“洋葱狗”潜伏3年终曝光,定期偷袭能源及交通行业
360天眼实验室的追日团队日前披露称,一个名为“洋葱狗”(OnionDog)的黑客组织长期对亚洲国家的能源、交通等基础行业进行网络渗透和情报窃取,根据大数据关联分析,“洋葱狗”的首次活动可追溯到2013年10月,之后两年仅在7月底至9月初之间活动,木马自身设定的生命周期平均只有15天,具有鲜明的组织性和目的性。
“洋葱狗”恶意程序利用了朝鲜语系国家流行办公软件Hangul的漏洞传播,并通过USB蠕虫摆渡攻击隔离网目标。此外,“洋葱狗”还使用了暗网网桥(Onion City)通信,借此无需洋葱浏览器就可直接访问暗网中的域名,使其真实身份隐蔽在完全匿名的Tor网络里。
“洋葱狗”APT攻击瞄准基础行业
“洋葱狗”的攻击目标精准锁定在朝鲜语系国家的基础行业。2015年,该组织主要攻击了港口、VTS(船舶交通服务)、地铁、公交等交通机构;而在此前2014年的一轮攻击中,“洋葱狗”则侵袭了多家电力公司和水资源公社等能源企业。
截至目前,360威胁情报中心共发现“洋葱狗”相关的96组恶意代码、14个C&C域名和IP。其首次出现在2013年10月,之后都是在夏天集中出现,而且木马设定了自身的存活时间,从木马被编译出来到终止活动最短只有3天,最长也不过29天,平均生命周期为15天,这也使其相比长期活跃的黑客攻击更难以被受害企业察觉和重视。
洋葱狗”的传播渠道以鱼叉式邮件定向发给攻击目标为主,早期版本的木马直接用图标和文件名伪装为HWP文档(Hangul办公软件的文档格式),此后又出现了利用Hangul漏洞的升级版本,就是在真正的HWP文档嵌入恶意代码,打开文档触发漏洞即下载激活木马。
由于能源等重要基础行业普遍采用内网隔离措施,“洋葱狗”则运用U盘摆渡的方式打破了物理隔离的虚假安全感。在震网病毒攻破伊朗核电站的APT攻击经典案例中,病毒利用工作人员的U盘打入隔离网内,“洋葱狗”也借鉴使用了这个通道,生成USB蠕虫向攻击对象的内网进行渗透。
“强迫症”式精密化组织
在“洋葱狗”的恶意代码活动中,有着近乎“强迫症”的规范:
首先,恶意代码从被创建的PDB(符号文件)路径上,就有着严格的命名规则,例如USB蠕虫的路径是APT-USB,钓鱼邮件恶意文档的路径是APT-WebServer;
当“洋葱狗”的木马成功释放后,它会请求C&C(木马服务器),下载其它恶意程序并保存到%temp%目录,再统一以“XXX_YYY.jpg”形态作为文件名。这些名称都有着特定涵义,一般是指向攻击目标。
种种迹象表明,“洋葱狗”对出击时间、攻击对象、漏洞挖掘和利用、恶意代码等整套流程都有着严密的组织和部署,同时它还非常重视隐藏自己的行迹。
2014年,“洋葱狗”使用了韩国境内的多个固定IP作为木马服务器地址,当然这并不意味着攻击者位于韩国,这些IP更可能只是傀儡机和跳板。到了2015年,“洋葱狗”的网络通信全面升级为暗网网桥,这也是目前APT黑客攻击中比较高端和隐蔽的网络通信方式。
暗网网桥,是指暗网搜索引擎利用Tor2web代理技术,可以深度访问匿名的Tor网络,而无需再专门使用洋葱浏览器。“洋葱狗”正是利用暗网网桥将控制木马的服务器藏匿在Tor网络里。
近年来,针对基础行业设施和大型企业的黑客APT攻击活动频繁曝出,其中有的会攻击工控系统,如Stuxnet(震网)、Black Energy(黑暗力量)等,直接产生巨大的破坏力;还有的则是以情报窃取为主要目的,如此前由卡巴斯基、AlienVault实验室和Novetta等协作披露的Lazarus黑客组织,以及360追日团队最新曝光的OnionDog(洋葱狗),这类秘密活动的网络犯罪所造成的损失同样严重。
根据“洋葱狗”的活动规律,今年夏天很可能又是其新一轮攻势的开始。
原文发布时间为:2016-03-08
本文作者:FreeBuf
本文来自云栖社区合作伙伴至顶网,了解相关信息可以关注至顶网。
“洋葱狗”潜伏3年终曝光,定期偷袭能源及交通行业相关推荐
- 一条挨踢老狗的 2017 年终总结
2018年是中国的狗年,狗常常象征着忠诚,有忠贞不渝的意义,有时也代表财富.一条常年战斗在挨踢界,对挨踢事业忠贞不渝的老狗今天来回顾2017.展望2018. 作为一条对挨踢事业忠贞不渝的老狗,理所当然 ...
