压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

這個攻擊事件來源2012年出現(xiàn)的Elise代碼庫的調(diào)試字符串的特征（d:\lstudio\projects\lotus\Elise…）。
在前幾年，黑客組織Spring Dragon最為人津津樂道的就是對CVE-2012-0158漏洞的利用。而如今他們又開始了釣魚掛馬，利用web漏洞攻擊網(wǎng)站，以及重定向用戶的Flash升級請求到惡意網(wǎng)站進行水坑攻擊。該組織的釣魚工具包里有PDF的exp，Adobe Flash Player的exp，以及從不太出名的Tran Duy Linh工具包提取的CVE-2012-0158漏洞的exp。當(dāng)Spring Dragon的APT行動把大家的注意吸引到越南的黑客事件上時，我們突然發(fā)現(xiàn)他們似乎還準(zhǔn)備了混合使用exp的戰(zhàn)術(shù)來攻擊越南(VN)、臺灣(TW)、菲律賓(PH)等后綴的網(wǎng)站。

攻擊案例

接下來，我們來看看幾個新的攻擊案例
第一個案例

Spring Dragon的黑客手段可不只有交叉釣魚，他們也會滲透WEB網(wǎng)站做壞壞的事。在某次黑客攻擊案例中，他們替換了某網(wǎng)站提供下載的Myanma字體的安裝包。你可以看到，在上面的圖中，在2012年P(guān)lanet Myanmar網(wǎng)站曾提供該字體安裝包的下載，所有的zip文件下載URL都指向一個有毒的zip安裝包：Zawgyi_Keyboard_L.zip。解壓這個zip文件會釋放一個setup.exe，里面附帶了一些后門組件，包括Elise“wincex. dll” (文件MD5值：a42c966e26f3577534d03248551232f3，檢測結(jié)果：Backdoor.Win32.Agent.delp)。

在受害者無意中啟動它時，會向外發(fā)出一個典型的Elise式Get請求：

GET /%x/page_%02d%02d%02d%02d.html

就像上面討論“Lotus Blossom行動”的文章里寫的那樣。

第二個案例

在2014年11月，還有一個黑客攻擊案例是利用CVE-2014-6332漏洞的exp，其中包含一個VBS惡意腳本以及變種payload。在2012年6月，該組織還在這個網(wǎng)站上掛了了某PDF漏洞的exp（CVE-2010-288），文件名為：“Zawgyi Unicode Keyboard.pdf”。其實在早些時候，他們也曾掛了這個PDF漏洞的exp，只是當(dāng)時用的名字不一樣而已。

在2011年11月，他們還曾用“臺灣安保協(xié)會「亞太區(qū)域安全與臺海和平」國際研討會邀 請 函_20110907. pdf”、“china-central_asia.pdf”、“hydroelectric sector.pdf”，以及偽裝成來自政府機構(gòu)的信函名等手段來誘惑人點擊。

還有就是，我們觀察到Spring Dragon針對政府目標(biāo)進行APT攻擊時，一般會把用戶重定向到下載Flash安裝包的網(wǎng)站。
如圖所示，這個網(wǎng)站將用戶重定向到一個典型Elise后門的flash安裝包下載的網(wǎng)站，后門文件會與“210.175.53.24”主機交互，并向該主機發(fā)出GET請求包：“GET /14111121/page_321111234. html HTTP/1.0”。

至于用戶在網(wǎng)站下載行為的重定向過程如下：

hxxp://www.bkav2010.net/support/flashplayer/downloads.htm
==>
hxxp://96.47.234.246/support/flashplayer/install_flashplayer.exe (Trojan-Dropper.Win32.Agent.ilbq)。

這次黑客攻擊有效地利用了他們過去用爛的CVE-2012-0158漏洞的exp。Spring Dragon通過普通的手法，做出了更多創(chuàng)造性APT攻擊。