首页 > 信息安全 > 安全资讯 >
黑色藤蔓(Black Vine):专攻航空航天和医疗保险的网络间谍组织
字体: 来源:本站   发表日期:2015-7-30   已有人浏览   [人评论]

今年早些时候,美国第二大医疗保险服务商Anthem遭黑客攻击,近8000万员工和客户资料被盗,包括姓名、生日、医保ID号、社会保险号、住宅地址、电子邮箱、雇佣情况、以及收入数据。

赛门铁克认为入侵Anthem的幕后黑手一定是非常强大的网络间谍组织Black Vine(黑色藤蔓),而且Anthem也只是该间谍组织众多攻击目标中的其中一个。

赛门铁克近期发布的白皮书中介绍,Black Vine间谍组织早在2012年就出现了,它的攻击目标燃气轮机制造商、航空航天公司、医疗保险服务商等等。该组织惯用的是0day漏洞利用程序和自定义开发的恶意后门,并认为Black Vine与黑客组织“隐秘山猫”以及中国北京的安全公司天融信(Topsec)有关联。

Black Vine背景

Black Vine主要利用以下的0day漏洞,然后以水坑攻击开始:

微软IE CDwnBindInfo Use-After-Free远程代码执行漏洞(CVE-2012-4792)
微软IE Use-After-Free远程代码执行漏洞(CVE-2014-0322)

Black Vine首先会攻破攻击目标惯用的网站,植入恶意代码,当目标再次访问该网站时就会感染恶意程序。如果0day漏洞应用程序成功的感染了受害者电脑,攻击者会进而释放Black Vine的自定义后门,即可远程访问受害者电脑。除了水坑式攻击以外,Black Vine还会通过发送鱼叉式钓鱼邮件展开攻击。

Black Vine入侵的行业列表:

航空航天公司
医疗保险服务商
能源业
军事国防
金融行业
农业
科技行业

受Black Vine影响最大的地区是美国,其次是中国、加拿大、意大利、丹麦、印度。

恶意程序

通过调查研究,Black Vine在攻击活动中主要使用了3种自定义恶意程序:Hurix、 Sakurel 、Mivast。它们能执行的操作有:

打开一个后门
执行文件和命令
删除、修改、创建登录密钥
搜集被感染电脑上的信息

赛门铁克的分析发现,Black Vine是一个实力雄厚的网络间谍组织,它会不断的更新、修改其恶意程序,以躲避追踪。

与黑客组织“隐秘山猫”共用攻击平台

隐秘山猫(Hidden Lynx)是一个专业的黑客组织,具有超强的攻击能力。他们曾攻陷了美国安全公司Bit9的数字证书签名系统,使他们的间谍程序变得合法。攻击Bit9只是他们在过去的四年时间里所进行的众多动作之一。点我查看隐秘山猫的详细报告

在分析中我们发现Black Vine与隐秘山猫使用了相同的0day漏洞利用程序,这是因为他们两者共用一套0day攻击框架——Elderwood平台。我们第一次发现这个平台是在2012年,这个平台会持续的更新最新0day利用程序。2014年,我们发现多个攻击组织也在使用它,并且这些攻击组织与中国有关。

??另一些调查报告则显示,Black Vine与中国北京的安全公司天融信(Topsec)有关。??

总结

Black Vine是一个强大、实力雄厚的网络间谍组织,并且其间谍活动还在继续。希望各行业能正视该间谍组织的危害,部署更为严谨的防护措施。

上一篇: 信息安全产业步入黄金期 下一篇: “黑帽SEO”添新招:使用PDF文档提高搜索排名
 

产品中心

讯聪政府信息管理系统
版权所有:河南讯聪信息科技有限公司