FireEye：K3chang行动攻击欧洲外交部门

美国时间2013年12月9日，FireEye公布了一个最新的APT攻击行动，并取名为K3chang。这个攻击行动被NYTimes，路透社，FT纷纷报道。

据fireeye报告，这个攻击行动最新的一次攻击针对的是多个欧洲国家的外交事务部门。这个黑客组织从2010年开始活跃，并且黑客操作来自中国（ the K3chang attackers are operating out of China）。从今年8月份开始他们以moveistar为行动代号，利用叙利亚危机为幌子，对欧洲多国的外交部门进行渗透，而这个时间正值在俄罗斯召开的旨在解决叙利亚危机的G20峰会之前。

Fireeye并未说k3chang是中国政府组织的，只是说operating within China，很有技术性。不过NYTimes，路透社，FT就没那么遣词酌句，直接称攻击来自“有政府作后台的中国黑客”，并指出这“表明中国和美国争夺网络情报全球霸主地位的角力愈演愈烈”（引用自FT）。

Fireeye为了论证攻击者的行为来自中国做了很多论证，并提供了多个论据。包括入侵者电脑的操作系统是中文版的，黑客工具有公文版的，CnC的很多域名是在中国申请的（新网互联），包括中国风格的gmail/yahoo帐号(例如[email protected])。

回到技术层面，攻击者采用的手法是经典的鱼叉式钓鱼（spear phishing，我称之为定向钓鱼）。受害者会收到一封有关叙利亚危机升级的邮件，作为外交部门的雇员，又正值G20峰会之时，你很难抗拒这个看一下的诱惑。而一旦你看了这个邮件，并且正好电脑存在这个相关漏洞（包括当时的java 0-day CVE-2012-4681，WORD漏洞CVE-2010-333，以及PDF漏洞CVE-2010-288），那么恶意代码就植入了。接下来，就是通过CnC进行控制和信息刺探了。Fireeye声称他们拿下了23个有关的CnC服务器，并且发现有21个受害者跟这些CnC通讯。

仅就moviestar攻击而言，攻击者利用了一个称作BS2005的恶意代码。邮件附件名诸如“US_military_options_in_Syria.zip”，“US_military_options_in_Syria.pdf.exe”。

而在K3chang的其他攻击中，还有的邮件附件是关于伦敦2012年奥运会的，以及法国前总理萨科齐的老婆的裸照。

比较值得一提的是这个组织在以往的代号为newtiger的攻击中，还发出过一个McAfee的威胁报告为幌子的恶意附件。

下图是他们掌握的CnC的连接拓扑：

【参考】

FireEye：数字面包屑――识别APT攻击来源的7大线索

四大传奇：中国网络黑客组织

Symantec:揭秘Hidden Lynx组织的APT攻击行动

TrendMicro：新的APT攻击针对亚洲和欧洲政府组织，包括中国媒体机构

Kapersky：NetTraveler APT攻击

TrendMicro：Safe APT攻击

Mandiant：APT1组织的攻击行动的情报分析报告

RSA：精准钓鱼攻击，只有榜上有名的人才会被攻击

TrendMicro：针对以色列美国等国的基于Xtreme RAT的APT攻击

McAfee：High Roller金融欺诈行动采用了创新性技术

TrendMicro：针对东亚政府和台湾电子企业的APT攻击IXESHE

Flame解读

Anonymous几天之内攻陷500多个中国网站

TrendMicro：针对印日的LuckyCat攻击

symantec：硝基攻击针对化工厂商

针对前独联体国家以及印度、中国的APT攻击案例

日本抑或也已遭受了APT攻击？

Stuxnet2.0现身欧洲

APT攻击实例研究与企业现有防御体系缺陷分析

美国五角大楼称24000份敏感文件透过网络泄露

连线杂志：史上最强的恶意软件Stuxnet揭秘