- A+
神枪手行动使用新植入物主要针对说英语的核,国防,能源和金融公司。
研究人员发现了一项广泛的侦察运动,使用前所未有的种植体框架渗透到全球防御和关键基础设施参与者 - 包括核,国防,能源和金融公司。
该活动名为Operation Sharpshooter,于10月25日开始,当时通过Dropbox发送了大量恶意文件。 此后,该活动的植入物已出现在全球87个组织中,主要在美国和其他讲英语的公司。
单击以展开
“我们发现了一种新的高功能植入物,这是目标攻击试图获取智能的另一个例子,”迈克菲的Ryan Sherstobitoff和Asheer Malhotrawith在周三的一项分析中表示 。
他们补充说,恶意软件需要几个步骤才能展开。 初始攻击向量是包含武器化宏的文档。 下载后,它会将嵌入式shellcode放入Microsoft Word的内存中,后者充当第二阶段植入的简单下载程序。 下一阶段在记忆中运行并收集情报。
“受害者的数据被发送到控制服务器,由演员监控,然后确定接下来的步骤,”研究人员说。 他们补充说,这可能是为了更大规模的活动。
这些文件包含“在未知公司”的职位的英文职位描述,其中加载了韩语元数据 - 表明它们是使用韩语版的Microsoft Word创建的。
日出
根据该研究,该第二阶段植入物是一个完全模块化的后门,被称为Rising Sun,可对受害者的网络进行侦察。
单击以展开
值得注意的是,Rising Sun使用Duuzer后门的源代码,恶意软件首次用于2015年针对韩国组织数据的广告系列,主要用于制造业。 设计用于32位和64位Windows版本的Duuzer打开了一个后门,坏人可以通过后门收集系统信息。
在这种情况下,Rising Sun植入物收集并加密来自受害者的数据,并获取受害者设备的计算机名称,IP地址数据,本机系统信息等。
当第二阶段植入物正在下载时,控制服务器还会下载另一个OLE文档,研究人员称其“可能是良性的,用作隐藏恶意内容的诱饵”。
拉撒路错误的归因
研究人员注意到该运动的几个特征将其与Lazarus集团联系起来,但怀疑这些线索是故意种植的假旗帜,以便将两者联系起来。
例如,Rising Sun与Lazarus Group的Duuzer植入物类似 - 但是,这两者具有关键差异,包括它们的通信方法,使用的命令代码和加密方案。
研究人员说:“神枪手的操作与拉撒路集团的众多技术联系似乎太明显,不能立即得出结论,他们应对这些攻击负责,而是表明可能存在错误的旗帜。” “我们的研究重点是这个角色如何运作,全球影响以及如何发现攻击。 我们将归属于更广泛的安全社区。“
