1. 威客安全首页
  2. 安全资讯

警惕!境外APT组织蔓灵花攻击我国多个目标!

警惕!境外APT组织蔓灵花攻击我国多个目标!

10月27日,Twitter用户@MisterCh0c发布消息称发现疑似某APT组织的一款木马控制平台登录地址。

http://lmhostsvc[.]net/healthne/login.ph

警惕!境外APT组织蔓灵花攻击我国多个目标!

28日,另一名用户@sS55752750跟进回复并上传了一张后台页面图片,根据图片发现该后台至少记录了12台被控主机的IP地址、计算机名、用户名、操作系统、被控时间及最后一次上线时间等信息。

警惕!境外APT组织蔓灵花攻击我国多个目标!

经核实发现,相关域名属于印度政府背景APT蔓灵花(Bitter)组织所有,且该后台控制界面中暴露的IP地址中9个属于中国,主要涉及北京、上海、浙江、广西等地,该平台还具备下发木马插件的功能,可对受控主机实施进一步操作,相关信息如下所示:

警惕!境外APT组织蔓灵花攻击我国多个目标!

通过该控制页面,攻击者可以对目标继续下发任务,其功能木马如下:

警惕!境外APT组织蔓灵花攻击我国多个目标!
警惕!境外APT组织蔓灵花攻击我国多个目标!

Audiodq:获取计算机基本信息,远程获取文件并执行

igfxsrvk:键盘hook

Kill:设置sleep文件开机自启

Lsap、lsapc、lsapcr:磁盘、文件等相关操作

MSAService7:采用C#编写,功能包括:文件创建拷贝删除与传输、进程的创建挂起结束及其相关信息、cmd命令、剪切板信息、计算机基本信息包括CPU信息,计算机名称、磁盘信息等。

警惕!境外APT组织蔓灵花攻击我国多个目标!

Winsvc:采用C语言编写的木马,功能与上边类似

Sleep:关机操作

regdl:设置Audiodq开机自启


 关于APT蔓灵花组织 


此次曝光的蔓灵花(Bitter)组织C2控制台仅仅揭露蔓灵花组织在我国攻击的冰山一角,早在2017年末2018年初,蔓灵花组织使用其常用的攻击手法攻击过我国多个部委、重要行业单位以及巴基斯坦在我国的工作人员,影响单位和人员较多,其使用的C2控制台与本次曝光的C2控制台基本一致。

蔓灵花(BITTER)组织是一个长期针对中国、巴基斯坦等国家进行攻击活动的APT组织。近两年来,蔓灵花APT组织并未更新其后台控制端以及木马的升级,国内外多个安全研究组织都通过其后台漏洞进入到C2控制界面,另外,弱口令问题、目录遍历问题等常见WEB问题在该C2控制台均有漏洞体现


警惕!境外APT组织蔓灵花攻击我国多个目标!


 防御建议 


鸟叔建议受影响的企业需要高度重视此次事件,并且结合内部DNS记录,排查与主控域名存在通信的相关内部主机,并对该组织的攻击活动进行持续检测和防范。

同时也提醒大家,无论是企业还是个人,都应该重视培养个人网络安全意识,不要轻易打开未知来源的邮件及附件,不随意点击未知的、不安全的链接,下载未验证可靠来源的文档,及时更新系统补丁以保证系统安全。


警惕!境外APT组织蔓灵花攻击我国多个目标!


小鸟云5周年活动火热进行中

每天10点、14点开始秒杀

云服务器一天最低不到5毛钱

全场云产品1.5折起

<<点击阅读原文,马上抢购吧!>>


本文部分内容参考自FreeBuf.COMThreatbook


警惕!境外APT组织蔓灵花攻击我国多个目标!

安利时间~

想要每天收到关于

云计算的消息推送吗?

关注【小鸟云计算】订阅号

云计算行业各样大小事

尽在眼前!


警惕!境外APT组织蔓灵花攻击我国多个目标!

往期精彩内容

云服务器1天不到5毛钱?小鸟云秒杀开抢!

一分钟了解小鸟云的负载均衡

x86与x64的区别丨云服务器如何选择系统?

Linux/Unix服务器操作系统如何选择?


警惕!境外APT组织蔓灵花攻击我国多个目标!

警惕!境外APT组织蔓灵花攻击我国多个目标!点击下方“阅读原文”抢小鸟云五周年福利!

原文始发于微信公众号(小鸟云):警惕!境外APT组织蔓灵花攻击我国多个目标!

本文转为转载文章,本文观点不代表威客安全立场。

发表评论

登录后才能评论