报告称中国黑客组织APT15意图使用新后门攻击英国政府部门
在上周,来自网络安全公司NCC Group 的高级恶意软件研究员Ahmed Zaki在卡巴斯基安全分析师峰会(SAS)上详细介绍了关于涉嫌与中国存在关联的黑客组织APT15针对英国政府服务提供商发起恶意攻击活动的最新动态。
自2010年以来就一直保持活跃的黑客组织APT15,也被称为Ke3chang、Mirage、Vixen Panda GREF和Playful Dragon。该组织在攻击中通常使用自定义的恶意软件以及利用各种漏洞,并主要针对全球目标开展了网络间谍活动。CISSP培训
在2017年5月,NCC Group公司应其客户(英国政府服务提供商)的要求对APT15进行了追踪调查,因为这些客户似乎遭到了来自该组织发起的网络攻击。
根据客户的明确要求,NCC Group于2017年6月停止了调查,但在APT15设法重新获得了对受害者网络的访问权限后,NCC Group的调查于8月份恢复。
Zaki阐述说:“该组织在我们停止调查的几周后,就通过受害者企业的VPN解决方案重新获得了访问权,并从受感染的设备中获取到了VPN证书。”
根据该组织在持续的活动中所窃取的敏感文件来看CISSP培训,他们的攻击目标主要锁定在英国各政府部门和军事技术服务提供商。
Zaki表示,该组织在最新的活动中仍然沿用了之前使用的后门以及其他恶意软件,但有两个新的后门(RoyalCli和RoyalDNS)被运用。
后门RoyalCli 似乎是之前后门BS2005的升级版本,APT15对其进行了更加成熟的加密和编码。与BS2005一样,RoyalCli 同样使用COM接口IWebBrowser2通过Internet Explorer与命令和控制(C&C)服务器进行通信。以色列工控系统网络安全措施及其启示。
跟踪为“RoyalDNS”的第二个后门程序则使用了DNS协议与C&C服务器进行通信,CISSP培训并通过名为“Nwsapagent”的服务来实现了持久性机制。一旦执行,它将通过DNS返回输出的命令。
Zaki指出,他们恢复了攻击者针对受感染主机执行的200多条Windows命令。CISSP培训分析表明,APT15利用了Windows命令来枚举和执行侦察活动,如tasklist.exe,ping.exe,netstat.exe,net.exe,systeminfo.exe,ipconfig.exe和bcp.exe。
为了在网络系统中横向移动以寻找更多目标主机,该组织则通过了使用net命令的组合来实现。另外,一种称为“RemoteExec”的工具(类似于微软的Psexec)也得到了运用,以便能够远程执行批处理脚本和二进制文件。
更多的信息,包括IoC,可以在NCC Group发表的分析报告中找到,有兴趣的读者可以到NCC Group的网站进行查看。