黑色藤蔓(Black Vine):专攻航空航天和医疗保险的网络间谍组织


发布人:admin分类:网络安全浏览量:28发布时间:2017-12-12

今年早些时候,美国第二大医疗保险服务商Anthem遭黑客攻击,近8000万员工和客户资料被盗,包括姓名、生日、医保ID号、社会保险号、住宅地址、电子邮箱、雇佣情况、以及收入数据。

赛门铁克认为入侵Anthem的幕后黑手一定是非常强大的网络间谍组织Black Vine(黑色藤蔓),而且Anthem也只是该间谍组织众多攻击目标中的其中一个。

赛门铁克近期发布的白皮书中介绍,Black Vine间谍组织早在2012年就出现了,它的攻击目标燃气轮机制造商、航空航天公司、医疗保险服务商等等。该组织惯用的是0day漏洞利用程序和自定义开发的恶意后门,并认为Black Vine与黑客组织“隐秘山猫”以及中国北京的安全公司天融信(Topsec)有关联。

Black Vine背景

Black Vine主要利用以下的0day漏洞,然后以水坑攻击开始:

微软IE CDwnBindInfo Use-After-Free远程代码执行漏洞(CVE-2012-4792)
微软IE Use-After-Free远程代码执行漏洞(CVE-2014-0322)

Black Vine首先会攻破攻击目标惯用的网站,植入恶意代码,当目标再次访问该网站时就会感染恶意程序。如果0day漏洞应用程序成功的感染了受害者电脑,攻击者会进而释放Black Vine的自定义后门,即可远程访问受害者电脑。除了水坑式攻击以外,Black Vine还会通过发送鱼叉式钓鱼邮件展开攻击。

Black Vine入侵的行业列表:

航空航天公司
医疗保险服务商
能源业
军事国防
金融行业
农业
科技行业

受Black Vine影响最大的地区是美国,其次是中国、加拿大、意大利、丹麦、印度。

恶意程序

通过调查研究,Black Vine在攻击活动中主要使用了3种自定义恶意程序:Hurix、 Sakurel 、Mivast。它们能执行的操作有:

打开一个后门
执行文件和命令
删除、修改、创建登录密钥
搜集被感染电脑上的信息

赛门铁克的分析发现,Black Vine是一个实力雄厚的网络间谍组织,它会不断的更新、修改其恶意程序,以躲避追踪。

与黑客组织“隐秘山猫”共用攻击平台

隐秘山猫(Hidden Lynx)是一个专业的黑客组织,具有超强的攻击能力。他们曾攻陷了美国安全公司Bit9的数字证书签名系统,使他们的间谍程序变得合法。攻击Bit9只是他们在过去的四年时间里所进行的众多动作之一。点我查看隐秘山猫的详细报告

在分析中我们发现Black Vine与隐秘山猫使用了相同的0day漏洞利用程序,这是因为他们两者共用一套0day攻击框架——Elderwood平台。我们第一次发现这个平台是在2012年,这个平台会持续的更新最新0day利用程序。2014年,我们发现多个攻击组织也在使用它,并且这些攻击组织与中国有关。

另一些调查报告则显示,Black Vine与中国北京的安全公司天融信(Topsec)有关。

总结

Black Vine是一个强大、实力雄厚的网络间谍组织,并且其间谍活动还在继续。希望各行业能正视该间谍组织的危害,部署更为严谨的防护措施。

* 参考来源symantec,有删减,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)


被黑站点统计 - 文章版权1、本主题所有言论和图片纯属会员个人意见,与本文章立场无关
2、本站所有主题由该文章作者发表,该文章作者与被黑站点统计享有文章相关版权
3、其他单位或个人使用、转载或引用本文时必须同时征得该文章作者和被黑站点统计的同意
4、文章作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
7、被黑站点统计管理员有权不事先通知发贴者而删除本文

免责声明

本站主要通过网络搜集国内被黑网站信息,统计分析数据,为部署安全型网络提供强有力的依据.本站所有工作人员均不参与黑站,挂马或赢利性行为,所有数据均为网民提供,提交者不一定是黑站人,所有提交采取不记名,先提交先审核的方式,如有任何疑问请及时与我们联系.

admin  的文章


微信公众号

微信公众号


Copyright © 2012-2022被黑网站统计系统All Rights Reserved
页面总访问量:21395646(PV) 页面执行时间:122.159(MS)
  • xml
  • 网站地图