FireEye发现针对日本媒体的中国APT10黑客攻击技术

  • A+
所属分类:网络安全新闻

今年7月,FireEye的安全研究人员发现并阻止了针对日本媒体界的中国APT10集团(又名Menupass和Stone Panda)开展的一项活动。

自2016年中期以来,专家们注意到该组织在针对性攻击中使用PlugX,ChChes,Quasar和RedLeaves恶意软件。

该集团至少自2009年以来一直活跃,2017年4月,来自普华永道英国和BAE系统公司的专家发现了一项广泛的黑客攻击活动,被追踪为Operation Cloud Hopper , 针对全球多个国家的托管服务提供商(MSP)。

在2018年7月,FireEye观察到该组利用鱼叉式网络钓鱼电子邮件进行的一系列新攻击,这些攻击使用武器化的Word文档,试图传递UPPERCUT后门,也被追踪为ANEL。

ANEL恶意软件在之前的攻击中已被视为测试版或候选发布版。

长矛网络钓鱼电子邮件具有难以理解的内容,并使用与海事,外交和朝鲜问题相关的标题。消息正文包含用于查看受密码保护的文档的密码。

对UPPERCUT样本的分析显示,他们的时间戳被覆盖并用零填充。专家们指出,UPPERCUT 5.2.x系列缺乏可见性,但他们推测,在2017年12月至2018年5月期间,每隔几个月就会发布次要版本。

由于时间戳被覆盖并用零填充,因此这里没有显示新版本中加载程序的编译时间。我们无法了解UPPERCUT 5.2.x系列,但可能会在2017年12月至2018年5月期间每隔几个月发布一次小修订。报告指出。

与以前的版本不同,导出的函数名称在最新版本中随机化

FireEye发现针对日本媒体的中国APT10黑客攻击技术

最新版本还实现了另一个新功能,当它无法从命令和控制(C&C)服务器接收HTTP响应时,它会在Cookie标头中发送错误代码。

恶意代码支持几个命令,例如:

新版本支持的命令包括:​​下载和验证文件; 上传文件到C&C; 加载PE文件; 下载,验证,执行文件,并将输出发送到C&C服务器; 格式化当前时间戳; 以PNG格式捕获桌面截图并将其发送给C&C; 通过cmd.exe执行接收缓冲区并将输出发送到服务器。

虽然APT10始终针对相同的地理位置和行业,但他们使用的恶意软件正在积极发展,FireEye总结道。

在较新版本的UPPERCUT中,后门初始化Blowfish加密密钥的方式发生了重大变化,这使得分析师更难以检测和解密后门的网络通信。这表明APT10非常能够维护和更新他们的恶意软件,

CE安全网
网络安全宣传推广

发表评论

您必须登录才能发表评论!