2017年初,卡巴斯基实验室研究人员注意到一种被称为Spring Dragon(又被称为LotusBlossom)的高级可持续性威胁(APT)的活动情况有所增加。这种攻击使用了最新的以及改进过的工具和攻击技巧,攻击目标为中国南海区域周边国家和地区。卡巴斯基实验室的专家公布了针对这些攻击者所使用的工具的分析结果,以便帮助各类组织更好地了解这种威胁的性质,保护自身安全。
Spring Dragon是一个持续时间很长的威胁,从2012年开始,一直针对亚洲地区高调的目标实施攻击,包括政治机构、政府机构以及教育机构。卡巴斯基实验室在过去几年一直在追踪这种高级可持续性威胁。
2017年初,卡巴斯基实验室发现这种威胁又开始在自己喜欢的中国南海地区发起新一轮攻击。根据卡巴斯基实验室遥测,台湾地区遭受的攻击数量最大,其次为印度尼西亚、越南、菲律宾、澳门、马来西亚、香港和泰国。为了帮助各类组织更好地了解和防范这种威胁,卡巴斯基实验室研究人员对600种Spring Dragon恶意软件样本进行了详细分析。
卡巴斯基实验室对Spring Dragon所使用的恶意工具分析结果如下:
●攻击者使用的工具集包括一组特殊的自定义链接,指向每个恶意软件的命令和控制服务器:恶意软件样本包含超过200个独特的IP地址。
●这些工具集会针对每次攻击定制安装数据,使得检测恶意软件变得非常困难。
●攻击者的军火库包含多种具有不同特征和功能的后门模块,这些模块都具有向受害者计算机下载附件文件的功能,还能够上传文件到服务器,在受害者计算机上执行可执行文件或命令。这些功能允许攻击者在受害者计算机上执行多种恶意行为,尤其是网络间谍行为。
●恶意软件编译时间戳显示GMT +8时区——但安全专家警告,时间戳并不代表可靠的归属指标。
澳新银行集团总经理, Anastasia Para Rae表示:“企业和组织需要建立和管理信誉和服务保障风险。一次针对性攻击会给企业造成平均近1,000,000美元的损失,这还不包括信誉损失。在遭受网络攻击后,企业需要投入大量资本用于紧急响应,改进软件和基础设施。所以,我们应该未雨绸缪,不要等待攻击发生后才采取防护措施。”
全球研究和分析团队高级安全研究员Noushin Shabab补充说:“我们认为,Spring Dragon将继续在亚洲地区定期活动。因此,了解该攻击所使用的工具和技巧非常重要。我们建议个人和企业部署好Yara规则和其它检测机制,同时强烈建议他们定期进行安全审计,部署多层级的安全保护手段。”
为保护您的个人数据或企业数据不受网络攻击的侵害,卡巴斯基实验室建议采取以下安全措施:
●部署高级多层级安全解决方案,涵盖所有的网络、系统和节点。
●对员工进行安全教育和培训,让员工了解社交工程攻击手段,因为这种手段经常被使用,让受害者打开一个恶意文档或点击被感染链接。
●对企业和组织内部的IT基础设施定期进行安全评估。
●使用卡巴斯基实验室的威胁情报服务,该服务不断跟踪网络攻击、网络安全事故或网络威胁的最新情况,为客户提供最新的相关信息。更多详情请联系intelreports@kaspersky.com.
