0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

FireEye口中的中国黑客组织攻击美国国防企业?

电子工程师 2018-03-18 10:40 次阅读

2018年3月16日,外交部发言人陆慷主持例行记者会。会上有记者问:据报道,美国网络安全公司 FireEye(火眼)称中国黑客已掀起针对美国工程公司和军工企业的新一轮攻击,这些公司所从事的业务与南海有关。你能否证实并评论?

陆慷回应称,中方坚决反对并打击任何形式的网络攻击,不允许任何国家或个人在中国境内或利用中国基础设施从事网络攻击等非法活动。

FireEye 口中的中国黑客组织

网络安全公司 FireEye 发博文声称,中国黑客组织TEMP. Periscope(又名Leviathan)对与南海争端相关的美国工程和国防等公司发起网络攻击,该组织至少自2013年起就开始专注于攻击多个垂直领域的海事目标,包括工程企业、航运、制造业、国防、政府办公室以及研究型高校等。除此之外,该组织还将矛头指向专业/咨询服务、高科技行业、医疗保健与媒体/出版等领域。

FireEye 表示其目前确定的受害者主要集中在美国,另外欧洲也有多个机构受影响,甚至中国香港地区有一个以上的机构也牵涉其中。

黑客组织 TEMP.Periscope 与 TEMP.Jumper 在目标定位以及战术、技术与程序(简称TTP)方面存在一定交集,而 TEMP.Jumper 与“南海树(NanHaiShu)”也存在交集。

TEMP.Periscope 所使用的 TTP 与恶意软件

FireEye在博文中表示,在最近的攻击活动当中,TEMP.Periscope 利用多套疑似各中国网络间谍组织所共同使用的大型恶意软件库,其中具体包括:

AIRBREAK:一款基于 JavaScript 的后门,亦被称为“Orz”,能够从受入侵的合法服务与网页当中收集配置文件与隐藏字符串,进而检索相关命令。

BADFLICK:一款后门程序,能够修改文件系统,生成反向 shell 并修改其命令与控制(简称C&C)配置。

PHOTO:一款 DLL 后门,亦被称为“Derusbi”,能够获取目录、文件与驱动器列表;创建反向 shell;执行屏幕截图;录制视频音频;列出、终止及创建进程;枚举、启动并删除注册表项与值;记录键盘输入结果,从受保护的存储介质中返回用户名及密码;对文件进行重命名、删除、复制、移动、读取以及写入。

HOMEFRY:一款面向64位 Windows 系统的密码提取器/破解器,其此前曾被连同 AIRBREAK 以及 BADFLICK 后门一起注入目标系统。某些字符串会使用 XOR x56 进行模糊处理。该恶意软件可在命令行当中接受两条参数:一条用于为每个登录会话显示明文凭证,另一条用于为每个登录会话显示明文凭证、NTLM 哈希以及恶意软件版本。

LUNCHMONEY:一款能够将文件渗漏至 Dropbox 的上传器。

MURKYTOP:一款命令行侦察工具,可用于以不同用户身份实现文件执行、本地移动以及删除。此外,它还能够调度远程 AT 作业、在连接的网络上进行主机发现、扫描已接入主机上的开放网络端口,进而检索该远程主机上的操作系统、用户、组以及共享信息

China Chopper:一套简单的代码注入 webshell,可在 HTTP POST 命令当中执行微软.NET代码。这意味着该 shell 将能够上传与下载文件,使用 Web 服务器帐户权限执行应用程序,列出目录内容,访问 Active Directory,访问数据库以及其它.NET运行过程中所允许的其它操作。

TEMP.Periscope 在过去的攻击活动中曾经使用以下工具,且有可能未来再次使用,但目前尚无相关重用活动迹象:

Beacon:一款适用于 Cobalt Strike 软件平台的商用后门,通常用于对网络环境进行渗透测试。该恶意软件支持多种功能,包括注入与执行任意代码、上传及下载文件以及执行shell命令。

BLACKCOFFEE:一款可将自身流量混淆为指向 GitHub 及微软 Technet 门户等合法网站的正常流量的后门。APT17(同样被认为是中国的黑客组织) 曾经使用过这款工具。

其它已被发现的 TTP 包括

鱼叉式网络钓鱼,包括使用可能被盗的邮件账户。

利用 CVE-2017-11882 漏洞通过诱饵文件投放恶意软件。

用于恶意软件签名的被盗代码签名凭证。

使用 bitsadmin.exe下载其它工具。

使用 PowerShell 下载其它工具。

使用 C:WindowsDebug and C:Perflogs 作为暂存目录。

利用 Hyperhost VPS 与 Proton VPN 退出节点以访问面向互联网系统上的 webshell。

利用 WindowsManagement Instrumentation(简称WMI)实现持久驻留。

在启动文件夹中利用 Windows 快捷方式文件(.lnk)调用Windows Scripting Host(wscript.exe),从而执行Jscript 后门以实现持久驻留。

