تحليل CVE-2018-8174 VBScript 0day و APT الممثل لهجوم Office استهدف
نظرة عامة
ومؤخرًا ، كشف فريق استجابة التهديد المتقدم التابع لـ 360 شعبة أمان أساسية عن هجوم APT باستغلال ثغرة 0 يوم ، واستولت على أول عينة ضارة في العالم تستخدم ثغرة 0 يوم في المتصفح. نحن رمز اسمه الثغرة الأمنية باعتبارها "قتل مزدوج" استغلال. تؤثر مشكلة عدم الحصانة هذه على أحدث إصدار من Internet Explorer والتطبيقات التي تستخدم IE kernel. عندما يتصفح المستخدمون الويب أو يفتحون مستندات Officee ، فمن المرجح أن يكونوا أهدافًا محتملة. في نهاية المطاف سوف يزرع المتسللين طروادة مستتر للسيطرة تماما على الكمبيوتر.ردا على ذلك ، شاركنا مع مايكروسوفت التفاصيل ذات الصلة من الضعف اليوم 0 في الوقت المناسب. تم تحليل هذا الهجوم APT ونسبه إلى الكشف وأكدنا الآن ارتباطه بمجموعة APT-C-066.
في 18 أبريل 2018 ، فور اكتشاف 360 Security Security للنشاط الخبيث ، اتصلنا بشركة Microsoft دون أي تأخير وقدمنا تفاصيل ذات صلة إلى Microsoft. أكدت شركة Microsoft هذه الثغرة في صباح يوم 200 أبريل وأصدرت تصحيحًا رسميًا للأمان في الثامن من مايو. قامت شركة Microsoft بإصلاح الثغرة وسميتها CVE-2018-8174. بعد حل الثغرة بشكل صحيح ، قمنا بنشر هذا التقرير في 9 مايو ، إلى جانب المزيد من الكشف الفني عن الهجوم و 0 يوم.
الثاني المودة في الصين
وفقا لتحليل بيانات العينة ، فإن المناطق المتأثرة بالهجوم في الصين موزعة بشكل رئيسي في المقاطعات التي تشارك بنشاط في أنشطة التجارة الخارجية. وتشمل الجماعات التجارية الوكالات التجارية والمنظمات ذات الصلة.
تحليل إجراء الهجوم الثالث
تم العثور على مستندات إغراء تم التقاطها في هذا الهجوم باللغة اليديشية [1] يستغل المهاجمون المكتب باستخدام كائنات OLE autolink (CVE-2017-0199) لتضمين المستندات في مواقع ويب ضارة. تم تحميل جميع المآثر وحمولة ضارة من خلال خوادم عن بعد.
[1] يتم تحديد اللغة تلقائيًا بواسطة خدمة الترجمة من Google
الإشعار في النافذة المنبثقة:
قد تشير الروابط إلى هذا المستند إلى ملفات أخرى. هل تريد تحديث هذا المستند مع البيانات الموجودة في الملف المرتبط؟
بمجرد فتح الضحايا مستند إغراء ، سيقوم Word أولاً بزيارة موقع ويب بعيد من IE vbscript 0day (CVE-2018-8174) لتشغيل الاستغلال. بعد ذلك ، سيتم تشغيل Shellcodee لإرسال عدة طلبات للحصول على حمولة من الخوادم البعيدة. سيتم بعد ذلك فك تشفير الحمولة من أجل مزيد من الهجمات.
أثناء تشغيل الحمولة ، سيقوم برنامج Word بإطلاق ثلاثة لوحات خلفية خلفية DLL محليًا. سيتم تثبيت backdoors وتنفيذها من خلال PowerShell و rundll32. تم استخدام UACC تجاوز في هذه العملية ، وكذلك ملف إخفاء المعلومات وتحميل الذاكرة انعكاس ، من أجل تجاوز الكشف عن حركة المرور وإكمال التحميل دون أي ملفات.
