北京治疗白癜风最好的药 http://baidianfeng.39.net/a_yqyy/150428/4616286.html

前言

近期，绿盟科技伏影实验室确认了多起针对乌克兰、格鲁吉亚等东欧国家的网络攻击活动。通过跟踪分析，我们发现这些攻击活动隶属于一个在年上半年非常活跃的新型APT组织。该组织拥有较强的渗透能力，善于借用其他活跃黑客组织的攻击手法和网络设施，通过鱼叉邮件和水坑站点等途径投放独特的下载器和间谍木马程序。更多行为轨迹信息表明，该组织目前可能受雇于更高级的间谍组织，帮助他们收集信息。伏影实验室根据其攻击组件中的特征信息，将该组织命名为Lorec53。

本文是Lorec53组织系列报告的第一篇文章。本报告中，伏影实验室将介绍Lorec53组织的活动目标与组织特征，并以时间顺序披露该组织的攻击活动。

组织分析

组织目的目标

Lorec53组织一直担任着网络攻击中信息搜集的角色。该组织的间谍攻击主要以格鲁吉亚和乌克兰的政府部门工作者等为目标，设法窃取其设备上的各类文档类数据，或在设备上留下后门程序以供后续攻击使用。

目前，Lorec53组织的受害者包括伊朗国家银行用户、格鲁吉亚防疫与卫生部门、乌克兰国防部、总统府、内政部、边防局等国家部门。

组织特征

关联攻击事件显示，Lorec53组织在攻击流程的多个阶段展示了有区分度的组织特征。这些特征一部分与已知的其他攻击组织类似，另一部分则显示出独立性，同时展现了其与已知APT组织合作的可能性。

我们总结了Lorec53组织的以下行为特征：

1

以雇佣军身份参与黑客攻击行动

目前，已发现的Lorec53组织活动除针对特定国家的网络间谍攻击外，还包括部分鱼叉邮件运营者常用的订单式钓鱼、大范围的漏洞扫描和弱密码爆破、以及目标为用户金融资产的盗窃类攻击等。这些在动机上缺乏直接联系的攻击行为表明，Lorec53可能是一个或一组具有较强渗透能力的黑客，以合作或受雇佣的方式参与到其他黑客组织甚至更高级的网络间谍组织的攻击活动当中。

2

善于借鉴其他APT组织的社会工程学技术

Lorec53组织在由其主导的攻击流程中，使用了包括水坑站点、lnk脚本执行、rtf漏洞利用、pdf恶意链接、多重诱饵、文档乱码字符串等迥异的社会工程学技术。一方面，这些技术展现了Lorec53组织在渗透方面的能力；另一方面，这些与已知APT组织渗透方式相类似的手法也表明，Lorec53组织在网络间谍活动领域仍处于学习和发展阶段。

3

使用.site、.space、.xyz等域临时域名

已发现的网络设备表明，Lorec53组织似乎钟情于.site、.space、.xyz三个顶级域，在这些域下注册了大量纯数字或英文数字混合的域名并用于网络攻击活动。上述顶级域的管理比较松散，便于匿名注册和大量注册，方便Lorec53组织进行程序化管理。基于以上域的短期域名很容易让人联想到APT组织Gamaredon，Lorec53组织很有可能借鉴了这些老牌APT组织的域名管理模式。

4

使用一些独特的木马

Lorec53组织在其网络间谍活动中，制作并投放了LorecCPL、LorecDocStealer等多种木马程序，类似的程序尚未在其他间谍活动中出现。

5

借用其他黑客组织的网络设施

Lorec53组织控制的部分网络设施，在年以前，或者在部分网络间谍攻击之后，被发现用于运营包括Predator、Formbook等其他僵尸网络。目前，这些僵尸网络运营行为与Lorec53组织的攻击意图和常用手段没有太多交集，也无法找到攻击者之间的直接关联。我们推断，Lorec53组织可能是借用了一些其他黑客组织的服务器，用于中转或分发其木马程序。我们无法确定这种行为背后的原因，但在结果上看，它在一定程度上增加了梳理Lorec53组织攻击轨迹的难度。

组织定位

目前，尚未发现可以明确定位Lorec53组织地理位置的关键证据。但相关攻击活动表明，Lorec53偏爱使用来自俄罗斯的攻击资源，包括归属于俄罗斯服务商和注册者的服务器、来自俄罗斯黑客论坛或黑市的木马程序等。

查询Lorec53组织所有相关的攻击事件中出现的网络设施，我们发现这些设施的归属地非常集中。格鲁吉亚钓鱼事件中，相关域名的注册者为fed****kar

rambler.ru，该账号注册了多个同类型的域名；相关IP均位于俄罗斯。同样，关联事件中出现的域名中.site和.site注册者为同账号fed****kar

rambler.ru，.xyz注册者为hro****

rambler.ru；出现的IP绝大多数位于俄罗斯境内。

Lorec53组织使用了多种由俄罗斯黑客开发的木马程序，这些木马都来自俄罗斯暗网论坛。

Lorec53组织曾使用的Taurus木马程序是由一个名为Alexuiop的俄罗斯开发者开发的，曾在多个俄罗斯暗网论坛与Telegram等渠道销售；

Lorec53组织曾使用的SaintBot木马程序中，包含一种俄罗斯恶意软件开发者常用的代码逻辑，通过获取运行环境的LCID，避免自身在俄语、乌克兰语、白俄罗斯语、亚美尼亚语、哈萨克语、摩尔多瓦语环境中运行。此类代码通常用于降低程序自身在非目标区域的暴露几率。

攻击活动分析

活动时间线

Lorec53组织的网络间谍活动最早暴露于年3月。攻击时间线显示，Lorec53组织交替进行针对格鲁吉亚和乌克兰的攻击活动，并且随着时间的推进，其攻击活跃度明显增加，攻击流程中各组件的质量也越来越高。

3月攻击活动

“ISTCagreement”钓鱼攻击活动

该起攻击事件疑似针对格鲁吉亚与疾病防控相关的国家单位。

在本次攻击中，Lorec53组织的攻击者投递了名为Confirmation.zip的压缩包文件，包含下列三个文件：

名为G-p.pdf的文件是诱饵文档（图片经过后期脱敏处理），显示了所谓的#G-p协议的相关事项，关联组织包括俄罗斯国际科学技术中心（ISTC）、格鲁吉亚国家疾病控制和公共卫生中心（NationalCenterforDiseaseControlandPublicHealth）以及美国国家过敏和传染病研究所（NIAID）。

名为LetterConfirm.doc的文档是CVE--漏洞文档，打开后显示如下内容：

该文档中的漏洞利用载荷将下载

转载请注明:http://www.hechaoqiongq.com/jxnwjj/21221.html