大网安协
近日,瑞星威胁情报中心捕获到一起针对中国政府或企业发起的APT攻击事件,通过分析发现,攻击者利用钓鱼邮件等方式投递名为“安全状态检查.zip”的压缩包文件,其主题为“信息安全技术信息系统安全等级保护实施指南”,以此来诱使与中国大量政府部门或企业上钩,一旦中招,电脑将被攻击者远程控制,执行任意代码并盗取重要数据信息。
一、背景介绍
近日,瑞星威胁情报中心捕获到一起针对中国政府或企业发起的APT攻击事件,通过分析发现,攻击者利用钓鱼邮件等方式投递名为“安全状态检查.zip”的压缩包文件,其主题为“信息安全技术信息系统安全等级保护实施指南”,以此来诱使与中国大量政府部门或企业上钩,一旦中招,电脑将被攻击者远程控制,执行任意代码并盗取重要数据信息。
图:主题为“信息安全技术信息系统安全等级保护实施指南”的诱饵文档
瑞星安全专家通过威胁情报数据对攻击手法、攻击方式分析后发现,此次攻击和LazarusGroup组织相关,该组织又被称为Group77、HastatiGroup、HiddenCobra、APT-C-6、T-APT-5、Zinc和NickelAcademy等,是一个从年开始到现在最活跃的威胁组织之一。LazarusGroup来自朝鲜,具有国家背景,其除了擅长信息盗取,间谍活动,还会蓄意破坏计算机系统,加密数据以获取经济利益,攻击的国家包括中国,德国,澳大利亚,日本等,涉及的领域有航空航天、政府、医疗、金融和媒体等。
同样在5月份,瑞星还捕获到LazarusGroup组织以相同攻击手法模仿加拿大玛斯(MaRS)网站中文章的诱饵文档,内容主要是关于创建员工奖金和激励计划。由于MaRS与中国一直有着紧密的合作,因此该攻击或与中国企业相关。
瑞星公司表示,由于APT攻击有着针对性强、组织严密、持续时间长、高隐蔽性和间接攻击等显著特征,针对的目标都是具有重大信息资产,如国家军事、情报、战略部门和影响国计民生的行业如金融、能源等,因此国内相关政府机构和企业单位务必要引起重视,加强防御措施。
二、攻击事件诱饵文档内容为中文,主题为“信息安全技术信息系统安全等级保护实施指南”,因此猜测此次攻击事件的目标可能是与中国信息安全相关的政府部门或企业。
图:诱饵文档
三、技术分析(一)攻击流程图:攻击流程
(二)样本分析攻击者利用钓鱼邮件等方式投递名为“安全状态检查.zip”的压缩包文件,用户解压压缩包得到名为“安全状态检查指南_signed.pdf.lnk”的快捷方式文件,快捷方式目标指向一段JS代码,利用这段JS代码去打开诱饵文档迷惑用户,并释放恶意程序以便达到对用户计算机进行远程控制的目的。
.“安全状态检查.zip”分析“安全状态检查.zip”压缩包内含名为“安全状态检查指南_signed.pdf.lnk”的快捷方式。
图:压缩包
.“安全状态检查指南_signed.pdf.lnk”分析
“安全状态检查指南_signed.pdf.lnk”快捷方式的主要目的是利用cmd.exe调用mshta.exe执行链接指向的脚本代码。详细分析如下:
.安全状态检查指南_signed.pdf.lnk”所指向的目标为:C:\Windows\System3\cmd.exe/cstart/b%SystemRoot%\System3\mshta
