Wekby的APT及使用的DNS通信

一组APT攻击者被发现正在使用DNS与C&C服务器进行通信。PaloAlto网络的研究人员称这组攻...





一组APT攻击者被发现正在使用 DNS 与C&C服务器进行通信。

Palo Alto 网络的研究人员称这组攻击者被为Wekby，APT 18、 炸药熊猫 或TG-0416，并认为该小组有着中国背景。该攻击小组于2014年针对美国最大的医院运营商之一发起了攻击，通过OpenSSL 漏洞心脏滴血漏洞，袭击者获取了 450 万患者的信息。

该小组具备了快速更新其攻击工具的能力。一个例子是意大利间谍软件制造商去年刚曝光 Flash Player 漏洞不久，该小组就开始利用该漏洞制造工具了。

在最近针对一家美国公司的攻击中，Wekby使用了一种变异的 HTTP Browser意软件，被称为pisloader。这类远程访问木马，常被Wekby 和其他 APT 攻击者使用。

攻击者利用公共基础设备进行恶意攻击，使得这些攻击貌似源自一些知名组织，例如罗技和环球印务公司。这些黑客首先添加注册表项，然后解密并执行一个包含pisloader内容的文件。这些内容利用ROP技术隐藏起来，并通过包含一些随机指令增加逆向分析的难度。Pisloader利用C&C通信过程中的DNS请求，绕过某些安全防护技术，使得这些业务不被检查与过滤。这类威胁越来越多，例如恶意软件Multigrain和Framework POS就利用POS漏洞进行攻击。

以pisloader为例，恶意软件定期发送DNS信标请求给C&C服务器，其位置被硬编码（直接做为固定内容写入了程序,而不是做为变量）到恶意软件中。DNS响应必须满足一定的要求，否则该恶意软件会忽略他们。服务器的TXT记录可能包含恶意软件的各种命令，包括收集系统信息，指定目录存储文件信息列表，上传文件至受感染的机器，以及发起一个指令等。

Palo Alto 所列出的Wekby攻击的域包括globalprint-us[.]com, ns1.logitech-usa[.]com ,和intranetwabcam[.]com。很容易将pisloader恶意软件联系到Wekby,这是因为pisloader有许多特征与HTTPBrowser RAT家族相似,而HTTPBrowser RAT是Wekby常用的。他们表示,该Wekby APT黑客团伙一直很活跃,基本上他们把目标锁定在美国的医疗保健,电信,航空航天,国防和高科技公司。

    关注 malwarebenchmark