阻擊“幻影”行動:奇安信斬斷東北亞APT組織“虎木槿”伸向國內重要機構的魔爪
釋出日期:2019-12-05 作者:奇安信
近日,奇安信威脅情報中心紅雨滴團隊結合天眼產品在客户側的部署檢測,在全球範圍內率先監測到多例組合使用多個瀏覽器高危漏洞的定向攻擊,實現了基於威脅情報和流量分析的在野現實APT攻擊實時檢測的突破,對國內重點客户的網絡攻擊防護起到了不可替代的作用。
通過取證溯源分析,奇安信威脅情報中心紅雨滴團隊已完整捕獲相關APT組織利用漏洞攻擊的全過程。目標包括多個國內核心教育科研政府機構和個人,只要受攻擊目標使用特定瀏覽器近期的版本打開網頁就可能中招,被黑客植入後門木馬甚至完全控制電腦。分析顯示,該攻擊利用了多個較老版本的Chrome瀏覽器內核的漏洞,國內外使用了這些較老版本渲染核心且沒有對應漏洞緩解措施的瀏覽器用户成為本次APT攻擊的目標。
我們確認本波次攻擊活動背後的團伙為東北亞來源,並將該APT團伙命名為“虎木槿”。“幻影”行動意指虛幻而不真實的影像,取意於攻擊者在瀏覽器漏洞利用過程中通過播放一個不存在的Windows Media Video影音文件來啓動MediaPlayer插件,從而劫持執行下載的惡意DLL以達到執行木馬獲取控制的目的,體現了攻擊者變幻莫測的攻擊技巧和高超的技術能力。
出於對提升安全業界對於攻擊過程的瞭解以發現並歸屬同類攻擊活動的考慮,我們僅將總結的該APT組織攻擊流程披露如下圖所示:
近期的攻擊監控顯示境外APT攻擊者越來越多地使用影響面大的已知網絡武器針對國內一些使用低版本組件的產品進行攻擊,這也證明APT攻擊無所不入的攻擊特點。本次所發現的攻擊郵件內容設計上體現了高度的定向性和對於目標的深入瞭解,當一個好用的數字武器再結合高端的社會工程學的誘餌,那麼最終必將產生高強度的滲透能力。
本次所發現的攻擊所涉及的漏洞影響面其實非常大,奇安信威脅情報中心協助相關的廠商和受影響客户完成了漏洞和攻擊的處置。奇安信威脅情報中心提醒用户:請勿隨意點擊打開未知來源的郵件附件以及鏈接,強烈建議用户主動更新瀏覽器至最新版本,並開啓自動更新。
目前包括天眼高級威脅檢測產品在內的天擎終端安全管理系統、NGSOC、TIP威脅情報平台、智慧防火牆等全線奇安信攻擊檢測類產品都已經支持對此威脅的檢測,用户可以升級相關的設備到最新的版本和規則庫。