BlackHat 2015:熊猫使者6小时入侵航空航天机构

安全
戴尔公司的研究人员在Black Hat上披露,一个名为“熊猫使者”的黑客小组仅用六个小时完成入侵。

戴尔公司的研究人员在Black Hat上披露,一个名为“熊猫使者”的黑客小组仅用六个小时完成入侵。

这个团队的代号为TG-3390,主要攻击国防和航天项目。他们技术高超,能够在六个小时内入侵多层系统,获取域名凭据和访问环境的权限。这个小组的攻击手段中包括水坑攻击,它经常入侵那些目标公司员工会访问的网站,以获得踏入目标网络的跳板。

[[144558]]

目前,熊猫使者已经入侵了大约100家网站。每个水坑中都被注入了一个白名单,以保证只有来自目标组织的员工才会受到攻击,这有助于保证攻击处于低姿态。

戴尔的反威胁部门表示,熊猫使者会使用小规模数据泄露和Microsoft Exchange后门,值得关注。

团队广泛、长期地使用水坑攻击,并依赖白名单来保证攻击的定向性。初步入侵后,TG-3390会向受害者注入HttpBrowser后门,然后快速入侵Microsoft Exchange服务器,并获得目标环境的完全控制权。

“这些黑客善于识别关键的数据存储设备,并有选择性地窃取与其目标相关的高价值信息。”

 

640.webp (71)

 

六个小时完成入侵

研究人员表示,目标组织失窃的信息与国防项目直接相关。这个小组没有展开大规模攻击,这引起了关于其动机的争论。

“CTU研究人员发现,失窃信息主要来自于特定的美国国防项目。其入侵动机可能是窃取军事生产机密,或者窃取美国军队规模数据,或者两方面都有。”

戴尔并没有表示这是一个雇佣兵式的黑客团队。

戴尔还表示,其它受害还组织包括中东、欧洲、亚洲国家设立在华盛顿的大使馆,以及其它政府/非政府机构。这个团队会利用未打补丁的漏洞,其中最常用的是Java漏洞(CVE-2011-3544, CVE-2010-0738)。他们也会使用DLL Side Loading技术。

熊猫使者和专门制造黑客工具的组织存在紧密联系,精通于隐藏恶意软件、进行静默侦查。他们并不热衷于在目标组织中建立一个长期的观察点。

“他们的最终目的是窃取数据,而不是潜入渗透。在CTU研究者们得到的一个案例中,TG-3390的黑客们在得到目标网络的访问权限后,会识别并且窃取目标组织中特定项目的信息。”

 

640.webp (72)

 

5个小时访问

基于以下原因,戴尔怀疑该小组起源于中国:

当地工作时间、使用带有汉语的工具。但这可能是攻击者精心设置的误导。

黑客们使用的工具包括自定义的工具OwaAuth Web Shell和ASPXTool,以及流行的犯罪黑客工具PlugX、HttpBrowser、ChinaChopper。

责任编辑:蓝雨泪 来源: 安全牛
相关推荐

2020-07-02 16:30:54

AWS航空航天

2016-12-05 11:05:40

戴尔 数字化能源

2015-11-03 10:01:07

美国航空航天局数据中心

2013-04-17 15:07:26

北京航空航天大学出口网关案例分享

2013-08-19 16:47:04

2009-02-04 08:41:16

谷歌NASA美国国家航空航天局

2015-11-09 15:19:53

2022-08-11 13:25:35

远控木马Woody RAT威胁情报

2015-07-30 11:23:18

2014-02-10 15:57:24

航空航天国防智能化

2015-09-29 20:54:16

间谍航天探测器

2014-07-07 09:49:08

2022-03-14 15:26:24

人工智能载人航天空间站

2022-11-29 10:11:31

2023-12-05 15:03:06

2014-06-05 17:26:31

盈飞无限

2020-07-31 14:46:31

黑客攻击航空航天

2011-08-22 16:55:36

人大金仓

2012-02-16 09:35:26

美国国家航空航天局NASA大型机

2021-01-20 11:39:25

勒索软件信息泄露网络安全
点赞
收藏

51CTO技术栈公众号