2011年10月,我们记录了一种有目标的特殊攻击活动,即Nitro攻击。在当时的攻击情况中,攻击者主要以化工企业为攻击目标。尽管我们投入精力揭露并公布了这些攻击幕后的详情,但这些攻击者们依然明目张胆,甚至在他们的社会工程活动中使用我们自己的报告!
不过,这些攻击者们也在快马加鞭。目前已经观察到对一种新型Java零日差漏洞的利用正在扩散。我们可以确定,此轮攻击背后的部分攻击者正是Nitro团伙。
Nitro攻击者一贯采用的手法就是向受害者发送一封电子邮件。这封电子邮件包含一个附件,该附件是受密码保护的自解压zip文件。这封电子邮件自称是对经常安装的软件中某个组件的更新。沦为攻击目标的用户解压缩并运行该文件后,便会感染Backdoor.Darkmoon(也称作 Poison Ivy)的一份副本。
在这些最新的攻击中,攻击者们形成了一种更为复杂一些的伎俩。他们采用以.jar文件形式寄宿在网站上的Java零时差攻击方式来感染受害者。正如在之前记录的攻击中所表现出来的行为那样,这些攻击者们使用 Backdoor.Darkmoon重用命令和控制基础架构,甚至重用诸如Flash_update.exe之类的文件名。可能这些攻击者会向锁定为目标的用户发送电子邮件,而邮件中则包含了指向恶意jar文件的链接。Nitro攻击者们似乎仍在继续实施他们之前的恶行。
Oracle已经发布了一款修补程序(即Java SE 7更新 7),此修补程序可解决CVE-2012-4186所述的漏洞。建议用户下载这项最新更新。
热点病毒
病毒名:Backdoor.Hikit
病毒类型:Trojan
受影响系统:Windows 98、Windows 95、Windows XP、Windows 7、Windows Me、Windows Vista、Windows NT、Windows Server 2003、Windows 2000
Backdoor.Hikit是一种在被感染的计算机上打开后门的木马。该木马在运行时,会创建如下文件:%Temp%\w7fw.sys %Temp%\w7fw_m.inf %Temp%\w7fw.inf %Temp%\w7fw.cat之后接着它会释放一个32位或者64位的驱动(这取决于用户的操作系统):
%System%\drivers\W7fw.sys
然后该病毒会用未经验证的认证引导这个驱动,同时也会修改相应的注册表键值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Driver Signing\"Policy" = "00"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Non-Driver Signing\"Policy" = "00"
HKEY_LOCAL_MACHINE\Software\Microsoft\SystemCertificates\AuthRoot\Certificates\[HEXADECIMAL VALUE]\"Blob" = "[BINARY DATA]"
该病毒允许远程攻击者在被感染的计算机上完成下列的命令:
打开通过SOCKS5 proxy的连接
下载文件到被感染的计算机上
上传文件到远程位置
开启一个command shell
停止执行
资料来源:赛门铁克互联网疫情通报