وتظهر العملية الرئيسية للهجوم في الشكل التالي:
IV IE VBScript 0day (CVE-2018-8174)
1. الجدول الزمني
في 18 أبريل 2018 ، اكتشف فريق استجابة التهديد المتقدم التابع لـ 360 شعبة أمنية أساسية وجود نقاط ضعف عالية المخاطر. تؤثر مشكلة عدم الحصانة على أحدث إصدار من Internet Explorer والتطبيقات التي تستخدم IE kernel وتم العثور عليها لاستخدامها في هجمات APT المستهدفة. في نفس اليوم ، اتصل 3600 على الفور مع Microsoft وقدمت تفاصيل حول الثغرة الأمنية إلى Microsoft. أكدت شركة Microsoftt هذه الثغرة في صباح يوم 20 أبريل وأصدرت تصحيحًا رسميًا للأمان في الثامن من مايو. تم إصلاح الضعف 0day وكان اسمه CVE-2018-81744.
CVE-2018-8174 هو مشكلة عدم حصانة تنفيذ تعليمات برمجية عن بعد من مشغل Windows VBScript. يمكن للمهاجمين تضمين VBScript ضار إلى مستند Officee أو موقع ويب ثم الحصول على بيانات اعتماد المستخدم الحالي ، كلما نقر المستخدم ، لتنفيذ تعليمات برمجية عشوائية.
2. مبادئ الضعف
من خلال التحليل الإحصائي لعينات الضعف ، اكتشفنا أن التشويش قد تم استخدامه على نطاق واسع. لذلك ، قمنا بتصفية كل التعتيم المتكرر وإعادة تسمية جميع المعرفات.
رؤية من POC التي تم إنشاؤها باستخدام عينات استغلال استولت علينا ، ومبادئ الاستغلال واضح. عينات POC هي على النحو التالي:
إجراءات مفصلة:
1) أولاً قم بإنشاء مثيل cla1 المعين إلى b ، ثم قم بتعيين القيمة من 0 إلى b ، لأنه في هذه النقطة يكون عدد b المشار إليه 1 ، مما يؤدي إلى استدعاء الدالة Class_Terminate الخاصة بـ cla1.
2) في وظيفة Class_Terminate ، قم بتعيين b إلى c وتعيين 0 إلى b لموازنة عدد المراجع.
3) بعد إرجاع Class_Terminate ، سيتم تحرير الذاكرة المشار إليها بواسطة كائن bb ، بحيث يتم الحصول على مؤشر إلى بيانات الذاكرة للكائن الذي تم إصداره b.
4) إذا كنت تستخدم كائن آخر لاحتلال الذاكرة المحررة ، فإنه سيؤدي إلى مشكلة نموذج UAFF أو الارتباك النموذجية
2) في وظيفة Class_Terminate ، قم بتعيين b إلى c وتعيين 0 إلى b لموازنة عدد المراجع.
3) بعد إرجاع Class_Terminate ، سيتم تحرير الذاكرة المشار إليها بواسطة كائن bb ، بحيث يتم الحصول على مؤشر إلى بيانات الذاكرة للكائن الذي تم إصداره b.
4) إذا كنت تستخدم كائن آخر لاحتلال الذاكرة المحررة ، فإنه سيؤدي إلى مشكلة نموذج UAFF أو الارتباك النموذجية
3. الاستغلال
استغلال 0 يوم يستغل UAF عدة مرات لإنجاز نوع الارتباك. انها مزيفة وتجاوز كائن المصفوفة لأداء عنوان تعسفي القراءة والكتابة. في النهاية ، يقوم بإصدار تعليمات برمجية للتنفيذ بعد إنشاء كائن. لا يستخدم تنفيذ الكود ROP التقليدي أو GodMod ، ولكن من خلال تخطيط النص Shellcodee لتثبيت الاستخدام.
مجموعة وهمية لأداء العناوين التعسفية القراءة والكتابة
يتم تقابل أعضاء Mem المكونة من فئتين تم إنشاؤها بواسطة UAF بواسطة 0x0c بايت ، ويتم تكوين صفيف حجم 0x7fffffff من خلال عملية القراءة والكتابة إلى أعضاء mem اثنين.
