印度多个商业、政府组织遭受间谍团体Suckfly攻击

在2016年3月,赛门铁克曾发表过一篇关于Suckfly攻击韩国组织,窃取数组证书的文章,Suckfly是一个网络间谍组织。调查发现,Suckfly自2014年4月,在两年间持续发起过一系列攻击。这些攻击都以政府或著名的商业组织为目标,虽然它们发生在不同的国家,但是主要目标是印度的个人和组织机构。

Suckfly使用其自定义的恶意软件Backdoor.Nidiran进行感染,而该恶意软件在印度地区的活跃度比其他地区都高。这表明,这些攻击是针对印度特定目标的有计划行动的一部分。

印度攻击活动

Suckfly的第一次活动开始于2014年4月,在此次活动中,多个跨行业的国际组织受到攻击,其中很多都是印度的知名商业组织,包括:

印度最大的经济组织之一

大型电商公司

该电商的主要供货商

印度前五IT企业之一

一个美国医疗保健机构的印度业务部

两个政府组织

与商业目标相比,Suckfly花费更多精力攻击政府网络。并且两个政府组织中的其中一个感染率最高。

政府组织#2负责为印度中央政府的不同部门实施和部署网络软件,因此其高感染率可能是因为它拥有其他印度政府组织的技术和信息的访问权限。

Suckfly对为政府提供技术服务的政府组织的攻击并不限于印度,也对沙特阿拉伯实施了此类攻击。

图二展示了根据行业分类的Suckfly攻击目标,大部分的攻击目标为政府和技术相关的企业和组织。

Suckfly攻击的生命周期

通过分析其中一次的攻击行为,我们详细分析了Suckfly的攻击流程。2015年4月22日到5月4日间,Suckfly对印度的一家电商组织实施了一次多级攻击。与其他攻击类似,Suckfly使用了Nidiran后门和多个黑客工具来感染目标的内网主机,这些工具和恶意软件使用了之前失窃的数字证书进行签名。在此期间,以下事件发生:

1、确认目标用户。虽然我们没有Suckfly如何获取目标信息的确凿证据,但是我们发现最初的目标中存在大量的开源数据,工作职能、公司邮箱地址、项目信息和公开可访问的个人博客都可以轻易在网络上找到。

2、2015年4月22日,Suckfly借助目标操作系统(Windows)中的一个漏洞,该漏洞允许攻击者让用户账户控制并安装Nidiran后门,来获取了系统的访问权限。虽然我们知道Suckfly使用了一个自定义的dropper安装后门,但是并不知道它的传播载体,根据目标的开源信息,我们猜测很可能他们使用了钓鱼邮件。

3、通过利用员工的操作系统,他们获取了电商企业的内网访问权限。证据表明,Suckfly使用了黑客工具进行横向移动和权限提升。Suckfly使用已签名的credential-dumping工具获取用户证书,使用该证书,攻击者就可以登录受害人账户,以员工身份进入内网。

4、4月27日,攻击者扫描了内网中8080、5900和40端口开放的主机。8080和5900端口是合法协议的通用端口,但是当这些端口不安全时就可能会被攻击者利用。目前尚不清楚攻击者为何会扫描40端口,因为它并不是常见协议使用的端口。通过攻击者扫描端口可以看出,他们企图扩大在内网中的立足点。

5、最后一步就是提取内网中的信息到Suckfly基础设施中。然而,我们知道Suckfly通过Nidiran后门窃取组织的信息,但不知道他们是否获取了其他信息。

这些攻击步骤发生在13天的攻击周期中的特定几天。在追踪他们使用黑客工具的具体时间时,通过分析使用命令行驱动的黑客工具,发现该组织只在星期一到星期五保持活跃状态。

Suckfly的命令和控制指令

Suckfly的恶意软件难以解析,进而在一定程度上限制了防护软件的检测。但是我们成功分析了Suckfly的恶意软件样本,并提取Nidiran后门和Suckfly命令控制服务器之间的通信。

该可执行文件包含以下三个文件:

