今年早些时候,美国第二大医疗保险服务商Anthem遭黑客攻击,近8000万员工和客户资料被盗,包括姓名、生日、医保ID号、社会保险号、住宅地址、电子邮箱、雇佣情况、以及收入数据。
赛门铁克认为入侵Anthem的幕后黑手一定是非常强大的网络间谍组织Black Vine(黑色藤蔓),而且Anthem也只是该间谍组织众多攻击目标中的其中一个。
赛门铁克近期发布的白皮书中介绍,Black Vine间谍组织早在2012年就出现了,它的攻击目标燃气轮机制造商、航空航天公司、医疗保险服务商等等。该组织惯用的是0day漏洞利用程序和自定义开发的恶意后门,并认为Black Vine与黑客组织“隐秘山猫”以及中国北京的安全公司天融信(Topsec)有关联。
Black Vine背景
Black Vine主要利用以下的0day漏洞,然后以水坑攻击开始:
微软IE CDwnBindInfo Use-After-Free远程代码执行漏洞(CVE-2012-4792)
微软IE Use-After-Free远程代码执行漏洞(CVE-2014-0322)
Black Vine首先会攻破攻击目标惯用的网站,植入恶意代码,当目标再次访问该网站时就会感染恶意程序。如果0day漏洞应用程序成功的感染了受害者电脑,攻击者会进而释放Black Vine的自定义后门,即可远程访问受害者电脑。除了水坑式攻击以外,Black Vine还会通过发送鱼叉式钓鱼邮件展开攻击。
Black Vine入侵的行业列表:
航空航天公司 医疗保险服务商 能源业 军事国防 金融行业 农业 科技行业
受Black Vine影响最大的地区是美国,其次是中国、加拿大、意大利、丹麦、印度。
恶意程序
通过调查研究,Black Vine在攻击活动中主要使用了3种自定义恶意程序:Hurix、 Sakurel 、Mivast。它们能执行的操作有:
打开一个后门
执行文件和命令
删除、修改、创建登录密钥
搜集被感染电脑上的信息
赛门铁克的分析发现,Black Vine是一个实力雄厚的网络间谍组织,它会不断的更新、修改其恶意程序,以躲避追踪。
与黑客组织“隐秘山猫”共用攻击平台
隐秘山猫(Hidden Lynx)是一个专业的黑客组织,具有超强的攻击能力。他们曾攻陷了美国安全公司Bit9的数字证书签名系统,使他们的间谍程序变得合法。攻击Bit9只是他们在过去的四年时间里所进行的众多动作之一。点我查看隐秘山猫的详细报告
在分析中我们发现Black Vine与隐秘山猫使用了相同的0day漏洞利用程序,这是因为他们两者共用一套0day攻击框架——Elderwood平台。我们第一次发现这个平台是在2012年,这个平台会持续的更新最新0day利用程序。2014年,我们发现多个攻击组织也在使用它,并且这些攻击组织与中国有关。
另一些调查报告则显示,Black Vine与中国北京的安全公司天融信(Topsec)有关。
总结
Black Vine是一个强大、实力雄厚的网络间谍组织,并且其间谍活动还在继续。希望各行业能正视该间谍组织的危害,部署更为严谨的防护措施。
