2016年2月,在收到一个合作伙伴的警报后,卡巴斯基实验室的全球研究和分析团队开始了一项调查。很快,我们就发现一个可能是来自印度的网络犯罪组织正在亚洲地区大肆进行网络间谍攻击行动。受攻击目标主要为多个同中国和中国国际事务有关的外交和政府机构。尽管攻击者只配备了较旧的漏洞利用程序和普通的攻击工具,但他们还是针对多个高级目标进行了攻击,包括一些西方国家机构。

arping机制(DroppingElephant一个利用普通工具攻击的网)(1)

这种被称为“Dropping Elephant”(又被称为“Chinastrats”)的网络犯罪攻击行动可以说是并不复杂。攻击者主要依靠社交工程技术和低成本的恶意软件以及漏洞利用程序进行攻击。但是,这种攻击手段似乎非常有效,所以这个网络犯罪组织相当危险。从2015年11月到2016年6月,该犯罪组织对全球数千个目标发动了攻击。除此之外,他们在攻击开始的最初几个月,就从至少数十个受害者那里成功窃取到文件。

攻击工具:简单但是有效

·在初始攻击时,Dropping Elephant网络犯罪组织会发送大量邮件到之前收集的同被攻击目标有关的邮件地址。攻击者发送的鱼叉式钓鱼攻击邮件包含获取远程内容的参考,这些内容没有嵌入邮件本身,而是需要从外部资源下载。邮件本身没有任何恶意功能,仅包含一个简单的“ping”请求。一旦受攻击目标打开邮件,会发送ping请求到攻击者的服务器。之后,会自动发送一条包含收件人基本信息的消息给攻击者,其中包括:受害者的IP地址、所使用的浏览器类型以及受害者使用的设备类型和位置信息。

·利用这种简单的手段,攻击者可以过滤出最重要的攻击目标,之后实施更具针对性的鱼叉式钓鱼攻击。这种邮件通常使用包含CVE-2012-0158漏洞利用程序的Word文档,或者使用包含CVE-2014-6352漏洞利用程序的PowerPoint文档。这两种漏洞利用程序早就已经公开,但是仍然有效。

·有些受害者还会遭遇水坑式攻击:受害者会收到一封邮件,其中的链接指向一个伪装成专注中国对外事务的政治新闻门户网站。该网站上的大部分链接指向一种PPS格式(PowerPoint文档)的内容,其中包含恶意代码。

尽管攻击者利用的漏洞已经得到微软公司的修补,攻击者仍然能够依靠社交工程技巧感染受攻击目标,前提是受攻击者忽视多个安全警告,仍然坚持启用文档中的危险功能。恶意PPS中的内容是仔细筛选过的,其中包含一些真实的广受关注的地缘政治话题,所以这些文档看上去很真实,很容易获取受害者的信任,从而打开这些文档。这种攻击手段导致很多受害者被感染。

·成功利用漏洞后,会在受害者计算机上安装一系列恶意工具。

·之后,这些攻击会收集和发送以下类型的数据到攻击者:Word文档、Excel表格、PowerPoint演示文档、PDF文件、保存在浏览器中的登陆凭证。

除了社交工程攻击手段和漏洞利用程序攻击外,Dropping Elephant使用的一款后门程序还使用了借自其他攻击组织的C&C通讯手段:将命令和控制服务器(C&C)的真实位置以文章评论的形式留在合法的公共网站上。这种技巧之前就被发现过,只是在Miniduke和其他攻击组织的实施过程更为复杂。网络罪犯之所以这样做,目的是让调查攻击变得更为复杂。

根据卡巴斯基实验室研究人员掌握到的受攻击目标信息,Dropping Elephant主要针对两大类组织和个人进行攻击,分别为:基于中国的政府和外交机构以及同上述机构有关的个人,此外还包括这些机构位于其他国家的合作伙伴。

