关键结论
>对象:在中国的政府机构和外交机构中,他们是进一步高层建筑双边关系人物和社会经济领域的相关人物,但他们都与中国的国际事务密切相关。从人人管理后台日志的分析结果可以看出,中国被感染了。
>袭击:疑似来自印尼
>攻击的目的是窃取敏感信息。
>攻击方式:负载发送就是渔叉邮件和水坑的攻击。
>攻击成本:控制成本资金的分配,主要是当前常用的工具和钓鱼攻击。
相关基础信息
事件名称:
倒下的大象或“中国战略”和“拼凑”,倒下的大象(另一个名字是“中国的预防措施”或“拼接”)
报告链接:
诺顿防病毒手机软件:
https://securelist.com/blog/research/75328/the-dropping-elephant-actor/
Cymmetria:
https://www.cymmetria.com/WP-contenthttp://www.easCK.com/uploads/2016/07/unfilling_patchwork.pdf
事件详解
>地域:亚洲。
>目标:
-全球范围内的自我
——关键在于许多双边关系和与中国有关的政府机构以及中国的国际事务。
-成千上万的目标遭到攻击。
>攻击时间:
——重点是2015年11月至2016年6月。
-2014年也是样本版本。
>拒绝服务攻击和常用工具:
-鱼叉攻击:
1)消息推送包含“ping”规则的电子邮件,
2)邮件地址加载明确目标后,消息推送至钓鱼邮件,exe文件放在Word备件中,有时备件是PPT;
3)重力梯度加载后,加载UPX打包的AutoITexe文件。
4)从C2网站服务器加载其他组件。
5)窃取数据信息
其中,网站漏洞扫描包括:
CVE-2012-0158字
CVE-2014-6352PPT
CVE-2014-4114
-水坑攻击:其他网站的新闻报道。如果客户想看所有的新闻报道,必须下载一个PPT文本文件,里面有恶意程序。
>C2
黑客经常从VPN登录,登录时间如图。黑客很可能位于东部时区5-7。
>恶意程序:侧门,窃取文件和档案,如这种*。doc*.pdf*.csv*.ppt*.docx*.pst*.xls*.xlsx*.附
隶属分析诺顿杀毒手机软件的逻辑推理;
有时候,他们会根据IP登录,这个IP属于印尼的一个一般的ISP。
cymmetria报告中的相关逻辑推理:
关键的受害者都来自印尼的邻国中国,其他目标都与伤害印尼的事件有关,所以黑客攻击至少是亲印尼的实体。
PPS文档的编译时间也显示黑客攻击来自印尼,工作时间为上午9点-晚上7点。
C&C主题活动的具体时间一般从周日开始,日常主题活动的具体时间不做UTC2:00,不晚于UTC11:00,符合黑客的工作时间。
所有攻击都发生在世界协调时3:00到15:00之间。
相关IOC
https://github.com/CymmetriaResearch/CymmetriaResearch
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)