阻击“幻影”行动:奇安信斩断东北亚APT组织“虎木槿”伸向国内重要机构的魔爪

时间:2019-12-05 作者:奇安信

分享到:

近日,奇安信威胁情报中心红雨滴团队结合天眼产品在客户侧的部署检测,在全球范围内率先监测到多例组合使用多个浏览器高危漏洞的定向攻击,实现了基于威胁情报和流量分析的在野现实APT攻击实时检测的突破,对国内重点客户的网络攻击防护起到了不可替代的作用。

通过取证溯源分析,奇安信威胁情报中心红雨滴团队已完整捕获相关APT组织利用漏洞攻击的全过程。目标包括多个国内核心教育科研政府机构和个人,只要受攻击目标使用特定浏览器近期的版本打开网页就可能中招,被黑客植入后门木马甚至完全控制电脑。分析显示,该攻击利用了多个较老版本的Chrome浏览器内核的漏洞,国内外使用了这些较老版本渲染核心且没有对应漏洞缓解措施的浏览器用户成为本次APT攻击的目标。

我们确认本波次攻击活动背后的团伙为东北亚来源,并将该APT团伙命名为“虎木槿”。“幻影”行动意指虚幻而不真实的影像,取意于攻击者在浏览器漏洞利用过程中通过播放一个不存在的Windows Media Video影音文件来启动MediaPlayer插件,从而劫持执行下载的恶意DLL以达到执行木马获取控制的目的,体现了攻击者变幻莫测的攻击技巧和高超的技术能力。

出于对提升安全业界对于攻击过程的了解以发现并归属同类攻击活动的考虑,我们仅将总结的该APT组织攻击流程披露如下图所示:


近期的攻击监控显示境外APT攻击者越来越多地使用影响面大的已知网络武器针对国内一些使用低版本组件的产品进行攻击,这也证明APT攻击无所不入的攻击特点。本次所发现的攻击邮件内容设计上体现了高度的定向性和对于目标的深入了解,当一个好用的数字武器再结合高端的社会工程学的诱饵,那么最终必将产生高强度的渗透能力。

本次所发现的攻击所涉及的漏洞影响面其实非常大,奇安信威胁情报中心协助相关的厂商和受影响客户完成了漏洞和攻击的处置。奇安信威胁情报中心提醒用户:请勿随意点击打开未知来源的邮件附件以及链接,强烈建议用户主动更新浏览器至最新版本,并开启自动更新。

目前包括天眼高级威胁检测产品在内的天擎终端安全管理系统、NGSOC、TIP威胁情报平台、智慧防火墙等全线奇安信攻击检测类产品都已经支持对此威胁的检测,用户可以升级相关的设备到最新的版本和规则库。

奇安信 95015网络安全服务热线

95015网络安全服务热线

扫一扫关注

奇安信 在线客服 奇安信 95015

您对奇安信的任何疑问可用以下方式告诉我们

将您对奇安信的任何疑问

用以下方式告诉我们