从合法网站/论坛(例如 Github 与微软 TechNet 门户网站)的用户配置文件处接收命令与控制(C&C)指令。

FireEye 表示,TEMP.Periscope 黑客组织使用各种技术发起攻击,包括鱼叉式网络钓鱼电子邮件,其中的链接和附件含有恶意软件,用以进入目标计算机网络。FireEye 称,该黑客组织似乎是为了获取对中国政府有利的信息。

FireEye 的高级分析师弗雷德·普兰表示,该黑客组织专注于与南海有关的美国航运实体:TEMP. Periscope 追求的信息主要涉及雷达探测距离或开发中的系统检测海上活动的准确程度等,可能是利用这类数据制定战略决策,他认为这属于国家间谍活动的行径一致。普兰还称,鉴于这些目标组织的类型,TEMP. Periscope 很有可能代表政府发起行动。

又一次捕风捉影

FireEye 虽然称攻击疑似来自中国,但并未证实该组织与中国政府有任何关联。FireEye 拒绝透露遭遇攻击的公司名称。FireEye 在另一份报告中称,美国政府办公室、媒体、学术机构、工程和国防公司遭到攻击。当被问及美国海军是否在目标之列,普兰拒绝做出评论。

美国海军有时会执行所谓的航行自由行动,挑战中国在南海的活动。外媒报道称,中国黑客一直在参与南海有关的其它攻击,中国黑客2015年在“南海仲裁案”听证会上通过恶意软件攻击了海牙常设仲裁法院的网站,使之下线。

2014年,美国以窃取美国公司(包括美国西屋电气公司和美国钢铁公司)商业机密之名起诉5名中国军官。时任外交部发言人秦刚就美国司法部宣布起诉5名中国军官一事表示,美方捏造事实,以所谓网络窃密为由宣布起诉中国军官,此举严重违反国际关系准则,损害中美合作互信。中方敦促美方立即纠正错误、撤销所谓起诉。中方决定中止中美网络工作组活动。

中国外交部一再表示,中美两国在维护网络安全方面拥有重要共同利益。中方愿与美方继续按照双方2015年达成的网络安全重要共识,利用好两国间现有的网络对话机制,加强网络安全领域的合作。同时,我们希望美方在相互尊重的基础上同中方相向而行,推进相关领域合作。

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 黑客
    +关注

    关注

    3

    文章

    284

    浏览量

    21857

原文标题:中国黑客组织攻击美国国防企业?

文章出处:【微信号:EAQapp,微信公众号:E安全】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    中微公司起诉美国国防部,背后透露出了什么?

    国际环境复杂多变,这才是中国半导体企业该有的韧性! 近期,中微半导体设备(上海)股份有限公司(简称“中微公司”)采取法律手段,正式向美国法院提交诉状,起诉美国将其列入“
    的头像 发表于 08-21 11:25 313次阅读

    中微公司正式起诉美国国防部,挑战CMC清单决定

    中微半导体设备(上海)股份有限公司近日宣布,已正式向美国法院提起诉讼,针对美国国防部将其纳入中国军事企业清单(CMC)的决定提出质疑。该事件
    的头像 发表于 08-21 10:20 499次阅读

    AMD遇黑客攻击,但称运营无大碍

    近日,科技圈传来一则震惊的消息:全球知名的半导体制造商AMD公司遭遇了黑客组织攻击。据悉,一个名为Intelbroker的黑客组织成功入侵
    的头像 发表于 06-24 11:00 507次阅读

    CISA紧急公告:需尽快修补微软Windows漏洞以应对黑客攻击

    在网络安全形势日益严峻的今天,美国网络安全和基础设施安全局(CISA)于6月14日发出了一份紧急公告,要求美国联邦教育、科学及文化委员会下属的各机构在短短三周内,即截至7月4日,必须修补微软Windows 10和Windows 11系统中的关键漏洞,以防范潜在的
    的头像 发表于 06-15 14:47 703次阅读

    环球晶遭黑客攻击

    到第三季初出货。 据百能云芯电.子元器.件商.城了解,环球晶这次是美国密苏里厂受袭击,该厂主要生产8英寸半导体硅晶圆及少量12英寸硅晶圆,目前为确保安全,厂区相关生产线正暂停中,以利仔细检修。 环球晶指出,厂区受黑客攻击
    的头像 发表于 06-14 16:27 514次阅读
    环球晶遭<b class='flag-5'>黑客</b><b class='flag-5'>攻击</b>!