1、dllhost.exe,.dll文件的主要host

2、iviewers.dll,用于下载加密的负载并解密

3、msfled,加密的负载

这三个文件是恶意软件正常运行必不可少的文件。一旦恶意软件成功执行,就会在运行前检查是否连接到网络。如果测试成功,就会通过443和8443端口向C&C服务器发送通信请求。分析发现,这两个端口和C&C信息被加密并硬编码到Nidiran恶意软件本身。Nidiran后门向C&C服务器发送如下初始化通信请求。

该信息被发送到有以下内容组成的cookie中:

[COOKIENAME]=[RC4 ENCRYPTED + B64 ENCODED DATA FROM VICTIM]

样本中的RC4加密密钥是硬编码的字符串“h0le”。一旦该cookie数据被解码,Suckfly就会获取网络名、主机名、IP地址和操作系统信息。

总结

Suckfly以众多印度商业组织和政府组织为目标,所有的这些目标都是对印度经济起到关键性作用的大企业。通过攻击这些目标,Suckfly会对印度及其经济造成重大影响。

Suckfly有足够的资源来开发恶意软件,购买基础设施,多年来开展有针对性的攻击并且关闭了组织的安全雷达。在此期间,他们从韩国公司窃取数字证书,针对印度和沙特实施攻击。目前没有证据表明Suckfly从这些攻击中获取利用,但是总会有人获利。

Suckfly攻击的性质表明,不太可能是他们自己组织了这些攻击。我们相信,Suckfly将继续瞄准印度和其他国家的类似组织,以为Suckfly背后的组织提供经济情报。

本文转自d1net(转载)

时间: 2024-09-20 06:05:26

印度多个商业、政府组织遭受间谍团体Suckfly攻击的相关文章

信息安全公司来打脸:攻击雅虎的是散兵 政府组织不背锅

北京时间9月29日早间消息,信息安全公司InfoArmor的一名人士指出,在2014年雅虎帐号遭遇大规模信息安全攻击的事件中,攻击者是信息安全罪犯,而不是由政府支持的组织. InfoArmor首席情报官安德鲁·科马洛夫(Andrew Komarov)表示,使用假名的受雇黑客攻破了雅虎网络,获得了其中的数据.雅虎上周表示,攻击者是"获得政府支持的行动者",而5亿用户被盗的信息可能包括姓名.电子邮件地址.电话号码,以及未加密的信息安全问题和答案. InfoArmor周三在报告中表示:&qu

韩国16家主要网站遭受第二次DDoS攻击

7月9日,韩国国家警察厅网络恐怖袭击应对中心一片忙碌. 不明身份的黑客9日晚向多家韩国主要网站发动第三次分布式拒绝服务(DDoS)攻击.前一晚,韩国16家主要网站遭受第二次DDoS攻击. 美国媒体说,黑客连日来攻击目标还包括纽约证券交易所.纳斯达克股票市场公司等金融机构网站.美国和韩国调查机构怀疑这些黑客攻击由朝鲜发起. 变种代码二次攻击 韩国联合通讯社报道,国会.国防部.外交通商部.国家情报院等机构9日晚6时起无法访问或访问速度极慢.国民银行.<朝鲜日报>.头号杀毒软件商安哲秀研究所以及驻韩

伊朗黑客组织手术刀向全球发起攻击

安全公司Cylance爆料,伊朗黑客组织"手术刀(Operation Cleaver)"正在全球范围内攻击航空.能源行业和国防领域."手术刀"由伊朗政府赞助,在它的攻击目标中目前有10个是美国重要基础设施.498)this.w idth=498;' onmousewheel = 'javascript:return big(this)' border="0" alt="伊朗黑客组织手术刀向全球发起攻击" src="h

