转载

黑客组织春龙（Spring Dragon）发起的APT攻击分析

我们在这里分析下前几年的APT案例——黑客组织春龙（Spring Dragon）发起的“Lotus Blossom行动”。

黑客组织Spring Dragon

这个攻击事件来源2012年出现的Elise代码库的调试字符串的特征（d:/lstudio/projects/lotus/Elise…）。

在前几年，黑客组织Spring Dragon最为人津津乐道的就是对CVE-2012-0158漏洞的利用。而如今他们又开始了钓鱼挂马，利用web漏洞攻击网站，以及重定向用户的Flash升级请求到恶意网站进行水坑攻击。该组织的钓鱼工具包里有PDF的exp，Adobe Flash Player的exp，以及从不太出名的Tran Duy Linh工具包提取的CVE-2012-0158漏洞的exp。当Spring Dragon的APT行动把大家的注意吸引到越南的黑客事件上时，我们突然发现他们似乎还准备了混合使用exp的战术来攻击越南(VN)、台湾(TW)、菲律宾(PH)等后缀的网站。

攻击案例

接下来，我们来看看几个新的攻击案例

黑客组织春龙（Spring Dragon）发起的APT攻击分析

第一个案例

Spring Dragon的黑客手段可不只有交叉钓鱼，他们也会渗透WEB网站做坏坏的事。在某次黑客攻击案例中，他们替换了某网站提供下载的Myanma字体的安装包。你可以看到，在上面的图中，在2012年Planet Myanmar网站曾提供该字体安装包的下载，所有的zip文件下载URL都指向一个有毒的zip安装包：Zawgyi_Keyboard_L.zip。解压这个zip文件会释放一个setup.exe，里面附带了一些后门组件，包括Elise“wincex. dll” (文件MD5值：a42c966e26f3577534d03248551232f3，检测结果：Backdoor.Win32.Agent.delp)。

在受害者无意中启动它时，会向外发出一个典型的Elise式Get请求：

GET /%x/page_%02d%02d%02d%02d.html

就像上面讨论“Lotus Blossom行动”的文章里写的那样。

第二个案例

在2014年11月，还有一个黑客攻击案例是利用CVE-2014-6332漏洞的exp，其中包含一个VBS恶意脚本以及变种payload。在2012年6月，该组织还在这个网站上挂了了某PDF漏洞的exp（CVE-2010-288），文件名为：“Zawgyi Unicode Keyboard.pdf”。其实在早些时候，他们也曾挂了这个PDF漏洞的exp，只是当时用的名字不一样而已。

在2011年11月，他们还曾用“台灣安保協會「亞太區域安全與台海和平」國際研討會邀請函_20110907. pdf”、“china-central_asia.pdf”、“hydroelectric sector.pdf”，以及伪装成来自政府机构的信函名等手段来诱惑人点击。

还有就是，我们观察到Spring Dragon针对政府目标进行APT攻击时，一般会把用户重定向到下载Flash安装包的网站。

黑客组织春龙（Spring Dragon）发起的APT攻击分析

如图所示，这个网站将用户重定向到一个典型Elise后门的flash安装包下载的网站，后门文件会与“210.175.53.24”主机交互，并向该主机发出GET请求包：“GET /14111121/page_321111234. html HTTP/1.0”。

至于用户在网站下载行为的重定向过程如下：

hxxp://www.bkav2010.net/support/flashplayer/downloads.htm ==>  hxxp://96.47.234.246/support/flashplayer/install_flashplayer.exe (Trojan-Dropper.Win32.Agent.ilbq)。

这次黑客攻击有效地利用了他们过去用烂的CVE-2012-0158漏洞的exp。Spring Dragon通过普通的手法，做出了更多创造性APT攻击。

*参考来源： securelist ，由FreeBuf小编dawner翻译整理，转载请注明来自FreeBuf黑客与极客（FreeBuf.COM)

正文到此结束