    微软Windows快捷助手被黑客滥用,远程管理软件或成攻击突破口

    该安全公司指出,此次攻击可能出自勒索软件黑客组织Black Basta之手。自四月中旬以来,他们通过网络钓鱼手段诱使受害者开启快速助手并输入安全验证码,因为此功能集成于Windows系统内,故能轻易取得受害者信任。
    的头像 发表于 05-16 16:27 744次阅读

    禾赛科技中国最大激光雷达企业正式起诉美国防部 小米已有胜算先例

    禾赛科技被制裁后,股价跳水、在美建厂计划终止,正式起诉美国防部胜算几何?小米已有胜算先例!  据美国彭博社在5月14日的报道,中国自动驾驶汽车激光雷达传感器供应商禾赛科技(Hesai
    的头像 发表于 05-15 19:06 1133次阅读
    禾赛科技<b class='flag-5'>中国</b>最大激光雷达<b class='flag-5'>企业</b>正式起诉<b class='flag-5'>美国防</b>部 小米已有胜算先例

    美国医疗巨头Ascension遭勒索软件攻击,涉及140家医院

    据报道,美国非营利性医疗机构 Ascension 于5月8日遭受黑客组织 Black Basta 的勒索软件攻击,导致其旗下140家医院和40家养老院的系统服务受到影响。
    的头像 发表于 05-14 11:37 586次阅读

    “五一假期将至:您的企业网络准备好抵御黑客攻击了吗?”

    一、节假日期间导致企业网络安全事件频发的原因 1.企业防护方面: 员工休假导致安全漏洞:节假日时,企业员工通常会放假导致企业的网络安全人员配置减少,对网络安全的监控和响应能力下降。
    的头像 发表于 04-26 17:46 596次阅读

    群光电子泄露1.2TB内部数据,疑遭黑客攻击

    4 月 22 日消息,电子产品供应链巨头群光电子发布声明表示,其自 4 月 15 日起遭受黑客组织 Hunters International 的攻击,导致逾 1.2TB 内部数据(共 4140652 份文件)被窃取。
    的头像 发表于 04-22 15:45 516次阅读

    苹果Mac设备易成为企业环境黑客攻击目标

    随着macOS桌面用户群体的壮大,攻击者正调整攻势,致力于创新更多的跨平台攻击方式。数据表明,攻击者通常会借助社交工程的手段,将开发人员和工程师等企业用户设为
    的头像 发表于 04-12 11:25 339次阅读

    黑客利用苹果密码重置功能缺陷实施钓鱼攻击

    若用户忽视这些提示,不回应丝毫,随后便可能接到冒充苹果客服人员的假通知,声称监测到设备遭受攻击,要求输入短信验证码才能解封。一旦中招,黑客即可轻易篡改用户AppleID账户信息,非法获取机密数据。
    的头像 发表于 03-27 10:50 484次阅读

    京鼎遭黑客集团入侵,多国执法组织抓捕黑客集团

    据趋势科技的数据分析,LockBit自2022年以来稳坐全球勒索软件组织榜首,从2020年至2023年第一季度已攻击全球1653家组织,其中对美国企业的勒索金额更是高达9100余万美元
    的头像 发表于 02-21 16:53 1214次阅读

    突发,美国防部将10多家中企拉黑,中国最大激光雷达企业在列!(附完整名单)

    两家国产激光雷达企业被列入清单!多家企业与国产手机卫星通信功能有关! 刚刚,据外媒路透社当地时间1月31日报道,美国国防部当天将10多家中国企业
    的头像 发表于 02-20 08:39 3313次阅读
    突发,<b class='flag-5'>美国防</b>部将10多家中企拉黑,<b class='flag-5'>中国</b>最大激光雷达<b class='flag-5'>企业</b>在列!(附完整名单)

    突发,中国最大激光雷达企业将起诉美国防部​!受拉黑消息影响市值大跳水!

    时值春节临近,昨日(2月7日),中国及全球领先的车载激光雷达企业——禾赛科技,发布公告,决定对美国国防部进行起诉: 今日,全球领先的激光雷达制造商禾赛科技(纳斯达克代码:HSAI)宣布
    的头像 发表于 02-20 08:36 321次阅读
    突发,<b class='flag-5'>中国</b>最大激光雷达<b class='flag-5'>企业</b>将起诉<b class='flag-5'>美国防</b>部​!受拉黑消息影响市值大跳水!