来自ProofPoint的安全专家发现了一个由APT组织NetTraveler发起的针对俄罗斯和欧洲组织的新运动。

NetTraveler 是一个ATP组织,于2013年首次被卡巴斯基发现,当时研究人员发现了一个针对来自40个国家的超过350个高级别受害者的间谍活动。

组织的名称来源于其攻击使用的恶意代码——恶意监视软件NetTraveler。根据卡巴斯基发布的报告,威胁活动指向中国。

NetTraveler运动自2004年以来一直运行并针对西藏/维吾尔激进分子、政府机构、能源公司以及承包商和大使馆。

受感染最多的国家有蒙古、印度、俄罗斯,也包括中国,还有许多欧洲国家(德国、英国和西班牙)也受到了黑客的攻击。发布这份报告的时候,卡巴斯基的团队推测黑客集团是由大约50个人组成,他们中的许多人都说中文但是英语也很好。

该组织利用鱼叉式网络钓鱼活动欺骗受害者并诱骗他们点击指向RAR压缩的可执行程序的URL和恶意的利用4年前的微软Office漏洞CVE – 2012 – 0158的Microsoft Word文档。

CVE – 2012 – 0158漏洞在2012年已经发布了修复补丁,但它仍然被大量的野外攻击利用,例如APT攻击中使用的武器化的文档构建器“四元素剑”,或由ProofPoint发现的针对印度外交和军事实体的“操作透明部落”。

在2016年5月,来自卡巴斯基实验室的专家发现了一个Office中的远程代码执行漏洞(CVE – 2015 – 2545) 已经被多个APT攻击利用了。在同一个月内,PaloAlto Networks的安全专家收集的证据表明由FireEye于2013年发现的Operation Ke3chang仍在进行中。在这种情况下,专家发现了一个依赖于电子邮件和附加一个MHTML文档的钓鱼攻击,该文档被精心设计,会触发Microsoft Office漏洞(CVE – 2015 – 2545),并引入TidePool恶意软件。

ProofPoint的专家报道位于中国的威胁组织在最近针对俄罗斯和欧洲组织(其中包括武器制造商,人权活动家,和民主团体等等)的攻击中使用了NetTraveler。

新的NetTraveler活动与去年发现的PlugX有相似性。

“这与以前我们在“追求光纤和集群英特尔”中描述的某组织利用PlugX恶意软件来获取俄罗斯的各种通信和军事信息是同一组织”ProofPoint表示。“2016年1月以来,这个组织开始使用NetTraveler,并转向了不同的目标,但是大部分的工具、技术,和程序(TPPs)仍然是不变的。值得注意的是,该组织和其他中国间谍组织由于未知原因减少了他们对PlugX的依赖,而 PlugX在今年只发生了仅有的几次重大事故。”

攻击者使用与核能、地缘政治、军事等新闻主题相关的文章作为诱饵。

恶意电子邮件还包含一个链接到托管在类似的领域的RAR SFX-packaged可执行文件,该可执行文件会安装NetTraveler。

在其他的攻击中,威胁组织使用嵌入CVE – 2012 – 0158漏洞利用代码的恶意Microsoft Word文档作为附件的电子邮件。

威胁组织使用与“上海美成科技信息发展有限公司”相似的登记信息设立了其域名,只不过在每个登记项都提供了虚假信息。

ProofPoint发表的分析表示NetTraveler植入仍在使用一个DLL侧载技术。

“这里描述的有效载荷使用干净的、签名的可执行文件fsguidll.exe (F – secure GUI组件)来侧载fslapi.dll或使用干净的、签名的可执行文件RasTls.exe来侧载rastls.dll。” ProofPoint解释说。

“不管TPPs,这个正在进行的APT攻击指出了NetTraveler的持久力,这告诉我们需要持续的警惕和技术保护来应对高级持续性渗透攻击威胁。即使与政府直接相关的机构没有被攻击,但是攻击者会将较小的机构或承包商作为滩头阵地,然后间接攻击相关的目标组织。”