专攻航空航天和医疗保障的网络间谍组织

今年早些时候,美利哥第叁大医疗保证服务商Anthem遭黑客攻击,近柒仟万员工和客户资料被盗,包括姓名、生日、医保ID号、社会保障号、住宅地址、电子邮箱、雇佣意况、以及收入多少。

766游戏网官网 1

赛门铁克认为侵袭Anthem的背后黑手一定是很是强大的网络间谍组织BlackVine(暗褐藤蔓),而且Anthem也只是该间谍协会众多攻击对象中的在那之中一个。

赛门铁克近日发布的白皮书中牵线,BlackVine间谍协会早在2013年就应运而生了,它的口诛笔伐对象燃气轮机创造商、航空航天公司、医疗保障服务商等等。该团伙惯用的是0day漏洞使用程序和自定义开发的恶意后门,并认为BlackVine与黑客组织“隐衷山猫”以及中夏族民共和国都城的平安集团天融信(Topsec)有涉嫌。

Black Vine背景

Black Vine首要利用以下的0day漏洞,然后以水坑攻击起头:

微软IE CDwnBindInfo Use-After-Free远程代码执行漏洞(CVE-二〇一三-4792)

微软IE Use-After-Free远程代码执行漏洞(CVE-二〇一五-0322)

BlackVine首先会攻占攻击指标惯用的网站,植入恶意代码,当目的再度做客该网站时就会染上恶意程序。要是0day漏洞应用程序成功的感染了被害者电脑,攻击者会随着释放布莱克Vine的自定义后门,即可远程访问受害者电脑。除了水坑式攻击以外,BlackVine还会通过发送鱼叉式钓鱼邮件展开攻击。

Black Vine凌犯的行当列表:

航空航天公司
医疗保险服务商
能源业
军事国防
金融行业
农业
科技行业

受BlackVine影响最大的地段是美利坚合众国,其次是炎黄、加拿大、意大利共和国、丹麦王国、印度。

766游戏网官网 2

恶意程序

透过调查切磋探讨,布莱克 Vine在抨击活动中主要行使了3种自定义恶意程序:Hurix、
Sakurel 、Mivast。它们能履行的操作有:

打开1个后门

执行文书和下令

除去、修改、创造登录密钥

收集被感染电脑上的音信

赛门铁克的辨析发现,BlackVine是二个实力富饶的网络间谍组织,它会不停的换代、修改其恶意程序,以躲避追踪。

与黑客团队“隐衷山猫”共用攻击平台

隐瞒山猫(Hidden
Lynx)是一个正式的黑客团队,具有超强的攻击能力。他们曾砍下了U.S.安全公司Bit9的数字证书签名系统,使她们的眼线程序变得合法。攻击Bit7头是他俩在过去的四年岁月里所开始展览的成都百货上千动作之一。点自身查看隐衷山猫的详实告知

在解析中我们发现BlackVine与隐私山猫使用了一致的0day漏洞使用程序,那是因为他们彼此共用一套0day攻击框架——埃尔德wood平台。我们率先次发现那几个平台是在二〇一二年,那些平台会随处的换代最新0day利用程序。2015年,大家发现三个攻击协会也在应用它,并且那么些攻击组织与中华夏族民共和国至于。

766游戏网官网,另一对调查报告则显得,Black Vine与中华京城的双鸭山公司天融信(Topsec)有关。

总结

BlackVine是3个强有力、实力富厚的网络间谍组织,并且其间谍活动还在继续。希望各行业能面对面该间谍社团的加害,计划尤其谨慎的防护措施。

发表评论

电子邮件地址不会被公开。 必填项已用*标注