9月29日,雷锋网从微步在线获取了一份关于“白象”团伙借中印边境问题再次发起攻击的事件分析报告。该报告称,自该团伙在2016 年 7 月被Cymmetria、安天、Forcepoint、卡巴斯基、赛门铁克等多家安全公司曝光后,该团伙的钓鱼网站于 8 月 29 日再次上线,并以“中印边境”为题诱导访问者下载恶意程序植入后门,继续对中国目标发起攻击。
“白象”,又名Patchwork、Dropping Elephant,自2015年12月开始活跃,长期针对中国军队、 *** 等部门开展渗透攻击,该团伙主要通过钓鱼邮件和仿冒网站传播木马,木马载体通常为军事、政治相关主题的Doc或PPS文档,常用漏洞包括CVE-2012-0158、CVE-2014-4114、CVE-2014-6352等。
2017年5月,微步在线通过一份包含漏洞的 Word 文档发现了“白象”团伙针对中国 *** 、军事相关部门的攻击活动,挖掘出其注册的大量可疑域名和木马样本。有趣的是,就在印度军队于8月28日自洞朗撤军,中印双方结束了两个多月的对峙后,该团伙的钓鱼网站于 8 月 29 日再次上线,并以“中印边境”为题诱导访问者下载恶意程序植入后门,继续对中国目标发起攻击。
以下为微步在线提供给雷锋网的关于此次攻击的详情分析:
钓鱼网站于2017年8月29日上线,以“中印边境”为话题构造了仿冒优酷的钓鱼页面,诱导访问者下载后门程序。
木马使用C++编写,执行后会再调用一段加密后的.Net代码,并伪装成某公司的安全防护软件,具备较强的隐蔽性和对抗性。
木马启动后能够接受远程控制服务器任意指令,完全控制受害主机,远控服务器目前仍可正常通信,说明攻击活动尚在进行中。
本次捕获的钓鱼页面(www.qzonecn.com)于 2017 年 8 月 29 日上线,系仿冒优酷网的一条新闻视频,标题为“中国和阿三的边界问题在洞朗”(未发现优酷网上有类似名称的视频),视频位置显示“您还没有安装flash播放器,请点击这里安装”。点击该链接后,会打开adobe公司官网,却从另一恶意站点(www.bdarmy.news)下载名为“Adobeflashplayer26_install_ver9.6.0.exe”的可执行程序,制造该程序来自Adobe官网的假象,具备较强迷惑性。如下图所示:
查看网站源码发现,钓鱼链接会先打开Flash Player 官方下载页面,再从www.bdarmy.news下载仿冒的“安装包”程序,以混淆视听。
查看该程序的属性发现,其详细信息包含“qiho”、“360”、“Defence”等干扰字符,而原始文件名为“RAT.exe”。
随着无线网络的快速发展,无线路由器对于我们生活中也是不可缺少的一部分;很多朋友家里都有一台有线路由器,都想再接一台无线路由器,从而实现wifi上网,它的方便、快捷,深受朋友们的喜欢。我用的是JHR...
一、在淘宝上怎样服务器怎么找黑客 1、找站接网单这一事实是,黑客单独工作的印象也被黑客文化的禁忌所掩盖,但仍然是有效的,即利己主义和外部承认。在淘宝上怎样服务器大全导航找黑客比如以前的工具扫描和入侵,...
想要顺利通过2021职业西药师考试,我们就需要制定适合自己的复习计划,首先应该了解基本的概念和原则。复习时要读写一起来,逐步加深对知识的理解,同时还要记住要专注于书本和考试大纲。接下来,向大家分享一些...
怎么申请qq钱包 登陆qq,找到我的钱包,点击进入。可以看到,钱包还没激活,所以暂时还不能正常使用,点击立即激活。按照系统提示输入信息。首先确保你的QQ是最新版本,然后打开你的手机QQ主页,找到“QQ...
. 很多老人都会建议不要在夏季给宝宝断奶,这样宝宝导致宝宝生病,为什么夏季不宜给宝宝断奶呢?宝宝夏季断奶容易生病是真的吗?断奶最佳时间绝不是夏季哦。 宝宝夏季断奶容易生病是真的吗 夏季给宝宝断奶...
eBay在2019年1月29日公布年度报告,2018年全年度GMV提升950亿美元!较2017年全年度GMV884亿美金,同比增加7.5%,顾客总数提高至1.79亿。 那样的数据信息下,...