Siesta行动:一起新发现的定向攻击
过去几周时间里,趋势科技收到几份利用各种应用版本漏洞窃取各类组织信息的报告,与Safe行动相似,这些行动进行的非常隐蔽。并将攻击者精心策划的这起定向攻击称为Siesta行动,其目标为能源、金融、医疗保健、媒体通信及交通运输等等固定的产业。
随后fireeye对此活动展开更详细的分析,fireeye表示此活动和APT1有关联,他们发现二零一四年二月二十〇日针对客户在电信部门,利用鱼叉式网络钓鱼邮件,并链接到iifuedit[.]net/Healthcare_Questionnaire.zip,这个zip文件包含一个恶意的可执行文件具有以下属性:
| MD5 | 61249bf64fa270931570b8a5eba06afa |
| Compile Time | 2014-02-20 02:28:21 |
| .text | 39e9e4eac77a09b915626f315b963a4f |
| .rdata | a126c8c7c50bf034f2d3ba4aa5bcab28 |
| .data | bb95154b5aeb13a4ff937afa2e7e4560 |
| .rsrc | edf3a1e142fc212da11dc72698184ad5 |
| Import Hash | 20ff5087740eabff5bdbdf99d9fb6853 |
鱼叉式钓鱼来指向一个恶意样本链接
该链接看似像一个合法的网址
进一步通过关联发现。此次活动样本中的导入表hash和APT1一致,自定义base64编码coWXYZabcdefghijkl123456789ABCDEFGHIJKL+/MNOPQRSTUVmn0pqrstuvwxyz. 也和APT1活动一致。还包括样本释放的诱饵PDF文件也和APT1一致。
另外该活动中的诱饵文件也曾被“Menupass” 组织利用。并且同一个MD5文件可以用IOC同时检测两个组织,APT1和Menupass。
通过关联分析,可能的情况有:
1、Siesta行动是APT1的执行者
2、Siesta行动和APT1共享一些资源
趋势链接:http://blog.trendmicro.com/trendlabs-security-intelligence/the-siesta-campaign-a-new-targeted-attack-awakens/
fireeye链接:http://www.fireeye.com/blog/technical/targeted-attack/2014/03/a-detailed-examination-of-the-siesta-campaign.html