العلامة typedef structSAFEARRAY {
CARDS USHORT // cDims = 0001
USHORT fFeatures؛ fFeatures = 0x0880
cL ملحقات // البايت مشغول بعنصر واحد (1 بايت)
اقفال
PVOID pvData // المخزن المؤقت للبيانات يبدأ من 0x0
rgsabound SAFEARRAYBOUND [1]؛
} SAFEARRAY ، * LPSAFEARRAYY ؛
CARDS USHORT // cDims = 0001
USHORT fFeatures؛ fFeatures = 0x0880
cL ملحقات // البايت مشغول بعنصر واحد (1 بايت)
اقفال
PVOID pvData // المخزن المؤقت للبيانات يبدأ من 0x0
rgsabound SAFEARRAYBOUND [1]؛
} SAFEARRAY ، * LPSAFEARRAYY ؛
العلامة typedef structSAFEARRAYBOUND {
ULONG cElements // عدد العناصر (0x7fffffff ، مساحة المستخدم)
lL lbound ؛ // القيمة الأولية للمؤشر (تبدأ من 0)
} SAFEARRAYBOUND، * LPSAFEARRAYBOUNDD؛
ULONG cElements // عدد العناصر (0x7fffffff ، مساحة المستخدم)
lL lbound ؛ // القيمة الأولية للمؤشر (تبدأ من 0)
} SAFEARRAYBOUND، * LPSAFEARRAYBOUNDD؛
تتألف مجموعة مصفوفة من صفيف أحادي البعد ، عدد العناصر هو 7fffffff ، كل عنصر يشغل بايت واحد ، وعنوان ذاكرة العنصر هو 0. لذا فإن مساحة ذاكرة الوصول للمصفوفة هي من 0x00000000 إلى 0x7ffffffff * 1. لذلك ، يمكن قراءة الصفيف وكتابته في أي عنوان. ولكن نوع التخزين من lIlIIll هو سلسلة ، لذلك فقط عن طريق تعديل نوع البيانات إلى 0x200C ، أي VT_VARIANT | VT_ARRAYY (نوع الصفيف) ، يمكن للمهاجمين تحقيق غرضهم.
قراءة بيانات التخزين للمعلمة المحددة
في التعليمة البرمجية الضارة ، يتم استخدام الوظيفة المذكورة أعلاه بشكل أساسي لقراءة بيانات عنوان الذاكرة المحدد بواسطة المعلمة. تتمثل الفكرة في الحصول على إمكانية قراءة الذاكرة المحددة من خلال خصائص أول 4 بايت من عنوان السلسلة (أي محتوى bstr ، نوع ، حقل الحجم) الذي يتم إرجاعه بواسطة lenb (bstr xx) في vb (البيانات اكتب في VBS هو bstr).
هذا موضح في الكود السابق. إذا كانت وسيطة الإدخال هي addr (0x11223344) ، فأضف أولاً 4 إلى القيمة للحصول على 0x11223348 ، ثم قم بتعيين نوع المتغير إلى 8 (نوع السلسلة). بعد ذلك ، استدعاء دالة lenn: إذا تم العثور على أن يكون نوع BSTR ، فسوف تفترض vbscript أن البادئة 4 بايت (0x112233444) هي ذاكرة العنوان لتخزين الطول. لذلك سيتم تنفيذ الدالة lenn وسيتم إرجاع قيمة عنوان الذاكرة المحدد.
الحصول على العنوان الأساسي الأساسي لـ DLL
1. يقوم المهاجم بتسريب عنوان جدول الوظيفة الظاهرية لكائن CScriptEntryPoint بالطريقة التالية ، التي تنتمي إلى Vbscript.dll.
2. الحصول على عنوان قاعدة vbscript.dll بالطريقة التالية
3.Because vbscript.dll المستوردة msvcrt.dll ، تم الحصول على عنوان الأساسي msvcrt.dll عن طريق اجتياز جدول الاستيراد vbscript.dll ، يقدم msvcrt.dll kernelbase.dll ، ntdll.dll ، وأخيراً تم الحصول على عنوان الدالة VirtualProtect NtContinue .
