2016年2月,在收到一個合作夥伴的警報後,卡巴斯基實驗室的全球研究和分析團隊開始了一項調查。很快,我們就發現一個可能是來自印度的網絡犯罪組織正在亞洲地區大肆進行網絡間諜攻擊行動。受攻擊目標主要為多個同中國和中國國際事務有關的外交和政府機構。儘管攻擊者只配備了較舊的漏洞利用程序和普通的攻擊工具,但他們還是針對多個高級目標進行了攻擊,包括一些西方國家機構。
這種被稱為「Dropping Elephant」(又被稱為「Chinastrats」)的網絡犯罪攻擊行動可以說是並不複雜。攻擊者主要依靠社交工程技術和低成本的惡意軟體以及漏洞利用程序進行攻擊。但是,這種攻擊手段似乎非常有效,所以這個網絡犯罪組織相當危險。從2015年11月到2016年6月,該犯罪組織對全球數千個目標發動了攻擊。除此之外,他們在攻擊開始的最初幾個月,就從至少數十個受害者那裡成功竊取到文件。
攻擊工具:簡單但是有效
· 在初始攻擊時,Dropping Elephant網絡犯罪組織會發送大量郵件到之前收集的同被攻擊目標有關的郵件地址。攻擊者發送的魚叉式釣魚攻擊郵件包含獲取遠程內容的參考,這些內容沒有嵌入郵件本身,而是需要從外部資源下載。郵件本身沒有任何惡意功能,僅包含一個簡單的「ping」請求。一旦受攻擊目標打開郵件,會發送ping請求到攻擊者的伺服器。之後,會自動發送一條包含收件人基本信息的消息給攻擊者,其中包括:受害者的IP位址、所使用的瀏覽器類型以及受害者使用的設備類型和位置信息。
· 利用這種簡單的手段,攻擊者可以過濾出最重要的攻擊目標,之後實施更具針對性的魚叉式釣魚攻擊。這種郵件通常使用包含CVE-2012-0158漏洞利用程序的Word文檔,或者使用包含CVE-2014-6352漏洞利用程序的PowerPoint文檔。這兩種漏洞利用程序早就已經公開,但是仍然有效。
· 有些受害者還會遭遇水坑式攻擊:受害者會收到一封郵件,其中的連結指向一個偽裝成專注中國對外事務的政治新聞門戶網站。該網站上的大部分連結指向一種PPS格式(PowerPoint文檔)的內容,其中包含惡意代碼。
儘管攻擊者利用的漏洞已經得到微軟公司的修補,攻擊者仍然能夠依靠社交工程技巧感染受攻擊目標,前提是受攻擊者忽視多個安全警告,仍然堅持啟用文檔中的危險功能。惡意PPS中的內容是仔細篩選過的,其中包含一些真實的廣受關注的地緣政治話題,所以這些文檔看上去很真實,很容易獲取受害者的信任,從而打開這些文檔。這種攻擊手段導致很多受害者被感染。
· 成功利用漏洞後,會在受害者計算機上安裝一系列惡意工具。
· 之後,這些攻擊會收集和發送以下類型的數據到攻擊者:Word文檔、Excel表格、PowerPoint演示文檔、PDF文件、保存在瀏覽器中的登陸憑證。
除了社交工程攻擊手段和漏洞利用程序攻擊外,Dropping Elephant使用的一款後門程序還使用了借自其他攻擊組織的C&C通訊手段:將命令和控制伺服器(C&C)的真實位置以文章評論的形式留在合法的公共網站上。這種技巧之前就被發現過,只是在Miniduke和其他攻擊組織的實施過程更為複雜。網絡罪犯之所以這樣做,目的是讓調查攻擊變得更為複雜。
根據卡巴斯基實驗室研究人員掌握到的受攻擊目標信息,Dropping Elephant主要針對兩大類組織和個人進行攻擊,分別為:基於中國的政府和外交機構以及同上述機構有關的個人,此外還包括這些機構位於其他國家的合作夥伴。
卡巴斯基實驗室的專家在全球範圍內共發現幾百個被攻擊目標,其中大多數位於中國,其他被攻擊目標則位於巴基斯坦、私立拉開、烏拉圭、孟加拉、臺灣、澳大利亞、美國和其他一些國家,或者同這些國家有關。
有跡象顯示,這一攻擊組織來自印度。但是另一方面,沒有切實的證據顯示這次攻擊行動同政府支持有關。