- 网友潜伏房产中介 曝光二手房买卖潜规则
徐先生说,他在网上发帖,引来不少人拍砖.专业人士证实,目前一些中介个别操作确实不规范,存在一些黑幕. 网友"qqzhoulai"近日成为天涯重庆的名人,截至昨日下午3时30分,他的 ...
- 年终盘点:2021年的通信行业
本文是通信行业的2021回顾专题,盘点所取得的成果,分析眼前遇到的问题,研判未来发展走势,寻找新的机会. 纵观2021年的国内通信行业发展,如果让我用一句话形容,那就是--"面若临湖,心如惊 ...
- 年终总结:2021年征信行业十大关键词及2022年展望
孟凡夫 值此2022年初之际,企业征信机构备案服务团队延续2017年至今对征信行业年终总结习惯,基于2021年对征信行业的观察和思考梳理出2021年征信行业十大关键词,并对2022年进行展望,具体内容 ...
- 黑客购买恶意软件攻击航空航天和交通行业,潜伏5年+
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 多年来,一名技术并不高的黑客一直利用现成可用恶意软件,攻击航空航天和其它敏感行业中企业.Proofpoint 公司将该攻击者命名为 " ...
- 不可忽视的浪潮云平台,正蓄势待发
云市场竞争如此激烈,还有机会成为第一名吗? 现在看到的趋势是,无论华为云.新华三,还是阿里云.腾讯云均在加大对行业云.政企云的投入,还有一大批以OpenStack.容器为核心的云厂商不断构建自己的护城 ...
- RTOS 系统篇-看门狗 WatchDog[不喂狗就咬你]
RTOS 系统篇-看门狗 WatchDog[不喂狗就咬你] 概述 程序设计完成后,要开始考虑系统整体的稳定性了. 在设备上线后,可能因为程序设计不合理.硬件设计有 bug,电气干扰.静电噪声.电源故障 ...
- “猫虎狗”如何破解汽车后市场的新能源难题
1月24日,汽车养护电商平台"途虎养车"在港交所提交上市申请,联席保荐人为高盛.中金公司.美银证券.瑞银集团. 途虎养车作为汽车后市场的互联网新物种平台,近年来前后进行了16轮融资 ...
- 这两款无“节操”的浏览器,在315被曝光后,终于被下架了
315晚会成功落幕,实话实说,今年的315晚会力度要比往年小很多,而且很多问题都是此前早已曝光的"套路",如今又死灰复燃,所以其实曝光并不能解决长久的问题,但是不曝光出来的话,或许 ...
- 2017年终奖发放,程序员人均11776元排名第一!
又到了一年一度的"晒年终奖"时刻了!你敢晒一波吗? 快过年了,又到了一年一度的年终奖盘点时间! 此可谓扎心扎心再扎心! 那么,你2017年的年终奖有多少?满意不? 2017年全国白 ...
最新文章
- Modeling System Behavior with Use Case(3)
- 自学入门不在困难,初学者挑战学习Python编程30天 (三)
- ORACLE 12C 依然支持 bbed
- 快逸报表API直接生成v4统计图
- python sys模块作用_浅谈Python中的模块
- vba宏语言_三分钟了解Excel的程序语言VBA
- show in Breadcrumb
- gx works2 存储器空间或桌面堆栈不足_静态体验奇瑞艾瑞泽GX冠军版,细节做工很精湛...
- 3ds max学习笔记(二)--查看视点
- [原]tornado源码分析系列(二)[网络层 IOLoop类]
- Cephalocon 2020首尔峰会取消
- 求两个字符串的最长的连续公共子串
- 计算机设置u盘启动,如何设置U盘启动_BIOS设置U盘启动教程 - U当家官网
- 计算机操作系统-2-处理器管理
- 【手写 Vue2.x 源码】第十八篇 - 根据 render 函数,生成 vnode
- c语言数组子集,C语言实现数组所有子集
- 谷粒商城项目环境搭建
- 【案例】 生成词云玩玩?
- 泛微校招群面经历(一日游?)
- java用一张一元票换一分,把一元纸币换成一分、二分、五分硬币(每种至少一枚),有多少种换法?使用递归...
热门文章
- android 风吹的动画,最炫Material Design风过渡动画
- JavaScript: Checkbox onChange event is differently processed by IE and FF
- 软件测试中报表测试用例设计方法总结
- vision安装过程中出错_NVIDIA安装程序失败 3D vision 驱动程序 失败 是为什么,如图所示...
- 数据采集时总提示未登录_2月1日起,海关进口增值税专用缴款书数据采集规则大变,请知悉!...
- 2022-2027年中国熔融碳酸盐型燃料电池行业市场全景评估及发展战略规划报告
- 第二次作业—时事点评
- JAVA高效批量插入数据到数据库demo
- veil-Evasion免杀使用
- 蓝桥杯--算法提高 字符串跳步