回归最本质的信息安全

MM Core:一个专门针对美国的APT组织

2017年1月6日发布

4,710
2
0

导语:几年前,火眼的安全研究员们发现了一种新版本的APT(高级持续性攻击)恶意软件,它的主要目标是中东国家、中亚国家、非洲国家、美国。

82c2debe268742b9.jpg

几年前,火眼的安全研究员们发现了一种新版本的APT(高级持续性攻击)恶意软件,它的主要目标是中东国家、中亚国家、非洲国家、美国。

该恶意软件被命名为MM Core,首次出现在2013年4月。火眼的安全研究员发现该木马被设计的初衷是搜集受害者设备上的信息,并在其电脑上安装一个后门,以供远程访问。

该木马的第一个版本为2.0-LNK,被安全研究员命名为BaneChant。它的攻击目标主要是中东和中亚国家。

BaneChant之所以会引起研究员的注意,是因为它不会立马执行恶意操作,而是等待受害者有大量的点击鼠标操作之后才会执行操作,这样做可能是为了躲避沙盒检测。另外,BaneChant还使用短网址服务来保护其C&C服务器不被列入黑名单,将自己的恶意代码下载至计算机的存储器中,以躲避调查者的追踪。

2013年6月,Context信息安全公司的研究员们又发现了MM Core恶意软件的新变体,版本为2.1-LNK,同时也被给予了新的名称StrangeLove。新版本的木马和之前版本木马的功能基本相似,只不过开发者在其下载器上做了一些改变。StrangeLove的攻击目标仍然是中东地区。

不断更新中的木马

Forcepoint 的安全研究员最近又发现了MM Core的两种新变体:BigBoss (2.2-LNK)和SillyGoose (2.3-LNK)。BigBoss首次出现在2015年6月,SillyGoose首次出现在2016年9月。目前这两种木马仍然在攻击者使用中。

据Forcepoint的研究发现,新版本木马主要的攻击地域是非洲和美国,并且攻击目标锁定在新闻媒体、政府机构、石油天然气行业和通信行业。

最新版本木马使用了和BaneChant、StrangeLove相同的后门,但是他们的文件名和mutexes却不同。另外一个不同点是,新版本木马利用的是一个编号为 CVE-2015-1641 的Microsoft Word 漏洞,第一个木马利用的是编号为CVE 2012-0158的漏洞。

Forcepoint的安全研究还发现,木马下载器使用的是俄罗斯的数字证书,当然肯定是偷来的。为了阻止被安全研究员追查到他们的构架,木马背后的组织已经开始使用WHOIS的隐私保护服务来保护他们的C&C域名了。

本文翻译于securityweek,如若转载,请注明来源于嘶吼: http://www.4hou.com/info/news/2891.html

点赞 0
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

晨曦

晨曦

嘶吼编辑

发私信

发表评论

    沙拉拉卡
    沙拉拉卡 2017-01-06 17:48

    “我并不是针对你,我是说在座的都是辣鸡”——MM Core

    lapua
    lapua 2017-01-06 13:52

    不一定是偷的吧…有可能是授意使用