我國多個重要單位被境外APT駭客組織Bitter攻陷

尋夢新聞LINE@每日推播熱門推薦文章,趣聞不漏接❤️

加入LINE好友

編號: TB-2019-0013

報告置信度:85

TAG:Bitter 蔓靈花 印度 北京 上海 主控 後台

TLP: 白(報告使用及轉發不受限制)

日期: 2019-10-30

摘要

2019年10月29日,微步在線監測到有研究者在Twitter上披露了某木馬的C2控制後台,其中包括部分目前正在被控的IP。

對之進行了分析後,有如下發現:

此主控後台系印度政府背景APT組織Bitter所有。(Bitter,又名「蔓靈花」,是一個長期針對中國、巴基斯坦等國家的政府、軍工、電力、核等部門發動網路攻擊的APT團夥,具有印度國家背景)對後台日志進行分析發現,中國是主要的受害者,其中受影響地區包含北京、上海、浙江、廣西等地。

詳情

2019年10月27日,推特用戶@MisterCh0c發布消息稱發現了一款木馬控制平台的登錄地址http://lmhostsvc[.]net/healthne/login.php,10月28日,另一用戶@sS55752750回復該信息並配有一張後台頁面圖片,根據圖片發現該後台至少記錄了12台被控主機的IP地址、計算機名、用戶名、操作系統、被控時間及最後一次上線時間等信息。

我國多個重要單位被境外APT駭客組織Bitter攻陷 科技 第1張

我國多個重要單位被境外APT駭客組織Bitter攻陷 科技 第2張

我國多個重要單位被境外APT駭客組織Bitter攻陷 科技 第3張

核實發現,相關域名屬於印度政府背景APT組織Bitter所有,於2019年9月26日已經識別,且近期已捕獲該域名相關多個木馬樣本。

我國多個重要單位被境外APT駭客組織Bitter攻陷 科技 第4張

我國多個重要單位被境外APT駭客組織Bitter攻陷 科技 第5張

通過雲沙箱查詢發現,相關木馬啟動後的回傳信息如下:

a=vbccsb-PC

b=VBCCSB-PC

c=Windows 7 Ultimate

d=vbccsbvbccsb1a86a5ed-85f2-4731-b953-cd4bb615f8531565536040965860&e=

我國多個重要單位被境外APT駭客組織Bitter攻陷 科技 第6張

由此可知與此次曝光平台展示的信息完全一致。而對該後台分析發現,目前記錄的18個IP地址中9個屬於中國,主要涉及北京、上海、浙江、廣西等地,該平台還具備下發木馬插件的功能,可對受控主機實施進一步操作,相關信息如下所示:

我國多個重要單位被境外APT駭客組織Bitter攻陷 科技 第7張

行動建議

1、建議受影響企業高度重視此次事件,並結合內部DNS記錄,排查與主控域名存在通信的相關內部主機。

2、建議對該組織的攻擊活動進行持續檢測和防范。

附錄

C2

lmhostsvc.net

Hash

a5f42d753ce4d5c5144554b8cde3d2d9158371a6447606643ba272fac329db6e

20d4056be75b8d616a68afe08699faba8847**ca24caef485107ba5514ccdb

34e90f0676e00e035d84e23c18cfb0f732be7e5bfbc0269e4f5fd7d8f664332a

4e2bcb8a42125c45e43b1b760f791633cb92d5519e6df2fb1ff6296b3e9e289a

*本文作者:Threatbook,轉載請註明來自FreeBuf.COM

我國多個重要單位被境外APT駭客組織Bitter攻陷 科技 第8張

精彩推薦

我國多個重要單位被境外APT駭客組織Bitter攻陷 科技 第9張

我國多個重要單位被境外APT駭客組織Bitter攻陷 科技 第10張

我國多個重要單位被境外APT駭客組織Bitter攻陷 科技 第11張

我國多個重要單位被境外APT駭客組織Bitter攻陷 科技 第12張

我國多個重要單位被境外APT駭客組織Bitter攻陷 科技 第13張

我國多個重要單位被境外APT駭客組織Bitter攻陷 科技 第14張

我國多個重要單位被境外APT駭客組織Bitter攻陷 科技 第15張

About 尋夢園
尋夢園是台灣最大的聊天室及交友社群網站。 致力於發展能夠讓會員們彼此互動、盡情分享自我的平台。 擁有數百間不同的聊天室 ,讓您隨時隨地都能找到志同道合的好友!