Wekby的APT及使用的DNS通信
一组APT攻击者被发现正在使用DNS与C&C服务器进行通信。PaloAlto网络的研究人员称这组攻...
一组APT攻击者被发现正在使用 DNS 与C&C服务器进行通信。
Palo Alto 网络的研究人员称这组攻击者被为Wekby,APT 18、 炸药熊猫 或TG-0416,并认为该小组有着中国背景。该攻击小组于2014年针对美国最大的医院运营商之一发起了攻击,通过OpenSSL 漏洞心脏滴血漏洞,袭击者获取了 450 万患者的信息。
该小组具备了快速更新其攻击工具的能力。一个例子是意大利间谍软件制造商去年刚曝光 Flash Player 漏洞不久,该小组就开始利用该漏洞制造工具了。
图 Wekby使用的社工邮件
图 pisloader文件信息
攻击者利用公共基础设备进行恶意攻击,使得这些攻击貌似源自一些知名组织,例如罗技和环球印务公司。这些黑客首先添加注册表项,然后解密并执行一个包含pisloader内容的文件。这些内容利用ROP技术隐藏起来,并通过包含一些随机指令增加逆向分析的难度。
图 pisloader中的混淆处理
以pisloader为例,恶意软件定期发送DNS信标请求给C&C服务器,其位置被硬编码(直接做为固定内容写入了程序,而不是做为变量)到恶意软件中。DNS响应必须满足一定的要求,否则该恶意软件会忽略他们。
图 DNS内容
Palo Alto 所列出的Wekby攻击的域包括globalprint-us[.]com, ns1.logitech-usa[.]com ,和intranetwabcam[.]com。
图 Wekby使用的域名
很容易将pisloader恶意软件联系到Wekby,这是因为pisloader有许多特征与HTTPBrowser RAT家族相似,而HTTPBrowser RAT是Wekby常用的。他们表示,该Wekby APT黑客团伙一直很活跃,基本上他们把目标锁定在美国的医疗保健,电信,航空航天,国防和高科技公司。
关注 malwarebenchmark
微信扫一扫关注公众号