今年早些時候，美國第二大醫(yī)療保險服務(wù)商Anthem遭黑客攻擊，近8000萬員工和客戶資料被盜，包括姓名、生日、醫(yī)保ID號、社會保險號、住宅地址、電子郵箱、雇傭情況、以及收入數(shù)據(jù)。

賽門鐵克認(rèn)為入侵Anthem的幕后黑手一定是非常強大的網(wǎng)絡(luò)間諜組織Black Vine(黑色藤蔓)，而且Anthem也只是該間諜組織眾多攻擊目標(biāo)中的其中一個。

賽門鐵克近期發(fā)布的白皮書中介紹，Black Vine間諜組織早在2012年就出現(xiàn)了，它的攻擊目標(biāo)燃?xì)廨啓C制造商、航空航天公司、醫(yī)療保險服務(wù)商等等。該組織慣用的是0day漏洞利用程序和自定義開發(fā)的惡意后門，并認(rèn)為Black Vine與黑客組織“隱秘山貓”以及中國北京的安全公司天融信(Topsec)有關(guān)聯(lián)。

Black Vine背景

Black Vine主要利用以下的0day漏洞，然后以水坑攻擊開始：

微軟IE CDwnBindInfo Use-After-Free遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2012-4792)

微軟IE Use-After-Free遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2014-0322)

Black Vine首先會攻破攻擊目標(biāo)慣用的網(wǎng)站，植入惡意代碼，當(dāng)目標(biāo)再次訪問該網(wǎng)站時就會感染惡意程序。如果0day漏洞應(yīng)用程序成功的感染了受害者電腦，攻擊者會進(jìn)而釋放Black Vine的自定義后門，即可遠(yuǎn)程訪問受害者電腦。除了水坑式攻擊以外，Black Vine還會通過發(fā)送魚叉式釣魚郵件展開攻擊。

Black Vine入侵的行業(yè)列表：

航空航天公司
醫(yī)療保險服務(wù)商
能源業(yè)
軍事國防
金融行業(yè)
農(nóng)業(yè)
科技行業(yè)

受Black Vine影響最大的地區(qū)是美國，其次是中國、加拿大、意大利、丹麥、印度。

惡意程序

通過調(diào)查研究，Black Vine在攻擊活動中主要使用了3種自定義惡意程序：Hurix、 Sakurel 、Mivast。它們能執(zhí)行的操作有：

打開一個后門

執(zhí)行文件和命令

刪除、修改、創(chuàng)建登錄密鑰

搜集被感染電腦上的信息

賽門鐵克的分析發(fā)現(xiàn)，Black Vine是一個實力雄厚的網(wǎng)絡(luò)間諜組織，它會不斷的更新、修改其惡意程序，以躲避追蹤。

與黑客組織“隱秘山貓”共用攻擊平臺

隱秘山貓(Hidden Lynx)是一個專業(yè)的黑客組織，具有超強的攻擊能力。他們曾攻陷了美國安全公司Bit9的數(shù)字證書簽名系統(tǒng)，使他們的間諜程序變得合法。攻擊Bit9只是他們在過去的四年時間里所進(jìn)行的眾多動作之一。點我查看隱秘山貓的詳細(xì)報告

在分析中我們發(fā)現(xiàn)Black Vine與隱秘山貓使用了相同的0day漏洞利用程序，這是因為他們兩者共用一套0day攻擊框架——Elderwood平臺。我們第一次發(fā)現(xiàn)這個平臺是在2012年，這個平臺會持續(xù)的更新最新0day利用程序。2014年，我們發(fā)現(xiàn)多個攻擊組織也在使用它，并且這些攻擊組織與中國有關(guān)。

另一些調(diào)查報告則顯示，Black Vine與中國北京的安全公司天融信(Topsec)有關(guān)。

總結(jié)

Black Vine是一個強大、實力雄厚的網(wǎng)絡(luò)間諜組織，并且其間諜活動還在繼續(xù)。希望各行業(yè)能正視該間諜組織的危害，部署更為嚴(yán)謹(jǐn)?shù)姆雷o(hù)措施。