Cyber Espionage集团后面的单身攻击
赛门铁克研究人员已经将一个网络间谍组织确定为2018年关于新加坡公共医疗保健提供者单一的前所未有的攻击后的肇事者,导致了超过150万患者记录的盗窃。
被称为赛门铁克的白粉,而赛门铁克 - 据信自2017年以来一直在运营 - 在包括医疗保健,媒体和电信等行业的新加坡主要基于新加坡的目标组织,并主要有兴趣窃取大量敏感信息。
根据赛门铁克的说法,白粉的Modus Operani涉及使用伪装成文件或图像的恶意文件,通常提供有关职位开口的信息,或者出现在与受害者在同一行业中运行的另一个组织发送的文件。
赛门铁克表示,鉴于伪装的本质,很可能使用矛网络钓鱼电子邮件向受害者发送给受害者。
粉底的复杂程度在他们欺骗了称为动态链路库(DLL)的合法软件组件的能力中表现出了攻击。
当网络钓鱼电子邮件中包含的恶意文件被受害者打开时,称为VCRODAT的装载机将使用称为搜索顺序劫持的技术在计算机上运行。
根据赛门铁克的说法,这种技术利用了Windows不需要应用程序来为其所希望加载的DLL提供特定路径来提供特定路径。如果没有提供路径,则Windows以预定义的顺序在计算机上的特定位置中搜索DLL。
因此,攻击者可以使恶意DLL与合法DLL相同,但将其放在搜索顺序中的合法版本领先地位,以便在Windows搜索它时加载它。粉布常常将vCRODAT作为恶意DLL提供与安全应用程序使用的DLL相同的名称。
Symantec通过定位安全应用程序表示,攻击者将能够为恶意软件获得更高的权限,因为恶意DLL可以使用升高的权限运行。
一旦执行,vcrodat将加密的有效载荷加载到受害者的计算机上。在将系统信息发送到服务器并下载其他工具之前,有效载荷与命令和控制(C&C)服务器联系,并下载其他工具。
一旦目标组织网络上的初始计算机感染vcrodat,粉虱就开始映射网络并感染其他机器。
粉虱通常会在长时间留在目标组织内 - 经常是几个月 - 窃取大量信息。它通过部署促进攻击者和受感染的计算机之间的通信的许多工具来保持妥协。
赛门铁克的调查结果反映了对袭击的早期描述,新加坡的卫生部说是故意的,有针对性和精心策划的。除新加坡外,赛门铁克表示,丹菲还将其工具抵抗东南亚和俄罗斯的国防,电信和能源部门。