b9000d64 china_report_EN_web_2016_A01.doc
Trojan.Mdropper 735f0fbe44b70e184665aed8d1b2c117 Cyber_Crime_bill.doc
Trojan.Mdropper 7796ae46da0049057abd5cfb9798e494  
Trojan.Mdropper e5685462d8a2825e124193de9fa269d9 PLA_Forthcoming_Revolution_in_Doctrinal_Affairs2.doc
Trojan.Mdropper f5c81526acbd830da2f533ae93deb1e1 Job_offers.doc

2.和此攻擊活動相關的惡意 RTF 檔案

偵測名稱 MD5
Backdoor.Steladok 0f09e24a8d57fb8b1a8cc51c07ebbe3f
Backodor.Enfourks 233a71ea802af564dd1ab38e62236633
Backdoor.Steladok 2c0efa57eeffed228eb09ee97df1445a
Backodor.Enfourks 3ac28869c83d20f9b18ebbd9ea3a9155
Trojan.Gen.2 465de3db14158005ede000f7c0f16efe
Trojan.Gen.2 4fca01f852410ea1413a876df339a36d
Backodor.Enfourks 61e0f4ecb3d7c56ea06b8f609fd2bf13
Backodor.Enfourks 6b335a77203b566d92c726b939b8d8c9
Backodor.Enfourks a4fb5a6765cb8a30a8393d608c39d9f7
Backodor.Enfourks b594a4d3f7183c3af155375f81ad6c3d
Backodor.Enfourks b7433c57a7111457506f85bdf6592d18
Backodor.Enfourks b7433c57a7111457506f85bdf6592d18
Backodor.Enfourks c575f9b40cf6e6141f0ee40c8a544fb8
Backodor.Enfourks d8102a24ca00ef3db7d942912765441e
Backdoor.Steladok f47484e6705e52a115a3684832296b39
Backodor.Enfourks f7ce9894c1c99ce64455155377446d9c
Infostealer ffab6174860af9a7c3b37a7f1fb8f381

3.和此攻擊活動相關的酬載

Statistics
0 Favorited
0 Views
0 Files
0 Shares
0 Downloads

Tags and Keywords

Related Entries and Links

No Related Resource entered.