在2012年,我们看到了各式各样的APT攻击活动利用Microsoft Word的漏洞:CVE-2012-0158。这是一种转变,之前最常被利用的Word漏洞是CVE-2010-3333。虽然我们还是继续看到CVE-2012-0158被大量的使用,但我们也注意到恶名昭彰的MiniDuke攻击所制造的针对Adobe Reader漏洞:CVE-2013-0640的攻击程序代码使用量正在增加。这些恶意PDF文件所植入的恶意软件和MiniDuke并无关系,但却和正在进行中的APT——高级持续性渗透攻击——活动有关。
通过恶意PDF攻击程序代码进行的APT攻击正在大量增加
Zegost
趋势科技所发现的一组恶意PDF文件,包含上述漏洞攻击码的诱饵,使用了越南文,文件名也是相同的语言。
图一、诱饵文件样本
这些PDF文件内嵌与MiniDuke攻击活动类似的JavaScript程序代码。相似之处包括了类似的函数和变量名。
图二、类似的JavaScript程序代码
使用Didier Steven的PDFiD工具分析该PDF文件发现,这两个PDF文件非常相似。虽然并非完全相同,但两者之间的相似之处是难以否认的。有意思的地方是“/Javascript”、“/OpenAction”和“/Page”。这些地方分别代表有JavaScript出现,有某种自动行为出现和页码的具体信息。这三个项目可以帮我们确认MiniDuke和Zegost的相似之处。
植入的文件和数据也差不多。这两种攻击活动都植入了相同数量的文件,有着非常相似的文件名与类似的目的。即使注册表的修改部分也很类似。
不过这也是所有相似之处。这些PDF所植入的文件被称为Zegost(或HTTPTunnel),曾经在之前的攻击里发现过。和MiniDuke攻击所植入的恶意软件并无关联。Zegost恶意软件有个鲜明的特征:
|
命令和控制服务器?C dns.yimg.ca所反查出的IP ?C 223.26.55.122,一直被用在比较知名的命令和控制服务器上,例如imm.conimes.com和iyy.conimes.com。用来注册该域名的电子邮件地址?Cllssddzz@gmail.com,也曾被用来注册scvhosts.com(另外一个已知的C&C服务器器)和updata-microsoft.com,应该也是有问题的域名。
PlugX
第二组恶意PDF文件间并不一定都直接有关联,虽然它们都会值入不同的PlugX变种。我们所分析的攻击似乎主要针对日本、韩国和印度的目标。
然而虽然这些攻击也利用了漏洞:CVE-2013-0640,但是它们和上面所讨论的样本不同。比较文件时就可以看出差异,例如使用的PDF格式版本:
PlugX也会植入文件和数据,但是却和Zegost或MiniDuke都不相同。文件数量不同,植入原因也不同。
PlugX:HHX
PlugX的第一组变种会利用Microsoft HTML辅助说明编译程序,就如同这篇文章所描述的一样。我们已经看到这变种被用在目标攻击活动中。在这个案例中,攻击者对目标发送了一封电子邮件,诱使他们打开恶意附件文件。
我们所分析的样本会将文件植入文件夹hhx中,并且利用正常的Microsoft文件hhx.exe载入hha.dll,接着再载入hha.dll.bak。我们分析文件所使用的命令和控制服务器是14.102.252.142。
PlugX:PDH
我们所分析的第二组PlugX变种,会将文件植入到文件夹PDH中,并且利用已经签名过的QQ浏览器更新服务文件载入PDH.dll,接着会载入PDH.pak。
图三、签名过的文件
这些文件会利用dnsport.chatnook.com、inter.so-webmail.com和223.25.242.45做为命令和控制服务器。
结论
趋势科技的研究显示这些APT活动的攻击者开始利用MiniDuke攻击活动所制造的漏洞攻击码,并将其加入到自己的军火库中。与此同时,我们也发现似乎有其他APT攻击活动已经开发出自己的方式来利用相同的漏洞。攻击漏洞:CVE-2013-0640的恶意PDF数量增加,也代表了APT攻击者从使用恶意Word档案攻击相对老旧的漏洞:CVE-2012-0158开始转移阵地了。
(责任编辑:)