تجاوز DEP لتنفيذ shellcode
1. استخدم تقنية القراءة والكتابة التعسفية لتعديل نوع نوع VAR إلى 0x4d ، ثم قم بتعيينه بقيمة 0 لجعل الجهاز الظاهري يقوم بأداء وظيفة VAR :: Clear.
2.Control مع توخي الحذر والسماح للكود تنفيذ وظيفة ntdll! ZwContinue. كما تم بناء المعيار الأول هيكل CONTEXTT من قبل المهاجم.
3.Control رمز بحذر لتنفيذ ntdll! وظيفة ZwContinue. كما تم بناء المعيار الأول للهيكل CONTEXT بعناية من قبل المهاجم.
4. المعلمة الأولى من ZwContinue هي مؤشر إلى بنية CONTEXT. يظهر هيكل CONTEXT في الشكل التالي ، ويمكن حساب إزاحة EIP و ESP في CONTEXT
5. يتم عرض قيم Eip و Esp في وقت التشغيل الفعلي CONTEXT وهوية المهاجم في الشكل أدناه.
V Powershell Payload
بعد تنفيذ ملف DOC للطعم ، سيبدأ تنفيذ الأمر Powershell إلى الحمولة التالية للخطوة.
بادئ ذي بدء ، سوف Powershell غامض تطابق أسماء المعلمة الواردة ، وغير حساس لحالة الأحرف.
الخطوة الثانية ، فك تشفير الأوامر المبهمة.
بعد ذلك ، يستخدم النص البرمجي صفحة URL خاصة للوصول إلى وكيل المستخدم لطلب التحميل التالي وتنفيذه.
حجم ملف الحمولة المطلوبة هو تقريبا 199K. جزء الكود كما يلي.
لقد وجدنا أنه تم تعديل هذا الرمز من invoke-ReflectivePEInjection.ps1 [2]. buffer_x86 و buffer_x64 في التعليمة البرمجية هي نفس الوظيفة ولكن من إصدارات مختلفة من ملفات dll. اسم وحدة نمطية تصدير ملف: ReverseMet.dlll.
[2] https://github.com/EmpireProject/Empire/blob/master/data/module_source/code_execution/Invoke-ReflectivePEInjection.ps1
ملف DLL فك تشفير عنوان IP والمنفذ ووقت النوم من التكوين. بعد خوارزمية فك التشفير xor 0xA4 ، وطرح 0x34 ، يكون الكود كما يلي.
ملف تكوين فك التشفير من منفذ عنوان IP 185.183.97.28 1021 للحصول على الحمل التالي وتنفيذها. بعد توصيله بمنفذ tcp ، سيحصل على 4 بايت للتطبيق على الذاكرة.
يكتب المكتسبة اللاحقة في مؤشر ترابط جديد ، وتنفيذ الحمولة shellcodee المكتسبة.
يكتب المكتسبة اللاحقة في مؤشر ترابط جديد ، وتنفيذ الحمولة shellcodee المكتسبة.
نظرًا لإغلاق منفذ خادم عينة الخلية ، فلا يمكننا الحصول على الحمل التالي للتحليل.
VI UAC Bypass Payload
بالإضافة إلى استخدام PowerShell لتحميل الحمولة ، فإن ملف DOC للطعم يتم تشغيله أيضًا على rundll32.exe لتنفيذ رد خلفي آخر محليًا. هناك العديد من الميزات البارزة لبرنامج الباب الخلفي الذي يستخدمه: يستخدم البرنامج منفذ COM لنسخ الملفات ، وتحقيق UAC وتجاوز نظامي DLL hijacks ؛ فإنه يستخدم أيضاً DLLss الافتراضية من cliconfg.exe و SearchProtocolHost.exe للاستفادة من القائمة البيضاء؛ وأخيرًا في عملية تسليم المكونات ، استخدم إخفاء المعلومات عن الملفات وأسلوب تحميل انعكاس الذاكرة لتجنب مراقبة حركة المرور وتحقيق أي حمل هبوط للملف.
1. الرجعية مستتر التنفيذ
برنامج الباب الخلفي المستخدم في هذا الهجوم هو في الواقع رد خلفي سلسلة Retro المعروف لاستخدامه من قبل منظمة APT-C-06. فيما يلي تحليل مفصل لعملية تنفيذ برنامج الباب الخلفي.