卡巴斯基实验室的专家在全球范围内共发现几百个被攻击目标,其中大多数位于中国,其他被攻击目标则位于巴基斯坦、私立拉开、乌拉圭、孟加拉、台湾、澳大利亚、美国和其他一些国家,或者同这些国家有关。

有迹象显示,这一攻击组织来自印度。但是另一方面,没有切实的证据显示这次攻击行动同政府支持有关。

对攻击行动的分析显示,攻击者所在的时区似乎是在UTC 5或UTC 6。有趣的是,从2016年5月开始,卡巴斯基实验室的研究人员发现该攻击组织在一个新的地区展开了新的攻击行动,这一地区包括太平洋标准时区地区,其攻击时间也对应美国西海岸的办公时间。发生这一现象的原因,可能是Dropping Elephant团队中新增了攻击成员。

卡巴斯基实验室全球研究和分析团队亚太区研究中心总监Vitaly Kamluk表示:“尽管使用了简单和廉价的工具和漏洞利用程序,但这一攻击团队似乎获取到大量有价值的情报信息。可能是由于这一原因,该攻击组织在2016年5月进行了扩张。这次扩张也表明,这次的攻击行动不会很快结束。符合被攻击者特征的组织和个人一定要加强防范。好消息是,我们还未发现这一攻击组织使用复杂的、难以被检测的攻击手段和工具进行攻击。这意味着他们的攻击行为很容易被识别。但是这一情况可能随时会改变。”

卡巴斯基实验室愿意同受影响国家的计算机紧急响应小组和执法机关合作,将相关攻击情报告知受感染组织和个人,帮助他们清除威胁。

为了保护自己以及您所在组织不受这种网络间谍攻击组织的侵害,卡巴斯基实验室的安全专家建议采取以下安全措施:

·遵循基础的互联网安全规则行事:不要打开来自未知发件人的邮件附件,定期更新所使用的软件和操作系统;

·使用可靠的能够应对最为复杂的网络威胁的安全解决方案;

·一定要注意,有些看上去合法(正常)的文档可能是针对你所在企业或组织进行的针对性攻击的第一阶段。大型企业可以使用反针对性攻击解决方案拦截企业网络中的危险行为,在恶意软件安装和窃取数据之前将其拦截;

·目前,确保安全的最佳办法是时刻关注针对性攻击的最新演化情况。使用威胁情报服务了解攻击者使用的最新攻击手段,掌握何种保护手段能够让这些攻击手段变得无效。

卡巴斯基实验室的解决方案将DroppingElephant恶意软件检测为:

·Exploit.Win32.CVE-2012-0158;

·Exploit.MSWord.CVE-2014-1761;

·Trojan-Downloader.Win32.Genome;

·HEUR:Trojan.Win32.Generic.

·Trojan.Win32.Agent.ijfx

·Trojan-Ransom.Win32.PolyRansom.bel

·Trojan.Win32.Autoit.fdp

卡巴斯基实验室解决方案还能够检测攻击所使用的文档中的漏洞利用程序。

想要了解更多关于Dropping Elephant网络间谍组织的详情,请阅读我们在Securelist.com上的博文。

卡巴斯基实验室APT情报报告服务客户可以获取到有关Dropping Elephant的报告全文。要了解更多,请点击:http://www.kaspersky.com/enterprise-security/apt-intelligence-reporting

Learn moreabout how Kaspersky Lab products can protect users from this threat.

了解更多关于卡巴斯基实验室产品如何保护用户免受此威胁请点击。

关于卡巴斯基实验室

卡巴斯基实验室是一家成立于1997年的全球网络安全公司。卡巴斯基实验室不断将深度威胁情报和安全技术转化成最新的安全解决方案和服务,为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合,包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务,全面抵御复杂的和不断演化的数字威胁。全球有超过4亿用户使用卡巴斯基实验室技术保护自己,我们还帮助全球270,000家企业客户保护最重要的东西。

,