Cyberespionage Group Catchwork将其视域设置为多个行业
研究人员警告说,为瞄准外交和政府机构而闻名的讯连讯组织群体已向许多其他行业分支,包括航空,广播和金融。
被称为拼凑而成的大象,而不是只通过它使用简单的脚本和现成的攻击工具,而且还通过其对中国对外关系的兴趣。
本月本月早些时候由卡巴斯基实验室提前记录了该集团的活动,他在分析中指出,中国的对外关系努力似乎代表了袭击者的主要利益。
赛门铁克的研究人员在新的一份新报告中表示,该集团最近的攻击还从广泛的行业提供了公司和组织:航空,广播,能源,金融,非政府组织(非政府组织),制药,公共部门,发布和软件。
虽然大多数补丁制品的过去的受害者都是基于中国和亚洲的,但赛门铁克观察到的几个目标的几个目标是基于美国。
该集团使用合法邮件列表提供商将类似的电子邮件发送到其预期目标。Rogue电子邮件链接到攻击者设置的网站,其中包含与中国相关的内容。根据他们运作的行业,受害者接收与其业务相关的内容的网站的链接。
Rogue网站具有与其他域上托管的.pps(powerpoint)或.doc(word)文件的链接。如果下载并打开,这些文件将尝试在Microsoft Office中利用已知的漏洞,以便在用户“计算机上”执行Rogue代码。
赛门铁克研究人员观察了用于Microsoft Windows常见控件的漏洞利用X控件远程代码执行漏洞(CVE-2012-0158),Microsoft Windows OLE包管理器远程代码执行漏洞(CVE-2014-4114)和Microsoft Office Memory损坏漏洞(CVE-2015-1641)。
自2015年4月由Microsoft修补的最新漏洞CVE-2015-1641以来,攻击者似乎对其计算机上有过时的Microsoft Office安装。
通常,PowerPoint文件将尝试利用CVE-2014-4114,如果成功,将安装一个名为Enfourk的后门程序,该程序用作AutoIt可执行文件。AutoIt是一种用于自动化图形用户界面交互的脚本语言。
.doc文件将尝试利用CVE-2012-0158或CVE-2015-1641,并试图安装一个名为Steladok的不同的后门程序。这两个程序都可以搜索和窃取文件或可用于安装其他恶意软件组件。