أولا تنفيذ DLL المتخفي كدليل مكتبة zlib مع rundll32 وتنفيذ مهام التثبيت backdoor uncompress2 و uncompress3.
ويستخدم منفذ COM لتجاوز UAC ، نسخ DLL الخاص به إلى مسار System32 لـ hijacking DLL ، وأهداف الاستيلاء هي cliconfg.exe و SearchProtocolHost.exe.
نسخ ملف DLL في الدليل AppData إلى الدليل System32 خلال واجهة COM واسمه msfte.dll و NTWDBLIB.dlll.
ثم قم بنسخ الملف NTWDBLIB.dll إلى دليل النظام وتنفيذ cliconfig الخاص بالنظام لتحقيق قرصنة DLLL وتحميل NTWDBLIB.dll.
دور NTWDBLIB.dll هو إعادة تشغيل خدمة النظام WSearch ثم قم بتشغيل msfte.dll.
سينشئ البرنامج النصي ثم تنفيذ الملف MO4TH2H0.bat في الدليل TEMP الذي سيحذف NTWDBLIB.DLL و BAT الخاصة به من دليل النظام.
Msfte.dll هو برنامج backdoor النهائي الذي تم إخفاء تصدير كـ zlib. وظائف التصدير الأساسية هي AccessDebugTracer و AccessRetailTracer. وتتمثل مهمتها الرئيسية في التواصل مع CCC وزيادة تحميل وتنفيذ برامج DLLL اللاحقة.
على غرار العينة التي تم تحليلها سابقًا ، تستخدم أيضًا صورة إخفاء المعلومات وتحميل انعكاس الذاكرة. معلومات الاتصال CCC فك تم كالتالي:
تنسيق الطلب هو:
Hxxp: // CC_Address /s7/config.php؟ p = M & inst = 7917 & name =
فيما بينها ، المعلمة ص هي سلطة العملية الحالية ، وهناك نوعان من M و H ، ومعلمة inst هو معرف التثبيت الحالي ، والاسم هو CC_name التي تم الحصول عليها عن طريق فك التشفير ، وهذه المرة هي pphp.
بعد فك التشفير بعد عملية التنزيل ، تكون العملية هي نفسها تمامًا مثل تنسيق إرسال إخفاء الصورة السابق. تظهر عملية فك التشفير هذه المرة في الشكل أدناه:
تظهر عملية فك تشفير عينة الاختبار التي سبق فك تشفيرها أدناه:
بالنسبة لعنوان URL CCC المقابل لطلب الاختبار ، لأننا لم نحصل على الصورة المطابقة أثناء التحليل ، يُشتبه في أن CC قد فشلت.
في عملية التنفيذ ، الرجعية المقنعة SSH وهمية و zlib وهمية ، وتهدف إلى التشويش والتداخل مع المستخدمين والمحللين. تم استخدام طريقة الهجوم ريترو منذ عام 20166.
2. الرجعية مستتر التطور
كان برنامج الباب الخلفي المستخدم في عملية APT المبكرة لمنظمة APT-C-06 هو Lucker. وهي عبارة عن مجموعة من أحصنة طروادة ذاتية التطوير ومتطورة. مجموعة حصان طروادة قوية ، مع تسجيل لوحة المفاتيح ، تسجيل الصوت ، التقاط الشاشة ، التقاط الملفات ووظائف تشغيل القرص U ، إلخ. اسم Luckerr يأتي من مسار PDB لهذا النوع من Trojan ، لأن معظم استخدام وظيفة الباب الخلفي اختصار LK.
في منتصف إلى وقت متأخر ، اكتشفنا تطوره ونوعين مختلفين من برامج الباب الخلفي. لقد أطلقنا عليها اسم Retro و Collector بمسار PDB المستخرج من البرنامج. الخلفية المسترجعة الرجعية هي تطور من الباب الخلفي Lucker وتنشط في سلسلة من الهجمات من عام 2016 حتى الآن. يأتي الاسم من مسار pdb لهذا النوع من Trojan مع العلامة Retro ، كما يحتوي على كلمة Retroo في المثبت الأولي.