绿盟科技网络安全威胁周报2017.15 建议关注方程式组织泄漏大量针对Windows攻击工具

绿盟科技发布了本周安全通告,周报编号NSFOCUS-17-15,绿盟科技漏洞库本周新增78条,其中高危48条.本次周报建议大家关注 方程式组织泄漏大量针对Windows攻击工具 .虽然微软发布公告称绝大部分这些漏洞已经在之前的系统升级补丁中修复,但用户还是应该检查自己的操作系统版本,及时更新补丁程序,关闭不必要的135,137,139,445与3389等服务端口,严格限制可信IP对于重要服务器的访问. 焦点漏洞 方程式组织泄漏大量针对Windows攻击工具 NSFOCUS ID 36403,36

新联在线发布关于遭受黑客占用宽带攻击的公告

王莹 7月7日,P2P网贷平台新联在线发布关于遭受黑客占用宽带攻击的公告.公告称,7日中午,新联在线客服收到黑客敲诈信息,随后网站出现不稳定现象.同时,公告表示此次黑客攻击,只是以占用宽带的方式导致平台系统暂时瘫痪,并不会造成任何投资者信息的泄露和财产的损失. 新联在线于2013年7月31日上线,而这已经是今年进入7月以来该平台第二次出现技术问题.2014年7月3日,该平台发布系统公告称,技术团队经排查发现平台存在重大安全漏洞,已于第一时间进行了技术修复. 近年,P2P网贷平台进入高速发展期,网

追踪调查来自印度的针对中国和南亚国家的大规模APT攻击

016年8月,Forcepoint 发布了一个APT攻击的追踪报告.该报告由Forcepoint安全实验室特别调查小组长期独立追踪完成.该调查小组隶属于Forcepoint安全实验室,由优秀的恶意软件逆向工程师和分析师组成,其职责是专门深入研究僵尸网络和APT攻击.他们与全球众多值得信赖的机构协作,以提供切实可见的决策为宗旨,向大众.客户以及合作伙伴等利益相关者传递相关信息,针对网络安全问题,警醒全球用户. Forcepoint特别调查报告: 追踪调查来自印度的针对中国和南亚国家的大规模APT攻

Madi是一次持续性的网络间谍行动,攻击目标位于中东地区

近日,卡巴斯基实验室的研究人员同高级威胁检测公司Seculert联合进行了一项针对"Madi"恶意攻击的调查,发现Madi是一次持续性的网络间谍行动,攻击目标位于中东地区.而卡巴斯基实验室的反病毒系统将Madi恶意软件变种以及相关的释放器和组件检测为 Trojan.Win32.Madi.据悉,Madi最初由Seculert发现,是一种网络入侵攻击行为,攻击过程中使用一种恶意木马程序,并利用社交工程技术对攻击目标进行仔细筛选. 卡巴斯基实验室联合Seculert共同对Madi的命令控制服

Forcepoint特别调查报告: 追踪调查来自印度的针对中国和南亚国家的大规模APT攻击

2016年8月,Forcepoint 发布了一个APT攻击的追踪报告.该报告由Forcepoint安全实验室特别调查小组长期独立追踪完成.该调查小组隶属于Forcepoint安全实验室,由优秀的恶意软件逆向工程师和分析师组成,其职责是专门深入研究僵尸网络和APT攻击.他们与全球众多值得信赖的机构协作,以提供切实可见的决策为宗旨,向大众.客户以及合作伙伴等利益相关者传递相关信息,针对网络安全问题,警醒全球用户. 图 诱饵文档标题组成的词云 Forcepoint安全实验特别小组这次发布的APT攻击跟

俄罗斯支持的DNC黑客组织对华盛顿智库发起攻击

据国防部官员透露,上周一个由俄罗斯所支持的黑客组织攻击了位于华盛顿,重点关注俄罗斯的智库团,该机构还曾是攻击民主党计算机网络的成员之一.犯罪者所在小组称为COZY BEAR,或APT29,根据两大网络安全公司之一的CrowdStrike创始人Dmitri Alperovitch的发言,DNC黑客组织需要对此次袭击事件负责. CrowdStrike发现了来自DNC的攻击并为智库提供安全服务. Alperovitch表示少于五个组织机构和10名研究俄罗斯的工作人员遭受到来自"极具针对性行动"