對攻擊行動的分析顯示,攻擊者所在的時區似乎是在UTC+5或UTC+6。有趣的是,從2016年5月開始,卡巴斯基實驗室的研究人員發現該攻擊組織在一個新的地區展開了新的攻擊行動,這一地區包括太平洋標準時區地區,其攻擊時間也對應美國西海岸的辦公時間。發生這一現象的原因,可能是Dropping Elephant團隊中新增了攻擊成員。
卡巴斯基實驗室全球研究和分析團隊亞太區研究中心總監 Vitaly Kamluk表示: 「儘管使用了簡單和廉價的工具和漏洞利用程序,但這一攻擊團隊似乎獲取到大量有價值的情報信息。可能是由於這一原因,該攻擊組織在2016年5月進行了擴張。這次擴張也表明,這次的攻擊行動不會很快結束。符合被攻擊者特徵的組織和個人一定要加強防範。好消息是,我們還未發現這一攻擊組織使用複雜的、難以被檢測的攻擊手段和工具進行攻擊。這意味著他們的攻擊行為很容易被識別。但是這一情況可能隨時會改變。」
卡巴斯基實驗室願意同受影響國家的計算機緊急響應小組和執法機關合作,將相關攻擊情報告知受感染組織和個人,幫助他們清除威脅。
為了保護自己以及您所在組織不受這種網絡間諜攻擊組織的侵害,卡巴斯基實驗室的安全專家建議採取以下安全措施:
· 遵循基礎的網際網路安全規則行事:不要打開來自未知發件人的郵件附件,定期更新所使用的軟體和作業系統;
· 使用可靠的能夠應對最為複雜的網絡威脅的安全解決方案;
· 一定要注意,有些看上去合法(正常)的文檔可能是針對你所在企業或組織進行的針對性攻擊的第一階段。大型企業可以使用反針對性攻擊解決方案攔截企業網絡中的危險行為,在惡意軟體安裝和竊取數據之前將其攔截;
· 目前,確保安全的最佳辦法是時刻關注針對性攻擊的最新演化情況。使用威脅情報服務了解攻擊者使用的最新攻擊手段,掌握何種保護手段能夠讓這些攻擊手段變得無效。
卡巴斯基實驗室的解決方案將Dropping Elephant惡意軟體檢測為:
· Exploit.Win32.CVE-2012-0158;
· Exploit.MSWord.CVE-2014-1761;
· Trojan-Downloader.Win32.Genome;
· HEUR:Trojan.Win32.Generic.
· Trojan.Win32.Agent.ijfx
· Trojan-Ransom.Win32.PolyRansom.bel
· Trojan.Win32.Autoit.fdp
卡巴斯基實驗室解決方案還能夠檢測攻擊所使用的文檔中的漏洞利用程序。
想要了解更多關於Dropping Elephant網絡間諜組織的詳情,請閱讀我們在Securelist.com上的博文。
卡巴斯基實驗室APT情報報告服務客戶可以獲取到有關Dropping Elephant的報告全文。要了解更多,請點擊:http://www.kaspersky.com/enterprise-security/apt-intelligence-reporting
Learn more about how Kaspersky Lab products can protect users from this threat.
了解更多關於卡巴斯基實驗室產品如何保護用戶免受此威脅請點擊。
關於卡巴斯基實驗室
卡巴斯基實驗室是一家成立於1997年的全球網絡安全公司。卡巴斯基實驗室不斷將深度威脅情報和安全技術轉化成最新的安全解決方案和服務,為全球的企業、關鍵基礎設施、政府和消費者提供安全保護。公司提供全面的安全產品組合,包括領先的端點保護解決方案以及多種針對性的安全解決方案和服務,全面抵禦複雜的和不斷演化的數字威脅。全球有超過4億用戶使用卡巴斯基實驗室技術保護自己,我們還幫助全球270,000家企業客戶保護最重要的東西。
更多信息請訪問www.kaspersky.com.cn。