C: \ مساحة \ ريترو \ حقن DLL-المستكشف \ zlib1.pdb
C: \ مساحة \ ريترو \ RetroDLL \ zlib1.pdb
C: \ مساحة \ ريترو \ RetroDLL \ zlib1.pdb
يمكن العثور على تطور تقنية حقن DLL العاكسة من مسارات PDB ذات الصلة ، وهناك الكثير من المتغيرات لهذه السلسلة من الخلف.
السابع الإسناد
1. خوارزمية فك التشفير
أثناء التحليل ، وجدنا أن خوارزمية فك التشفير التي تستخدمها البرامج الضارة متطابقة مع خوارزمية فك تشفير APT-C-06.
خوارزمية فك التشفير لهذا الهجوم هي كما يلي:
خوارزمية فك التشفير APT-C-066 المستخدمة هي كما يلي:
خوارزمية فك التشفير لهذا الهجوم هي كما يلي:
خوارزمية فك التشفير APT-C-066 المستخدمة هي كما يلي:
في التحليل الإضافي ، وجدنا أنه تم استخدام نفس خوارزمية فك التشفير في إصدار 64 بت من البرامج الضارة ذات الصلة.
2. مسار PDB
يحتوي مسار PDB للبرامج الضارة المستخدمة في هذا الهجوم على سلسلة من "Retro". إنها ميزة واحدة محددة لعائلة ريترو طروادة.
3. الضحايا
في عملية تعقب الضحايا ، وجدنا آلة خاصة واحدة مخترقة. يحتوي على كمية كبيرة من البرامج الضارة المتعلقة APT-C-06. بالنظر إلى هذه العينات بترتيب زمني ، يمكن رؤية تطور البرنامج الخبيث بوضوح. وقد تعرضت الضحية للهجوم المستمر من قبل APT-C-06 منذ عام 20155. ويمكن ربط العينات المبكرة على الماكينة المعرضة للخطر مع DarkHotel. ثم تعرضت للهجوم من قبل Lurker Trojan. في الآونة الأخيرة كان تحت الهجوم استغلال الثغرات 00 يوم CVE-2018-81744.
الثامن الخلاصة
APT-C-06 هي منظمة APT في الخارج والتي كانت نشطة منذ وقت طويل. أهدافها الرئيسية هي الصين وبعض الدول الأخرى. هدفها الرئيسي هو سرقة البيانات الحساسة وإجراء التجسس الإلكتروني. يمكن اعتبار DarkHotel كواحد من سلسلة من أنشطة الهجوم.
استهدفت الهجمات ضد الصين على وجه التحديد الحكومة ومؤسسات البحث العلمي وبعض مجال معين. يمكن أن يعود تاريخ الهجمات إلى عام 2007 ولا تزال نشطة للغاية. استنادًا إلى الأدلة المتوفرة لدينا ، قد تكون المنظمة مجموعة قرصنة أو وكالة مخابرات تدعمها حكومة أجنبية.
لم تتوقف الهجمات ضد الصين على مدى السنوات العشر الماضية. التقنيات التي تستخدمها المجموعة تستمر في التطور عبر الزمن. استناداً إلى البيانات التي تم التقاطها في عام 20177 ، فإن الأهداف في الصين هي مؤسسات ذات صلة بالتجارة وتركز في المحافظات التي لديها أنشطة تجارية متكررة. تقوم المجموعة بمراقبة طويلة المدى للأهداف لسرقة البيانات السرية.
خلال عقود من الهجمات السيبرانية ، تستغل APT-C-06 العديد من نقاط الضعف لمدة 00 يوم وتستخدم البرمجيات الخبيثة المعقدة. لديها عشرات من وحدات وظيفية وأكثر من 200 رموز خبيثة.
في أبريل من عام 2018 ، أخذ فريق استجابة التهديد المتقدم التابع لشعبة الأمن الأساسية 3600 دورًا رائدًا في التقاط هجوم APT الجديد للمجموعة باستخدام نقاط الضعف لمدة 0 يومًا (CVE-2018-8174) في البرية ، ثم اكتشف الهجوم النوع الجديد - Office الهجوم ذات الصلة استغلال الثغرات الأمنية VBScript 0 يوم.
