安基网 欢乐生肖 资讯 安全报 查看内容

揭秘网络间谍组织“TICK”:目标锁定国防、航空航天、卫星行业

2019-12-30 09:46| 投稿: |来自:


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 自2008年以来,趋势科技一直在追踪一个名为“TICK”(也被称为“BRONZE BUTLER”或“REDBALDKNIGHT”)的网络间谍组织,并在2018年11月观察到,由该组织部署的恶意软件出现了不同寻常的激增。除数量激增外,趋势科技还发现该组织已开发出新的恶意软件家族,它们不仅能够绕过目前市面上大多数杀毒软件的 ...

自2008年以来,趋势科技一直在追踪一个名为“TICK”(也被称为“BRONZE BUTLER”或“REDBALDKNIGHT”)的网络间谍组织,并在2018年11月观察到,由该组织部署的恶意软件出现了不同寻常的激增。

除数量激增外,趋势科技还发现该组织已开发出新的恶意软件家族,它们不仅能够绕过目前市面上大多数杀毒软件的检测,而且还能够为攻击者提供更多入侵所需的权限。

在这场被趋势科技命名为“Operation ENDTRADE”的新行动中,该组织还使用了合法的电子邮件账户和证书来传播恶意软件,目标主要集中在掌握高度机密信息的行业,如国防、航空航天、化工和卫星行业等。

值得一提的是,大多数企业的总部都位于日本,且在中国设有子公司。

鱼叉式钓鱼电子邮件

图1. ENDTRADE行动的时间表

在今年1月份,TICK分别针对一家日本经济研究公司和一家公共关系(PR)机构发送了鱼叉式钓鱼电子邮件,旨在窃取电子邮箱凭证和文件。

图2.鱼叉式钓鱼电子邮件样本

根据样本所使用的硬编码语言(932和936),趋势科技认为,ENDTRADE行动的目标似乎是在中国设有子公司的日本企业。

图3.硬编码的语言代码

新的恶意软件家族

在ENDTRADE行动中,TICK使用了两种新的恶意软件家族——Avenger和down_new。

图4.新的下载器和木马

Avenger

针对不同的攻击目标,TICK所使用的Avenger版本会有所区别,但都会执行三步操作:

1。收集受感染主机的卷信息、已安装的杀毒软件和操作系统版本,然后将这些信息发送给命令和控制(C&C)服务器,以判定主机是否预期目标。

图5。第一步:收集信息

2。通过浏览文件夹、文件和域信息,从受感染主机收集有关受害者的详细信息。

图6.第二步:收集到的信息被写入.txt文件

3。下载一个内嵌恶意软件的图片(隐写术),并提取后门程序。

图7.第三步:将加密文件发送给C&C服务器

图8。隐藏在图片中的后门程序

图9.升级版本的隐写术

down_new

down_new具有如下功能:

  • 将自运行添加到注册表;
  • 获取MAC地址和卷信息,并上传到C&C服务器;
  • 仅在工作时间(早8点到晚6点)执行(使用kernel32.GetLocalTime API);
  • 使用AES加密和base64编码加密消息;
  • 将合法网站用作C&C服务器;
  • 检测杀毒软件及相关进程。

图10.down_new的命令列表

其他恶意软件

Casper

Casper是Cobalt Strike后门程序的修改版本,隐藏在隐写术图片中,并使用了两种技术来绕过杀毒软件的检测:一种技术涉及到使用具有动态链接库(DLL)侧加载技术的合法Windows应用程序来启动自身;另一个涉及将后门程序的shellcode注入svchost。exe。

图11。注入svchost。exe的Shellcode

DATPER

趋势科技在此次行动中捕获的DATPER样本拥有两个调整过的互斥锁——d0ftyzxcdrfdqwe和*&Hjgfc49gna-2-tjb,它们能够受感染主机中检索信息。

此外,最新的DATPER变种还拥有一组新的参数,允许它绕过杀毒软件的检测。

图12. DATPER带有独立参数的新互斥锁

公开可用的远控木马和开源工具

在ENDTRADE行动中,TICK还使用了一些公开可用的远控木马和开源工具,如Lilith RAT以及Mimikatz(Windows密码抓取神器)、RAR压缩工具、端口映射工具和截屏工具等。

图13。经修改的截屏工具

图14.经修改的Mimikatz

结论

TICK是一个有组织且已经存在已久的网络间谍组织,攻击目标主要是高价值的个人和组织,并拥有发起复杂攻击所需的技能和资源。

ENDTRADE行动再次告诉我们,国家关键基础设施和跨国企业更加需要强有力的监测系统, 而员工的网络安全意识仍将是确保企业正常运营得以维持的关键。



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6766045762074706444/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

相关阅读

最新评论

 最新
返回顶部
三分PK拾平台 山东群英会走势图 幸运飞艇官网 极速快乐8 幸运飞艇官网 吉林快3 幸运飞艇官网 天津十一选五前三走势 欢乐生肖 秒速时时彩