专注于商业观察的IT媒体
登录×
资讯
2016-09-09

网络间谍组织将攻击目标转至中国香港

时间: 2016-09-09 编辑:

2016年9月9日,赛门铁克发布的安全公告称:网络间谍组织Buckeye将攻击目标转至中国香港,数家中国香...

hacker-1569744_1280

2016年9月9日,赛门铁克发布的安全公告称:网络间谍组织Buckeye将攻击目标转至中国香港,数家中国香港机构作为攻击目标。

据悉,Buckeye网络间谍组织又被称为APT3、Gothic Panda、UPS Team和 TG-0110,该组织已经成立超过五年,并主要针对美国及其他目标国家的企业组织开展攻击行动。但自 2015年6月起, Buckeye似乎逐渐将攻击重点转向中国香港的政府机构。2016年3月至今,该组织集中针对中国香港的相关机构进行恶意攻击。最近一次攻击发生在8月4日,Buckeye犯罪组织企图通过发送恶意电子邮件至被入侵的目标网络,以实现盗取信息的目的。

 过去,Buckeye组织因利用零日漏洞进行攻击而臭名昭著,包括在2010年攻击中使用的CVE-2010-3962和在2014 年使用的CVE-2014-1776。尽管Buckeye利用其他零日漏洞进行的攻击也被发现,但这些攻击活动并未得到赛门铁克的证实。赛门铁克安全人员表示,所有已知的或疑似被Buckeye组织利用的零日漏洞均来自Internet Explorer和Flash。

早在 2009 年,赛门铁克已发现Buckeye针对多个地区的多家机构展开攻击。Buckeye 曾通过远程访问木马(Backdoor.Pirpi)对一家美国机构的网络展开攻击。该犯罪组织通过附带Backdoor.Pirpi或链接的鱼叉式网络钓鱼电子邮件对目标进行攻击。如今,赛门铁克已经识别出该组织所使用的其他黑客工具。

通过赛门铁克与Blue Coat Systems的联合威胁情报服务,赛门铁克的安全团队清晰掌握了Buckeye组织在近几年的策略演变。这一发现能够帮助赛门铁克进一步增强安全防护功能,并帮助企业用户抵御该组织的攻击活动。

从 2015 年至今,赛门铁克发现在不同地区的大约82家组织机构的网络中发现Buckeye工具,但该现象无法准确反映出Buckeye攻击组织所感兴趣的攻击目标。赛门铁克认为,该组织通过采取“广撒网” 的方式寻找攻击目标,但只在感兴趣的企业机构网络中保持攻击活跃度。通过设定监测指标和深入观察,例如:Buckeye对某机构保持攻击活跃度超过1天、部署额外工具,针对多台计算机进行病毒传播等,赛门铁克发现Buckeye的攻击目标主要针对中国香港(13)、美国(3)和英国(1)的17 家组织机构。

值得注意的是:自2015年8月起,赛门铁克遥测技术发现中国香港的部分计算机感染 Backdoor.Pirpi。在 2016 年 3 月,针对中国香港的攻击比例出现大幅增长。2015年中期之前,Buckeye的传统攻击目标主要为不同类型的美国和英国组织机构。而在2015年6月,Buckeye的攻击目标发生巨大转变,开始攻击中国香港,并逐渐停止对英国和美国的攻击。2016年3月底至4月初,该恶意程序的感染数量出现大幅增长。不仅如此,赛门铁克同样在其他调查中发现与该恶意程序相关的恶意软件样本,并从而确定该犯罪组织的攻击目标为中国香港的政府机构。

赛门铁克提醒:在近期的部分攻击中,Buckeye使用带有恶意压缩附件(.zip)的鱼叉式网络钓鱼电子邮件,这些电子邮件的压缩文档附件中包含带有Microsoft Internet Explorer标识的Windows快捷方式 (.lnk) 文件。受害者一旦点击该快捷方式,计算机将会下载Backdoor.Pirpi恶意程序,并在受感染的计算机中执行。

版权声明:本文版权归数字商业时代所有,未经允许任何单位或个人不得转载,复制或以任何其他方式使用本文全部或部分,侵权必究。