بعد التقاط النشاط الجديد ، اتصلنا بشركة Microsoft على الفور وتبادلنا معلومات مفصلة معهم. تم إطلاق التصحيح الأمني الرسمي لشركة مايكروسوفت في 8 مايو. الآن ، نشرنا هذا التقرير المفصل للكشف عن الهجوم وتحليله.
استهدفت الهجمات ضد الصين على وجه التحديد الحكومة ومؤسسات البحث العلمي وبعض مجال معين. يمكن أن يعود تاريخ الهجمات إلى عام 2007 ولا تزال نشطة للغاية. استنادًا إلى الأدلة المتوفرة لدينا ، قد تكون المنظمة مجموعة قرصنة أو وكالة مخابرات تدعمها حكومة أجنبية.
لم تتوقف الهجمات ضد الصين على مدى السنوات العشر الماضية. التقنيات التي تستخدمها المجموعة تستمر في التطور عبر الزمن. استناداً إلى البيانات التي تم التقاطها في عام 20177 ، فإن الأهداف في الصين هي مؤسسات ذات صلة بالتجارة وتركز في المحافظات التي لديها أنشطة تجارية متكررة. تقوم المجموعة بمراقبة طويلة المدى للأهداف لسرقة البيانات السرية.
خلال عقود من الهجمات السيبرانية ، تستغل APT-C-06 العديد من نقاط الضعف لمدة 00 يوم وتستخدم البرمجيات الخبيثة المعقدة. لديها عشرات من وحدات وظيفية وأكثر من 200 رموز خبيثة.
في أبريل من عام 2018 ، أخذ فريق استجابة التهديد المتقدم التابع لشعبة الأمن الأساسية 3600 دورًا رائدًا في التقاط هجوم APT الجديد للمجموعة باستخدام نقاط الضعف لمدة 0 يومًا (CVE-2018-8174) في البرية ، ثم اكتشف الهجوم النوع الجديد - Office الهجوم ذات الصلة استغلال الثغرات الأمنية VBScript 0 يوم.
بعد التقاط النشاط الجديد ، اتصلنا بشركة Microsoft على الفور وتبادلنا معلومات مفصلة معهم. تم إطلاق التصحيح الأمني الرسمي لشركة مايكروسوفت في 8 مايو. الآن ، نشرنا هذا التقرير المفصل للكشف عن الهجوم وتحليله.
الملحق IOC
المراجع
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8174
http://blogs.360.cn/blog/cve-2018-8174-en/حول
360 هيليوس تيم هو فريق البحث والتحليل APT (Advanced Persistent Attack) في Qihoo 360.
الفريق مكرس في تحقيقات الهجوم APTT ، والاستجابة لحوادث التهديد ودراسات سلسلة الصناعية الاقتصاد تحت الأرض.
منذ التأسيس في ديسمبر 2014 ، نجح الفريق في دمج قاعدة البيانات الضخمة 3600 درجة وإرساء عملية انعكاس سريعة وكاشفة.
حتى الآن ، تم اكتشاف أكثر من 30 مجموعة من مجموعات APT واقتصاد السرية.
كما تقدم 360 هيليوس حلول تقييم واستجابة التهديد للمؤسسات.
----------------------------------------
----------------------------------------
للتواصل : تلغرام +9647807693702
الفريق مكرس في تحقيقات الهجوم APTT ، والاستجابة لحوادث التهديد ودراسات سلسلة الصناعية الاقتصاد تحت الأرض.
منذ التأسيس في ديسمبر 2014 ، نجح الفريق في دمج قاعدة البيانات الضخمة 3600 درجة وإرساء عملية انعكاس سريعة وكاشفة.
حتى الآن ، تم اكتشاف أكثر من 30 مجموعة من مجموعات APT واقتصاد السرية.
كما تقدم 360 هيليوس حلول تقييم واستجابة التهديد للمؤسسات.
----------------------------------------
----------------------------------------
للتواصل : تلغرام +9647807693702
0 تعليقات