報告稱中國黑客組織APT15意圖使用新後門攻擊英國政府部門

在上周，來自網路安全公司NCC Group 的高級惡意軟體研究員Ahmed Zaki在卡巴斯基安全分析師峰會(SAS)上詳細介紹了關於涉嫌與中國存在關聯的黑客組織APT15針對英國政府服務提供商發起惡意攻擊活動的最新動態。

自2010年以來就一直保持活躍的黑客組織APT15，也被稱為Ke3chang、Mirage、Vixen Panda GREF和Playful Dragon。該組織在攻擊中通常使用自定義的惡意軟體以及利用各種漏洞，並主要針對全球目標開展了網路間諜活動。

在2017年5月，NCC Group公司應其客戶(英國政府服務提供商)的要求對APT15進行了追蹤調查，因為這些客戶似乎遭到了來自該組織發起的網路攻擊。

根據客戶的明確要求，NCC Group於2017年6月停止了調查，但在APT15設法重新獲得了對受害者網路的訪問許可權後，NCC Group的調查於8月份恢復。

Zaki闡述說：「該組織在我們停止調查的幾周後，就通過受害者企業的VPN解決方案重新獲得了訪問權，並從受感染的設備中獲取到了VPN證書。」

根據該組織在持續的活動中所竊取的敏感文件來看，他們的攻擊目標主要鎖定在英國各政府部門和軍事技術服務提供商。

Zaki表示，該組織在最新的活動中仍然沿用了之前使用的後門以及其他惡意軟體，但有兩個新的後門(RoyalCli和RoyalDNS)被運用。

後門RoyalCli 似乎是之前後門BS2005的升級版本，APT15對其進行了更加成熟的加密和編碼。與BS2005一樣，RoyalCli 同樣使用COM介面IWebBrowser2通過Internet Explorer與命令和控制(C&C)伺服器進行通信。

跟蹤為「RoyalDNS」的第二個後門程序則使用了DNS協議與C&C伺服器進行通信，並通過名為「Nwsapagent」的服務來實現了持久性機制。一旦執行，它將通過DNS返回輸出的命令。

Zaki指出，他們恢復了攻擊者針對受感染主機執行的200多條Windows命令。分析表明，APT15利用了Windows命令來枚舉和執行偵察活動，如tasklist.exe，ping.exe，netstat.exe，net.exe，systeminfo.exe，ipconfig.exe和bcp.exe。

為了在網路系統中橫向移動以尋找更多目標主機，該組織則通過了使用net命令的組合來實現。另外，一種稱為「RemoteExec」的工具(類似於微軟的Psexec)也得到了運用，以便能夠遠程執行批處理腳本和二進位文件。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！