2011年10月,我們記錄了一種有目標的特殊攻擊活動,即Nitro攻擊。在當時的攻擊情況中,攻擊者主要以化工企業為攻擊目標。盡管我們投入精力揭露并公布了這些攻擊幕后的詳情,但這些攻擊者們依然明目張膽,甚至在他們的社會工程活動中使用我們自己的報告!
不過,這些攻擊者們也在快馬加鞭。目前已經觀察到對一種新型Java零日差漏洞的利用正在擴散。我們可以確定,此輪攻擊背后的部分攻擊者正是Nitro團伙。
Nitro攻擊者一貫采用的手法就是向受害者發送一封電子郵件。這封電子郵件包含一個附件,該附件是受密碼保護的自解壓zip文件。這封電子郵件自稱是對經常安裝的軟件中某個組件的更新。淪為攻擊目標的用戶解壓縮并運行該文件后,便會感染Backdoor.Darkmoon(也稱作 Poison Ivy)的一份副本。
在這些最新的攻擊中,攻擊者們形成了一種更為復雜一些的伎倆。他們采用以.jar文件形式寄宿在網站上的Java零時差攻擊方式來感染受害者。正如在之前記錄的攻擊中所表現出來的行為那樣,這些攻擊者們使用 Backdoor.Darkmoon重用命令和控制基礎架構,甚至重用諸如Flash_update.exe之類的文件名。可能這些攻擊者會向鎖定為目標的用戶發送電子郵件,而郵件中則包含了指向惡意jar文件的鏈接。Nitro攻擊者們似乎仍在繼續實施他們之前的惡行。
Oracle已經發布了一款修補程序(即Java SE 7更新 7),此修補程序可解決CVE-2012-4186所述的漏洞。建議用戶下載這項最新更新。
熱點病毒
病毒名:Backdoor.Hikit
病毒類型:Trojan
受影響系統:Windows 98、Windows 95、Windows XP、Windows 7、Windows Me、Windows Vista、Windows NT、Windows Server 2003、Windows 2000
Backdoor.Hikit是一種在被感染的計算機上打開后門的木馬。該木馬在運行時,會創建如下文件:%Temp%\w7fw.sys %Temp%\w7fw_m.inf %Temp%\w7fw.inf %Temp%\w7fw.cat之后接著它會釋放一個32位或者64位的驅動(這取決于用戶的操作系統):
%System%\drivers\W7fw.sys
然后該病毒會用未經驗證的認證引導這個驅動,同時也會修改相應的注冊表鍵值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Driver Signing\"Policy" = "00"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Non-Driver Signing\"Policy" = "00"
HKEY_LOCAL_MACHINE\Software\Microsoft\SystemCertificates\AuthRoot\Certificates\[HEXADECIMAL VALUE]\"Blob" = "[BINARY DATA]"
該病毒允許遠程攻擊者在被感染的計算機上完成下列的命令:
打開通過SOCKS5 proxy的連接
下載文件到被感染的計算機上
上傳文件到遠程位置
開啟一個command shell
停止執行
資料來源:賽門鐵克互聯網疫情通報