首页 > 业内资讯 > 安全情报企业爆料:一段视频攻陷我国多家企业

安全情报企业爆料:一段视频攻陷我国多家企业

时间:2016-01-19 | 来源:信息安全D1net | 阅读:63

话题: 信息安全D1net


此木马会对电脑上的所有杀毒软件做详尽排查。从逆向生成的代码分析,此木马内含有一份包括国内外近百个主流杀毒软件的名单。如果检测到了名单上的任何一个杀毒软件,木马都会选择蛰伏,不会主动进行攻击。


此木马会对运行环境进行“沙箱测试”。所谓沙箱,就是安全软件在面对可疑文件时,为了辨别文件是否含有木马病毒,而模拟出一个对可疑文件进行隔离测试的运行环境。该木马一旦发现自己运行在沙箱之中,就不会再进行任何攻击动作。


此木马的攻击行为调用了微软1999年引入的一个极其冷门的HTA格式文件。从这一点上可以看出,木马的制作者对于微软系统做过非常深入的分析。


团伙已被锁定,攻击仍在持续:


通过对这个样本文件的关联分析,锁定到该团伙正是在亚洲活跃了九年的著名境外黑客组织。这个组织曾被卡巴斯基的研究员命名为DarkHotel(暗黑客栈)。可以基本确定,该组织最迟从2007年开始逐渐活跃,采用多种老练的手段以及行人追踪技术引诱受害者上钩。他们进攻的主要目标都集中在亚洲,而且以中国为主,并零星分布在日本、韩国和东南亚。此次DarkHotel发起的威胁攻击从2015年12月24日开始一直持续到现在,被攻击的国家和地区包括:中国、俄罗斯和朝鲜。



虽然国内安全公司已发布了通告,Adobe也发布了安全补丁,但通过微步在线的最新威胁情报表明,2016年1月4日又有中国企业被攻陷。说明了这种手法极其隐秘,并且充分利用了人性的特点。仅从本次攻击来看,他们的目标非常明确——中国企业。通过对比以往的资料可以看出,他们有可能一直在攻击中国企业,并且截止到1月13日,部分样本已经可以被少部分安全厂商查杀,但依然有一些样本至今不能被检出。



从背景上分析,虽然历次攻击都是针对商业公司,但本次攻击中所采用的Flash播放器0day漏洞在市场上的价格大约为20-60万人民币。如果这个漏洞是DarkHotel自己挖掘的,那么他们需要有相当强的技术实力。如果这个漏洞是他们购买得来的,则需要雄厚的资金实力。微步在线的安全分析师判断,想要做到DarkHotel的成绩,至少需要数百万的资金投入。


湘ICP备2022002427号-10湘公网安备:43070202000427号
© 2013~2019 haote.com 好特网