Cooperate with us < I >

Focusing on product research and development in the field of information security, we are committed to providing professional information security products, solutions, technical advisory services for government, military and other secret-related units, as well as other enterprises and institutions.

Do you want to talk to us about the field of information security and file encryption?

You can fill in the form on the right to let us know your project requirements and we will contact you as soon as possible. Of course, you are also welcome to call us at 400.

You can also contact us through the following channels:

Address: 7th Floor, Zone B, Innovation Building, Phase I Pearl Bay Software Park, Siming District, Xiamen

Tel: 400-666-0170/0592-2565820

Official website: www.tipray.com

Customer service: sales@tipray.com

Market cooperation: market@tipray.com

Quickly submit your requirements ↓

报告称中国网络间谍组织Thrip攻击目标定位卫星、电信和国防公司

Release time:2018-06-26 source:黑客视界 Browse times:2236


网络安全公司赛门铁克(Symantec)在上周发布的一份报告中指出,网络间谍活动近年来最重要的进展之一,就是有许多组织开始积极采用靠山吃山,靠水吃水(living off the land的策略。

living off the land策略的目的是双重的:首先,通过使用这些特性和工具,攻击者希望融入到受害者的网络中,并将他们的活动隐藏在合法进程的海洋里。其次,即使检测到涉及这些工具的恶意活动,也可能使攻击更加难以归因。如果这些组织都使用类似的工具,那么要将一个组织和另一个组织区分开来将十分困难。

此外,大多数攻击组织仍然会创建和利用自定义恶意软件,但倾向于尽量减少使用,从而降低被发现的风险。

研究人员如何大海捞针?

这并不意味着间谍攻击现在不会被发现,但这确实意味着分析人员可能需要更长时间来进行调查。这就是为什么赛门铁克创建Targeted Attack AnalyticsTAA的原因之一,它采自动完成以前需要耗费数千小时的分析工作,使得研究人员更容易在大海中捞针。

20181月,TAA向东南亚的一家大型电信运营商发出警报。攻击者使用PsExec在该公司网络上的计算机之间横向移动。PsExec是微软的系统内部工具,用于在其他系统上执行进程,同时也是攻击者实施living off the land策略最常见的合法软件之一。然而,它也被广泛用于合法目的,这意味着恶意使用PsExec可能很难被发现。

TAA不仅标记了PsExec的恶意使用,还告诉我们攻击者使用它的目的。他们试图在受害者的网络中远程安装之前不为人知的恶意软件。当赛门铁克分析恶意软件时,他们发现它是Trojan.Rikamanu的更新版本,一种与Thrip组织相关的恶意软件。赛门铁克表示,他们从2013年开始就一直在监控这个组织。经过进一步调查,赛门铁克发现Thrip在这次攻击中还使用了一个全新的恶意软件

 

1.TAA利用机器学习来发现与目标攻击相关的恶意活动,并向客户发出警报。

有了这些关于恶意软件的信息和针对受害者使用的living off the land策略,赛门铁克扩大了搜索范围,看看是否能找到类似的模式,证明Thrip一直在针对其他组织。也因此,他们发现了一起范围涵盖更广的网络间谍活动,涉及到强大的恶意软件被用来对付目标,这是一个值得关注的问题。

赛门铁克称,他们发现3台位于中国的计算机被用来发动“Thrip”攻击。Thrip的动机很可能是间谍活动,其目标包括美国和东南亚的通讯、地理空间成像和国防部门。

目光投向天空:Thrip的目标

也许赛门铁克最令人担忧的发现是Thrip瞄准了卫星通信运营商。攻击组织似乎对公司的运营方面特别感兴趣,寻找和感染运行监视和控制卫星的加密软件的计算机。这暗示了Thrip的动机,不仅仅是间谍行为,还可能包括破坏。

另一个目标是参与地理空间成像和制图的组织。同样,Thrip似乎主要对公司的运营方面感兴趣。它针对的是运行MapXtreme GIS(地理信息系统)软件的计算机,该软件用于诸如开发自定义地理空间应用程序或将基于位置的数据集成到其他应用程序等任务。它还针对运行Google Earth ServerGarmin成像软件的机器。

卫星运营商并非Thrip唯一感兴趣的通信目标。该集团还将目标对准了三家不同的电信运营商,均位于东南亚。在所有情况下,根据受Thrip感染的计算机的性质,似乎这些攻击的目标是电信公司本身,而不是它们的客户。

Recommended news

漏洞暴露近一周才修复,某成人VR App可能泄露用户信息

2018-01-23

在供应商介入并修补安全漏洞之前,有关成人虚拟现实(VR)应用程序中两个漏洞的详细信息已经公布了五天。 ...

科技巨头再暴数据泄露 苹果称数百名中国用户Apple ID被盗

2018-10-18

苹果公司周二表示,“少数”中国用户的Apple ID被盗,账户被盗用进行支付。 早些时候,媒体报道称,...

航运巨头马士基子公司近一半员工个人信息被泄露

2018-03-22

根据《丹麦海军时报(Maritime Danmark)》的报道,航运公司Svizter Australia的企业传...

全球15亿个敏感文件泄露

2018-04-10

近日,威胁情报公司 Digital Shadows 发布报告指出,2018年第一季度就有15亿个与企业和个人相关的...

泄露14万中国人基因大数据?涉事公司回应

2018-10-30

就深交所问询函,华大基因回复表示:“14 万中国人基因大数据”项目无外方合作机构。项目分析工作均在境内由中国科研团...



Copyright ©2006-2019 厦门天锐科技股份有限公司

在线
客服

客服
热线

400-666-0170
0592-2565820
7*24小时客户服务热线
点击上方电话,免费通话

Back to top