Siesta行动:一起新发现的定向攻击

过去几周时间里,趋势科技收到几份利用各种应用版本漏洞窃取各类组织信息的报告,与Safe行动相似,这些行动进行的非常隐蔽。并将攻击者精心策划的这起定向攻击称为Siesta行动,其目标为能源、金融、医疗保健、媒体通信及交通运输等等固定的产业。

随后fireeye对此活动展开更详细的分析,fireeye表示此活动和APT1有关联,他们发现二零一四年二月二十〇日针对客户在电信部门,利用鱼叉式网络钓鱼邮件,并链接到iifuedit[.]net/Healthcare_Questionnaire.zip,这个zip文件包含一个恶意的可执行文件具有以下属性:

MD5 61249bf64fa270931570b8a5eba06afa
Compile Time 2014-02-20 02:28:21
.text 39e9e4eac77a09b915626f315b963a4f
.rdata a126c8c7c50bf034f2d3ba4aa5bcab28
.data bb95154b5aeb13a4ff937afa2e7e4560
.rsrc edf3a1e142fc212da11dc72698184ad5
Import Hash 20ff5087740eabff5bdbdf99d9fb6853
样本的手法和APT1相似:

鱼叉式钓鱼来指向一个恶意样本链接

该链接看似像一个合法的网址

进一步通过关联发现。此次活动样本中的导入表hash和APT1一致,自定义base64编码coWXYZabcdefghijkl123456789ABCDEFGHIJKL+/MNOPQRSTUVmn0pqrstuvwxyz. 也和APT1活动一致。还包括样本释放的诱饵PDF文件也和APT1一致。


另外该活动中的诱饵文件也曾被“Menupass” 组织利用。并且同一个MD5文件可以用IOC同时检测两个组织,APT1和Menupass。

通过关联分析,可能的情况有:

1、Siesta行动是APT1的执行者

2、Siesta行动和APT1共享一些资源


趋势链接:http://blog.trendmicro.com/trendlabs-security-intelligence/the-siesta-campaign-a-new-targeted-attack-awakens/ 

fireeye链接:http://www.fireeye.com/blog/technical/targeted-attack/2014/03/a-detailed-examination-of-the-siesta-campaign.html 

你可能感兴趣的:(Siesta行动:一起新发现的定向攻击)