黑客组织“洋葱狗”潜伏3年终曝光 定期偷袭能源及交通行业
360天眼实验室的追日团队日前披露称,一个名为“洋葱狗”(OnionDog)的黑客组织长期对亚洲国家的能源、交通等基础行业进行网络渗透和情报窃取,根据大数据关联分析,“洋葱狗”的首次活动可追溯到2013年10月,之后两年仅在7月底至9月初之间活动,木马自身设定的生命周期平均只有15天,具有鲜明的组织性和目的性。
“洋葱狗”恶意程序利用了朝鲜语系国家流行办公软件Hangul的漏洞传播,并通过USB蠕虫摆渡攻击隔离网目标。此外,“洋葱狗”还使用了暗网网桥(Onion City)通信,借此无需洋葱浏览器就可直接访问暗网中的域名,使其真实身份隐蔽在完全匿名的Tor网络里。
“洋葱狗”APT攻击瞄准基础行业
“洋葱狗”的攻击目标精准锁定在朝鲜语系国家的基础行业。2015年,该组织主要攻击了港口、VTS(船舶交通服务)、地铁、公交等交通机构;而在此前2014年的一轮攻击中,“洋葱狗”则侵袭了多家电力公司和水资源公社等能源企业。
截至目前,360威胁情报中心共发现“洋葱狗”相关的96组恶意代码、14个C&C域名和IP。其首次出现在2013年10月,之后都是在夏天集中出现,而且木马设定了自身的存活时间,从木马被编译出来到终止活动最短只有3天,最长也不过29天,平均生命周期为15天,这也使其相比长期活跃的黑客攻击更难以被受害企业察觉和重视。
洋葱狗”的传播渠道以鱼叉式邮件定向发给攻击目标为主,早期版本的木马直接用图标和文件名伪装为HWP文档(Hangul办公软件的文档格式),此后又出现了利用Hangul漏洞的升级版本,就是在真正的HWP文档嵌入恶意代码,打开文档触发漏洞即下载激活木马。
由于能源等重要基础行业普遍采用内网隔离措施,“洋葱狗”则运用U盘摆渡的方式打破了物理隔离的虚假安全感。在震网病毒攻破伊朗核电站的APT攻击经典案例中,病毒利用工作人员的U盘打入隔离网内,“洋葱狗”也借鉴使用了这个通道,生成USB蠕虫向攻击对象的内网进行渗透。
“强迫症”式精密化组织
在“洋葱狗”的恶意代码活动中,有着近乎“强迫症”的规范:
首先,恶意代码从被创建的PDB(符号文件)路径上,就有着严格的命名规则,例如USB蠕虫的路径是APT-USB,钓鱼邮件恶意文档的路径是APT-WebServer;
当“洋葱狗”的木马成功释放后,它会请求C&C(木马服务器),下载其它恶意程序并保存到%temp%目录,再统一以“XXX_YYY.jpg”形态作为文件名。这些名称都有着特定涵义,一般是指向攻击目标。
种种迹象表明,“洋葱狗”对出击时间、攻击对象、漏洞挖掘和利用、恶意代码等整套流程都有着严密的组织和部署,同时它还非常重视隐藏自己的行迹。
2014年,“洋葱狗”使用了韩国境内的多个固定IP作为木马服务器地址,当然这并不意味着攻击者位于韩国,这些IP更可能只是傀儡机和跳板。到了2015年,“洋葱狗”的网络通信全面升级为暗网网桥,这也是目前APT黑客攻击中比较高端和隐蔽的网络通信方式。
暗网网桥,是指暗网搜索引擎利用Tor2web代理技术,可以深度访问匿名的Tor网络,而无需再专门使用洋葱浏览器。“洋葱狗”正是利用暗网网桥将控制木马的服务器藏匿在Tor网络里。
近年来,针对基础行业设施和大型企业的黑客APT攻击活动频繁曝出,其中有的会攻击工控系统,如Stuxnet(震网)、Black Energy(黑暗力量)等,直接产生巨大的破坏力;还有的则是以情报窃取为主要目的,如此前由卡巴斯基、AlienVault实验室和Novetta等协作披露的Lazarus黑客组织,以及360追日团队最新曝光的OnionDog(洋葱狗),这类秘密活动的网络犯罪所造成的损失同样严重。
根据“洋葱狗”的活动规律,今年夏天很可能又是其新一轮攻势的开始。
本文转自d1net(转载)
黑客组织“洋葱狗”潜伏3年终曝光 定期偷袭能源及交通行业相关推荐
- 万人跨年大趴体:一个非常能作死的黑客组织就这么曝光了
说到黑客,大多数人脑海里闪现出的第一印象,大概是神出鬼没.行踪神秘.不善言语,也不爱参加聚会和户外活动,常常一身黑色装扮隐藏在电脑屏幕后,在键盘上狂爆手速破译各种密码,让被攻击者们不得安宁. 真的是这 ...
