以全球關鍵基礎設施為目標的新攻擊活動——Operation Sharpshooter

McAfee高級威脅研究團隊和McAfee Labs惡意軟體研究團隊發現了一個全新的、針對全球範圍的攻擊行動，該項行動名為Operation sharpshot，所涉及到的行業包括核能、防禦、能源、金融等。該項行動的特徵是利用內存植入程序下載並取回第二階段的植入，我們稱之為Rising sun——進一步利用漏洞。根據我們的分析，Rising sun植入中使用了朝鮮黑客組織Lazarus Group在2015年使用的Backdoor.Duuzer木馬的源碼，通過將之運用到一個新的框架中來滲透進這些重要行業之中。

Operation Sharpshooter與Lazarus Group使用的許多技術之間都存在較為明顯的關聯，我們當前無法馬上得出結論：Lazarus Group是否此項行動的幕後元兇，還是有人刻意模仿他們的手段在掩人耳目。我們的研究重點是此項行動的運作方式，可能造成的影響以及如何對其進行檢測，剩下的工作需要安全行業廣大同僚共同去完成。

閱讀更多關於Operation Sharpshooter的詳細信息請訪問https://www.mcafee.com/enterprise/en-us/assets/reports/rp-operation-sharpshooter.pdf 。

以前是否見過類似技術？

Operation sharpshot會偽裝成合法的行業招聘活動，收集各行業信息以監控潛在的漏洞。而之前也出現過與招聘活動相關的類似技術。

全球影響力

基於McAfee遙測和我們的分析，在2018年10月和11月，Rising Sun植入物已經出現在全球87個組織機構中，主要是在美國。 據其他類似行動的跡象表明，大多數目標機構都是英語地區或有英語區域辦事處。該惡意行為者使用招募信息作為誘餌來收集有關目標個人或管理相關行業的數據的組織的信息。McAfee高級威脅研究團隊觀察到，大多數目標都是國防和政府相關組織。

2018年10月，按地區劃分的目標機構。各類顏色表明每個國家中受影響最大的行業。來源：McAfee Global Threat Intelligence。

Rising Sun植入物的感染流程，最終將數據發送給攻擊者的控制伺服器。

結論

這種全新的、功能強大的植入程序是目標攻擊獲取情報的又一個案例。該惡意軟體有幾個步驟：初始攻擊向量是一個包含一個武器化宏的文檔，宏的作用是下載Rising sun並在內存中運行以取得情報。受害者的數據被發送到控制伺服器，由惡意行為者監視，然後行為者確認下一步驟。

我們以前沒有觀察到這種植入程序。根據我們的遙測，我們發現來自世界各地不同行業的多個受害者都報告了一些危害指標。

這次攻擊行動是否只是剛剛拉開帷幕？之後是否會有更多變數？這些問題當前都無法得到解答。我們將繼續監測這一行動，並在取得更多信息時進一步反饋。McAfee高級威脅研究團隊鼓勵我們的同行分享他們的見解和Operation Sharpshooter 背後團伙的更多信息。

危害指標

（MITRE ATT&CK 技術支持）

賬戶發現

文件和目錄發現

過程中發現

系統網路配置發現

系統信息發現

系統網路連接發現

系統時間發現

自動化漏出

數據加密

通過命令和控制通道溢出

常用的港口

過程注入

哈希表

8106a30bd35526bded384627d8eebce15da35d17

66776c50bcc79bbcecdbe99960e6ee39c8a31181

668b0df94c6d12ae86711ce24ce79dbe0ee2d463

9b0f22e129c73ce4c21be4122182f6dcbc351c95

控制伺服器

34.214.99.20/view_style.php

137.74.41.56/board.php

文件url地址

hxxp://208.117.44.112/document/Strategic Planning Manager.doc

hxxp://208.117.44.112/document/Business Intelligence Administrator.doc

hxxp://www.dropbox.com/s/2shp23ogs113hnd/Customer Service Representative.doc?dl=1

McAfee 檢測到的

RDN/Generic Downloader.x

Rising-Sun

Rising-Sun-DOC

本文由McAfee高級威脅研究團隊撰寫。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！