Siesta行动：一起新发现的定向攻击

过去几周时间里，趋势科技收到几份利用各种应用版本漏洞窃取各类组织信息的报告，与Safe行动相似，这些行动进行的非常隐蔽。并将攻击者精心策划的这起定向攻击称为Siesta行动，其目标为能源、金融、医疗保健、媒体通信及交通运输等等固定的产业。

随后fireeye对此活动展开更详细的分析，fireeye表示此活动和APT1有关联，他们发现二零一四年二月二十〇日针对客户在电信部门，利用鱼叉式网络钓鱼邮件，并链接到iifuedit[.]net/Healthcare_Questionnaire.zip，这个zip文件包含一个恶意的可执行文件具有以下属性：

MD5	61249bf64fa270931570b8a5eba06afa
Compile Time	2014-02-20 02:28:21
.text	39e9e4eac77a09b915626f315b963a4f
.rdata	a126c8c7c50bf034f2d3ba4aa5bcab28
.data	bb95154b5aeb13a4ff937afa2e7e4560
.rsrc	edf3a1e142fc212da11dc72698184ad5
Import Hash	20ff5087740eabff5bdbdf99d9fb6853

样本的手法和APT1相似：

鱼叉式钓鱼来指向一个恶意样本链接

该链接看似像一个合法的网址

进一步通过关联发现。此次活动样本中的导入表hash和APT1一致，自定义base64编码coWXYZabcdefghijkl123456789ABCDEFGHIJKL+/MNOPQRSTUVmn0pqrstuvwxyz. 也和APT1活动一致。还包括样本释放的诱饵PDF文件也和APT1一致。

另外该活动中的诱饵文件也曾被“Menupass” 组织利用。并且同一个MD5文件可以用IOC同时检测两个组织，APT1和Menupass。

通过关联分析，可能的情况有：

1、Siesta行动是APT1的执行者

2、Siesta行动和APT1共享一些资源

趋势链接：http://blog.trendmicro.com/trendlabs-security-intelligence/the-siesta-campaign-a-new-targeted-attack-awakens/ 

fireeye链接：http://www.fireeye.com/blog/technical/targeted-attack/2014/03/a-detailed-examination-of-the-siesta-campaign.html