中国又被背锅 美国称其黑客利用 .NET 漏洞攻击国防承包商

2017年10月23日

网络安全公司Proofpoint称某个此前曾与中国存在关联的黑客组织一直在利用最近刚刚得到修复的.NET漏洞攻击美国各组织机构(包括造船企业以及与军方有关的高校研究中心)。

黑客组织在攻击活动中惯用漏洞

该黑客组织因利用名为“NanHaiShu”的远程访问木马(简称RAT)而闻名,且至少自2014年以来就一直相当活跃。过去几年当中,该组织将矛头指向与海运事务相关的美国与西欧各机构,包括多家海军国防承包商以及研究机构。

F-Secure公司去年发布的一份报告指出,该组织所发起的各项攻击活动实际上专门针对2016年“南海仲裁案”闹剧中参与常设仲裁庭审判的各参与方——菲律宾司法部、亚太经合组织APEC峰会组织者、国际律师事务所( 美国福利·霍格律师事务所)。报告中包括几项表明NanHaiShu恶意软件确实拥有中国“血统”的证据。


9月:利用.NET安全漏洞CVE-2017-8759

该组织的最新一轮攻击由Prrofpoint公司于今年9月中旬发现,其向一家美国造船企业以及一座与军方相关的美国高校研究中心发送鱼叉式钓鱼邮件。这些邮件当中附有可利用.NET安全漏洞CVE-2017-8759(SOAP WSDL解析器代码注入漏洞)的文档,然而该漏洞已经在攻击发动前几天就已被微软方面修复。但在微软发布修复补丁之前,该项漏洞已经被某中东威胁组织用于传递间谍软件。

8月:利用CVE-2017-0199漏洞

Proofpoint公司还发现,该黑客组织早在今年8月初就曾经发起多次攻击,并利用CVE-2017-0199漏洞(Petya勒索病毒也利用该漏洞),这项Office安全漏洞此前同样曾被其它组织所使用,并由微软公司于今年4月发布补丁完成修复。

这些攻击活动主要针对许多家国防承包商,且其中具体采用了恶意微软Publisher文件、PowerPoint演示文稿以及专门仿冒军舰与潜艇制造厂商的域名。

安全公司的研究人员对这些攻击事件作出了分析,有研究人员指出该黑客组织目前已经开始将关注点转向韩国。


除了NanHaiShu之外,这批攻击者还曾经利用“Orz”后门——该后门曾先后被用于早期攻击以及2017年8月的最新攻击活动,且配合SeDLL与MockDLL等加载器外加Cobalt Strike渗透测试工具。

在某些情况下,研究人员们注意到该组织还会利用目标机构当中的已入侵邮件帐户将恶意附件发送给同机构内的其他对象,还利用被劫持的服务器实施命令与控制(简称C&C)操作。

Prrofpoint公司的研究人员们在一篇博文中解释称,“这些工具、技术与目标始终贯穿于其工作当中,特别是考虑到他们对海军与海上防务目标的关注以及所使用的定制化后门。研究人员提醒符合该黑客组织目标的特征的机构应当特别警惕看似来自外部合法实体、但却不请自来的电子邮件。”

转自:E安全

展开阅读全文
3 收藏
分享
加载中
精彩评论
中国像我们这样搞 .net 的都不是饿死就是被迫转行啦,哪有人才用 .net 攻击你?明显这是你们自导自演的好吧?
2017-10-23 09:27
27
举报
梯子都折了怎么攻击😭
2017-10-23 10:12
5
举报
貌似发现 国内对net有特别大的偏见? 这语言明明在国外很火 有点费解!!! 有时候还不得不求助 .net 特别是 工控产业 或桌面系统 比如我们现在浏览器的打印功能太难用了 不得不调用原生接口
2017-10-23 14:38
4
举报
因为,,,,因为,,sb这个变量???
2017-10-23 11:56
4
举报
微软的锅我们不背
2017-10-23 10:01
3
举报
最新评论 (16)
哪里看出来有中国“血统”的
2017-10-24 10:05
0
回复
举报

引用来自“阿爆g”的评论

貌似发现 国内对net有特别大的偏见? 这语言明明在国外很火 有点费解!!! 有时候还不得不求助 .net 特别是 工控产业 或桌面系统 比如我们现在浏览器的打印功能太难用了 不得不调用原生接口
@阿爆g 因为你来的是互联网资讯媒体,所以你看到早期以web起家的开发语言居多。另外,学校现在教c和java,所以用java的占多数。然后为了开发系统,在已有java这个后端语言的基础上,一般人都会再学前端语言比如js,很少有人会重复再学一门新的后端语言。
2017-10-24 08:07
0
回复
举报
貌似发现 国内对net有特别大的偏见? 这语言明明在国外很火 有点费解!!! 有时候还不得不求助 .net 特别是 工控产业 或桌面系统 比如我们现在浏览器的打印功能太难用了 不得不调用原生接口
2017-10-23 14:38
4
回复
举报
南海叔?
2017-10-23 14:02
0
回复
举报
Orz后门😓
2017-10-23 12:50
0
回复
举报
因为,,,,因为,,sb这个变量???
2017-10-23 11:56
4
回复
举报
没看出来中国血统啊,因为背景是红的吗?
2017-10-23 10:16
0
回复
举报
梯子都折了怎么攻击😭
2017-10-23 10:12
5
回复
举报
微软的锅我们不背
2017-10-23 10:01
3
回复
举报
中国有这样钻研技术的人才就好了。。。
2017-10-23 09:50
2
回复
举报
更多评论
16 评论
3 收藏
分享
返回顶部
顶部