Dropping Elephant黑客组织使用旧的Windows漏洞施行攻

DroppingElephant黑客组织使用旧的Windows漏洞施行攻

老话说，没必要自以为是。电信诈骗组织也是如此，不能只从他们利用的安全漏洞来鉴别一个黑客联盟的专业能力。据国外媒体报道，诺顿反病毒移动软件实验室的全球研究和分析卓越团队发现了一个电信诈骗组织。目前，这个黑客联盟已经在蓄意攻击亚洲的互联网技术情报特工，攻击的目标是中国多个与中国和亚洲国际事务有关的外交部门和政府机构。据调查，该电信诈骗组织在攻击互联网技术时使用了一些老旧的安全漏洞和黑客工具，攻击手段和整个过程并不复杂，但仍然成功攻击了许多高层目标，包括欧洲国家的一些重要机构。

根据安全因素研究专家教授透露的信息，诺顿杀毒手机软件实验室首先发现了这个名为“滴象”的电信诈骗组织。该机构在2015年11月中旬至今年6月，互联网科技刑事犯罪发现异常活动。诺顿移动软件实验室(NortonMobileSoftwareLab)今天发布了一份报告，并在报告中称:该机构一直在使用钓鱼攻击和一些性价比较高的恶意软件来攻击目标，而且是针对一些过时的老安全漏洞，比如已经成功修复了很久的Windows网络安全问题。

根据科研人员的报告，这个黑客联盟的重要目标基本位于亚洲。中国的政府机构和外交部门，以及许多海外驻华大使馆和双边关系办公室都是黑客联盟的重要目标。这一类还包括乌兹别克斯坦、斯里兰卡、丹麦、孟加拉国、中国台湾省、澳大利亚和美国。

诺顿反病毒移动软件实验室APAC全球研究和分析卓越团队负责人维塔利·卡姆卢克(VitalyKamluk)在接受主流媒体采访时解释道:“虽然这个电信诈骗组织使用的专业性非常简单，但黑客工具也非常值得使用，使用的安全漏洞也是一些长期存在的网络安全问题。但从表面上看，黑客联盟似乎非常擅长收集和获取每个组织的信息。很可能也是因为这个原因，该机构在2016年5月进行了扩张。这种扩大也说明这次攻击不容易快速结束。符合目标和自身特点的机构必须提高安全性。不过，好消息是，我们还没有发现这个攻击组织使用复杂且不可检测的攻击方法和常用工具进行攻击。这意味着他们的攻击性行为很容易被识别，但这种情况很可能会随时改变。”

对攻击的分析表明，攻击者的时区似乎是UTC5或UTC6。有意思的是，从2016年5月初开始，诺顿杀毒手机软件实验室的科研人员发现，攻击机构在一个新的地区发起了新的攻击，包括中国的太平洋标准时区，其攻击时间也与美国西海岸的工作时间相吻合。造成这种情况的原因，可能是滴象优秀团队提升了新的黑客技术成员。

和大多数黑客联盟一样，在最初的攻击中，滴象电信诈骗机构会向目标消息推送大量互联网技术钓鱼邮件，而该机构早在此之前就已经收集并到达了与目标相关的邮件地址。攻击者推送的钓鱼邮件中含有远程 *** 作内容的导入链接，但这类内容并没有嵌入到邮件本身，只需要从外部资源中获益即可。电子邮件本身并不具备所有预期的功能，只是包含一个简单的“ping”规则。一旦目标打开电子邮件，消息将被推送到攻击者的网站服务器。效率，目标主机会自动向攻击者推送一条包含接收方基本信息的消息，包括:目标客户的IP地址，目标使用的浏览器类型，目标客户使用的机械设备类型和地理位置信息。

根据这种简单的攻击方法，攻击者可以过滤掉最重要的目标信息，便于后期进行更有针对性的钓鱼攻击。这类邮件一般使用包含CVE-2012-0158安全漏洞利用程序的Word文本文件，或者包含CVE-2014-6352安全漏洞利用程序的PowerPoint文本文件。两种利用安全漏洞的 *** 作程序早就暴露出来了，但是这些安全漏洞仍然可以被利用。

虽然攻击者利用的安全漏洞早已被微软中国成功修复，但攻击者仍能根据钓鱼攻击感受到目标，但必要条件是攻击者无视诸多安全警告，执意开启文本文件中的风险函数。

除此之外，根据诺顿反病毒移动软件实验室的调查报告，一些目标甚至会再次继续受到puddles的攻击。目标客户会收到一封意向邮件，邮件中的连接偏向于一个冒充技术专业人士处理中国开放事务扩大的政治新闻门户网站。这个网址上的大部分链接都在强调一个PPS格式文件(PowerPoint文本文件)的内容，这个文本文件包含了故意攻击号。

诺顿杀毒手机软件实验室解释说:“意向PPS文本文件中的内容是经过精心挑选的，因为这类包含地缘政治话题讨论的新闻报道看起来更真实，目标客户点击阅读起来会更容易。正因为如此，很多顾客会觉得尴尬。”

根据诺顿杀毒手机软件实验室的报告，在故意的有效载荷应用被强制执行后，攻击者会将一个由UPX(一个完全免费开源网站的可执行程序解压软件)封装的AutoIT可执行脚本导入目标系统。成功后，AutoIT脚本会自动从攻击者的服务器上下载其他有意组件，然后首先从目标网络服务器上窃取机密文本文件和数据信息。

在分析掉象黑客联盟使用的AutoIT可执行程序后，安全因素研究的专家教授在这里发现了一个内嵌的AutoIT3脚本。安全系数研究人员在报告中提到:“程序运行时，会一键从云服务器下载其他恶意软件，并提交相关目标系统的一些基本信息。此外，恶意软件还会继续再次窃取客户的商业秘密数据信息，包括存储在GoogleChrome浏览器中的超级管理员凭据。"

此外，恶意软件还会一次又一次地继续解析xml目标系统中的文件目录，从中收集文本文档(doc、docx、PPT、pptx、PPS、ppsx、xls、xlsx、pdf)，然后将此类文件上传到攻击者的C&Cweb服务器。

滴象黑客联盟采取的攻击方式并不复杂。攻击者大量利用钓鱼攻击专业性和一些性价比高的恶意软件。不过他们的攻击手段很有效，某种程度上这个黑客联盟的威胁还是很大的。

欢迎分享，转载请注明来源：内存溢出

原文地址:https://54852.com/zz/771865.html