5月9號上午8點，在某大型企業部署的APT防御設備捕捉到了利用金融作為主題，以美國花旗銀行的郵件賬戶源的攻擊郵件，附帶DOC的攻擊文檔，并且在該企業內網郵件大量傳播。同時我們發現該攻擊主要攻擊從事金融方面或者相關的企業。

該攻擊穿透大部分傳統的網絡安全防護產品，請各大企事業單位關注這波攻擊，避免重要資產流失。

APT防御設備捕捉圖：

Email原文以美國花旗銀行的賬戶為源，并欺騙附件是花旗銀行的支付電子商戶聲明

被攻擊者打開后將會觸發CVE2012-0158漏洞，并打開迷惑性的DOC文檔

迷惑性DOC

漏洞觸發shellcode執行后，在臨時目錄釋放paw.EXE 并執行

該exe執行后先復制自身至C:\Documents and Settings\xxx\Application Data 隨機生成的目錄下，通過不同的啟動標志執行相應操作

第一次執行復制自身后，便釋放tmp53865f51.bat 刪除自身及文件

bat
@echo off
:d
del "C:\Documents and Settings\xxx\桌面\paw.exe"
if exist "C:\Documents and Settings\xxx\桌面\paw.exe" goto d
del /F "C:\DOCUME~1\torpedo\LOCALS~1\Temp\tmp53865f51.bat"

第二次執行主要枚舉進程，找到符合條件的進程，注入到系統explorer進程 大小0×48000

注入代碼主要功能：枚舉系統進程、查找文件、獲取計算機信息、系統環境等信息通過加密的方式發送到遠處服務器上，同時代碼執行過程中有大量的反調試器跟蹤。

該攻擊樣本存在大量的網絡連接服務器節點，分布在不同國家，其中有美國，俄羅斯，荷蘭等，采用了類似P2P Variant of Zeusbot/Spyeye協議。

來自http://www.symantec.com/connect/blogs/cracking-new-p2p-variant-zeusbotspyeye

連接數據包