Siesta行动:一起新发现的定向攻击
来源:互联网 发布:贰瓶勉 知乎 编辑:程序博客网 时间:2024/06/06 23:55
过去几周时间里,趋势科技收到几份利用各种应用版本漏洞窃取各类组织信息的报告,与Safe行动相似,这些行动进行的非常隐蔽。并将攻击者精心策划的这起定向攻击称为Siesta行动,其目标为能源、金融、医疗保健、媒体通信及交通运输等等固定的产业。
随后fireeye对此活动展开更详细的分析,fireeye表示此活动和APT1有关联,他们发现二零一四年二月二十〇日针对客户在电信部门,利用鱼叉式网络钓鱼邮件,并链接到iifuedit[.]net/Healthcare_Questionnaire.zip,这个zip文件包含一个恶意的可执行文件具有以下属性:
MD561249bf64fa270931570b8a5eba06afaCompile Time2014-02-20 02:28:21.text39e9e4eac77a09b915626f315b963a4f.rdataa126c8c7c50bf034f2d3ba4aa5bcab28.databb95154b5aeb13a4ff937afa2e7e4560.rsrcedf3a1e142fc212da11dc72698184ad5Import Hash20ff5087740eabff5bdbdf99d9fb6853样本的手法和APT1相似:鱼叉式钓鱼来指向一个恶意样本链接
该链接看似像一个合法的网址
进一步通过关联发现。此次活动样本中的导入表hash和APT1一致,自定义base64编码coWXYZabcdefghijkl123456789ABCDEFGHIJKL+/MNOPQRSTUVmn0pqrstuvwxyz. 也和APT1活动一致。还包括样本释放的诱饵PDF文件也和APT1一致。
另外该活动中的诱饵文件也曾被“Menupass” 组织利用。并且同一个MD5文件可以用IOC同时检测两个组织,APT1和Menupass。
通过关联分析,可能的情况有:
1、Siesta行动是APT1的执行者
2、Siesta行动和APT1共享一些资源
趋势链接:http://blog.trendmicro.com/trendlabs-security-intelligence/the-siesta-campaign-a-new-targeted-attack-awakens/
fireeye链接:http://www.fireeye.com/blog/technical/targeted-attack/2014/03/a-detailed-examination-of-the-siesta-campaign.html
- Siesta行动:一起新发现的定向攻击
- 极光行动:攻击Google的代码曝光
- 极光行动:攻击Google的代码曝光
- 新发现: SandJacking iOS攻击技术
- 关于border的新发现
- iframe的新发现
- 自学英语的新发现
- 新发现,有趣的指针
- 生姜用途的新发现
- onpropertychange,我的新发现
- onpropertychange,我的新发现
- 透明控件的新发现!
- 最近新发现的网站
- 今天的新发现
- 一些的新发现
- MB_ICO图标的新发现
- 关于Servlet的新发现
- 新发现的有用JavaAPI
- python学习笔记——Thread常用方法
- C++ 类型转换及RTTI
- 【2014 Esri开发者大会精彩看点】ArcGIS 10.2.2 Native开发产品新特性【上】
- 按钮与回车键关联
- 转:vim插件 ctags 和 taglist 的安装和使用
- Siesta行动:一起新发现的定向攻击
- python算法实现系列-堆排序
- 单独安装NET3.5的问题
- 看到它,你是一个幸运的人;做到它,你是一个成功的人
- linux 中IO多路复用epoll函数的ET和LT工作模式详解
- C++连接mySql数据库
- myeclipse部署时An internal error occurred 错误 自己试了第一种
- dwr与spring
- liunx 查看硬件配置命令