- 俄罗斯国家黑客组织 Gamaredon的成员身份和录音曝光(附视频)
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 乌克兰安全局 (SSU) 公开了Gamaredon 网络间谍组织五名成员的真实身份,并指这些人任职于俄罗斯联邦安全局 (FSB) 在克里米亚的分 ...
- 揭秘NSA秘密黑客组织方程式
NSA 被黑了!? 不不. 发布消息的黑客组织 The Shadow Broker (暗影经纪人),只是声称他们入侵了"Equation Group"(方程式组织),并将他们从 ...
- 全球40起黑客攻击或与CIA有关 长角牛黑客组织打卡“上班”
4月11日讯 安全公司赛门铁克宣布,从16个国家遭遇的40起攻击中分析,这些攻击者使用的工具与"Vault 7"文件中揭露的CIA间谍战术中暴露的工具相当类似. 例如Fluxwir ...
- 国内黑客组织及代表性人物
转载一篇http://blog.csdn.net/zhanghandong/article/details/1270087 先介绍零三年之前的组织. 安全焦点 http://www.xfocus.ne ...
- 维基解密创始人被指控与匿名者LulzSec黑客组织合作
美国司法部周三发布的新起诉书显示,维基解密创始人阿桑奇被指控与匿名组织和LulzSec黑客组织的黑客合作,试图入侵"目标清单". 这项新的起诉书称,2012年,阿桑奇向LulzSe ...
- 美国500名iOS用户受害?黑客组织发动恶意广告
安全研究人员发现有黑客组织将恶意软件写入图片文件发动恶意广告(malvertising)攻击,专门锁定Mac及iOS用户,已有500万用户网络联机遭到劫持,造成上百万美元收益损失. 该黑客组织因为透过 ...
- 上网查资料无意间搜到国家级黑客组织,于是就了解了一下 原创
The Dukes原因 The Dukes系列是APT29最早的组织代号,早期的Dukes特马工具是在2013年由卡巴斯基安全团队作为未知类型攻击组件进行命名披露的.对于The Dukes系列的归因, ...
- 黑客组织利用El Machete窃取全球政府超过100G数据
网络间谍活动一直是热议的话题,各类媒体不乏频现各种网络间谍活动,尤其前几年更是"炒得火热".近期,网络间谍活动又"风生水起". 黑客组织利用El Machete ...
- 黑客组织称7月将售新入侵工具 价格超2.2万美元
北京时间5月31日消息,之前一黑客组织发布网络入侵工具,安全专家相信这些工具是从美国国家安全局(NSA)窃取的.本周二,该组织对外宣称,计划今年7月将一些新代码出售给客户,这些客户愿意花钱购买,价格超 ...
最新文章
- 以下一些使用ASP.NET和VISUAL STUDIO.NET2003的经验和技巧
- 前端页面适配的rem换算
- 第二章 java常用开发工具以及程序的编写
- VM pow 函数 :undefined reference to `pow'
- Spring(四)——AOP、Spring实现AOP、Spring整合Mybatis、Spring中的事务管理
- 活动报名 | PaddlePaddle Hackathon飞桨黑客马拉松邀你参加
- 信息管理系统 github_Java+MySQL实现学生信息管理系统
- Linux Mysql 安装方法
- 强化学习在推荐混排中的应用
- 每天看到那么徒步直播的朋友,他们靠什么生活呢?
- 41. 和为s的两个数字VS和为s的连续正数序列(C++版本)
- STLink连接与资源下载
- hbase与hadoop版本兼容问题,强烈谴责hadoop生态圈耦合性
- java 读取.xlsx_java 读取xlsx
- 量子计算机宋超,蒿杰团队实感计算架构助力20超导量子比特薛定谔猫态制备-资讯-知识分子...
- NLP会议介绍 2019
- ABB机器人的几种停止指令详解
- 3w最简单led灯电路图_一款简单实用的LED灯驱动电路
- 我们都没有迎来决赛---Leo读《不是孙振耀写的职场感言》(1)
- ESP32开发(1)----Espressif-IDE开发环境配置
热门文章
- python中的sep函数_Python中sep是函数吗?该怎么使用?_后端开发
- openffice安装(windows和linux)
- android+警告声音,在Delphi XE5 / Android平台上播放声音警报/哔哔声
- Android进阶——更节电的后台任务JobScheduler 机制使用详解
- PTA 1096 大美数(Python3)
- 【绘制矩形】已知二维平面矩形的对角线两点坐标,如何确定四个点的坐标
- 标准盒模型和怪异盒模型的区别
- 初识云计算————云计算概念
- FastAPI 是什么?
- 十大热门职位发布 高薪行业一目了然