【独家】Black Vine：专攻航空航天和医疗保险的“黑色藤蔓”- 大数跨境

首页

【独家】Black Vine：专攻航空航天和医疗保险的“黑色藤蔓”

物联网安全号

2016-10-15

导读：今年美国第二大医疗保险服务商Anthem遭黑客攻击，近8000万资料被盗。赛门铁克认为入侵Anthem的幕后黑手一定是非常强大的网络间谍组织Black Vine（黑色藤蔓），而且Anthem也只是该间

点击上方“物联网安全号”可以订阅哦！

2016年早些时候，美国第二大医疗保险服务商Anthem遭黑客攻击，近8000万员工和客户资料被盗，包括姓名、生日、医保ID号、社会保险号、住宅地址、电子邮箱、雇佣情况、以及收入数据。

赛门铁克认为入侵Anthem的幕后黑手一定是非常强大的网络间谍组织BlackVine（黑色藤蔓），而且Anthem也只是该间谍组织众多攻击目标中的其中一个。

赛门铁克近期发布的白皮书中介绍，BlackVine间谍组织早在2012年就出现了，它的攻击目标燃气轮机制造商、航空航天公司、医疗保险服务商等等。该组织惯用的是0-day漏洞利用程序和自定义开发的恶意后门，并认为BlackVine与黑客组织“隐秘山猫”以及中国北京的安全公司天融信（Topsec）有关联。

Black Vine背景

BlackVine主要利用以下的0-day漏洞，然后以水坑攻击开始：

微软IE CDwnBindInfo Use-After-Free远程代码执行漏洞（CVE-2012-4792）

微软IE Use-After-Free远程代码执行漏洞（CVE-2014-0322）

BlackVine首先会攻破攻击目标惯用的网站，植入恶意代码，当目标再次访问该网站时就会感染恶意程序。如果0-day漏洞应用程序成功的感染了受害者电脑，攻击者会进而释放BlackVine的自定义后门，即可远程访问受害者电脑。除了水坑式攻击以外，BlackVine还会通过发送鱼叉式钓鱼邮件展开攻击。

Black Vine入侵的行业列表：

航空航天公司

医疗保险服务商

能源业

军事国防

金融行业

农业

科技行业

受BlackVine影响最大的地区是美国，其次是中国、加拿大、意大利、丹麦、印度。

恶意程序

通过调查研究，BlackVine在攻击活动中主要使用了3种自定义恶意程序：

Hurix

Sakurel

Mivast

它们能执行的操作有：

打开一个后门

执行文件和命令

删除、修改、创建登录密钥

搜集被感染电脑上的信息

赛门铁克的分析发现，BlackVine是一个实力雄厚的网络间谍组织，它会不断的更新、修改其恶意程序，以躲避追踪。

与黑客组织“隐秘山猫”关系暧昧

隐秘山猫（Hidden Lynx）是一个专业的黑客组织，具有超强的攻击能力。他们曾攻陷了美国安全公司Bit9的数字证书签名系统，使他们的间谍程序变得合法。攻击Bit9只是他们在过去的四年时间里所进行的众多动作之一。

在分析中我们发现BlackVine与隐秘山猫使用了相同的0-day漏洞利用程序，这是因为他们两者共用一套0-day攻击框架——Elderwood平台。我们第一次发现这个平台是在2012年，这个平台会持续的更新最新0-day利用程序。2014年，我们发现多个攻击组织也在使用它，并且这些攻击组织与中国有关。

另一些调查报告则显示，BlackVine与中国北京的安全公司天融信（Topsec）有关。

总结

BlackVine是一个强大、实力雄厚的网络间谍组织，并且其间谍活动还在继续。希望各行业能正视该间谍组织的危害，部署更为严谨的防护措施。