转载

Zscaler:中国APT组织“熊猫使者”的活动新进展

上周,美国Zscaler公司发布了针对中国网络间谍APT组织“熊猫使者”的研究报告。而且还详尽描述了这个黑客组织是如何利用Hacking Team所泄漏出来的0day漏洞来对跨国金融服务公司进行网络攻击。在对这一系列的攻击事件进行了深入地分析和研究之后,我们发现,该组织在上个月的攻击行为中涉及到了相关领域的多个行业。

“熊猫使者”APT组织被怀疑是天朝的一个黑客组织,他们专门以政府和相关领域的技术部门作为其主要的攻击目标,并尝试从这些组织和机构中监视和窃取高科技的知识产权数据。

上个月,已经有多家国际公司受到了该组织的攻击,这些公司属于以下行业:

金融服务行业; 能源产业; 医药行业;

攻击链

正如我们之前所提到的那样,这是我们首次发现“熊猫使者”组织的攻击实例,在此次黑客事件中,该组织使用了经过特殊设计的恶意软件,并利用了Hacking Team所泄漏出来的0day漏洞。目前,我们可以确认该组织在攻击中所利用的漏洞有:Adobe Flash的0day漏洞CVE-2015-5119以及CVE-2015-5123。

在该组织在针对一家制药公司所发动的攻击过程中,我们观察到,该组织利用了一个受他们控制的政府官方网站,并通过这个网站来将网页的访问者重定向至一台存在Hacking Team Flash 0day漏洞的服务器。这种技术被称为“策略性网页攻击”(SWC),别名为“水坑攻击”。攻击者首先需要攻击一个合法的,并且受目标主机信任的网络站点,用户在访问这个网站时会认为这个网站是安全的,但这个网站会将这些访问者重定向至一台由攻击者所控制的服务器,然后这台由攻击者控制的服务器将便会利用目标主机的漏洞来对其进行攻击,并在目标主机中安装恶意软件。

Zscaler:中国APT组织“熊猫使者”的活动新进展

上图显示的是针对多家制药公司的APT攻击链

在此类攻击事件中,我们是有办法去阻止计算机去下载和安装RAT有效载荷的。

在另一类攻击事件中,该组织还利用了网络钓鱼电子邮件来对一家能源产业的公司进行攻击。针对该行业的网络攻击通常是无法成功的,因为Zscaler安全平台会检测并阻止所有尝试利用系统漏洞的行为。

Zscaler:中国APT组织“熊猫使者”的活动新进展

有关部门在上个月所检测到的“熊猫使者”APT攻击行为

目前,我们仍然在对这些攻击事件的攻击链进行调查和取证,我们将会在研究成果出来之后,第一时间将所有研究成果的详细信息公布给大家。

结论

“熊猫使者”针对美国,欧洲,中东,以及亚洲各国不同领域的组织和机构进行了范围如此之大的网络攻击,这一事实是令人震惊的。为了保护各大公司不受该组织的威胁,各大公司应当采用SSL安全检查机制以及沙盒环境来阻止相关的0day漏洞被不法分子所利用,这对于防御此类攻击来说是至关重要的。

* 参考来源: zscaler ,译者/lazynms 转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

正文到此结束
Loading...