阅收藏：赛门铁克披露攻击Anthem背后的黑客组织Black Vine

2014年1月26日，美国第二大健康保险公司Anthem的一名系统管理员发现他们的账号被人盗用，被用于访问了内部数据库中的敏感数据。对Anthem的网络攻击被认为是至今健康保险行业最大的一次数据泄露事件，超过8000万投保人的记录遭到窃取。赛门铁克发布了研究报告（PDF），称攻击Anthem的黑客组织是Black Vine，该组织可能与中国IT安全公司天融信（Topsec）有联系。Black Vine至少从2012年开始展开网络间谍行动，采用的方法是利用0day漏洞发动水坑攻击和钓鱼攻击，在受害者电脑植入后门程序窃取数据。Black Vine的主要目标是能源、航空航天和健康保险行业，82%的攻击目标是美国公司。Black Vine使用了一个恶意程序家族的三个变种：Hurix、Sakurel和 Mivast，它们都出自相同的开发者之手——举例来说，Hurix和Sakure使用了相同的变量参数，Hurix的cookie=iztkctcebtgbbyf-2135928347中，cookie是参数， iztkctcebtgbbyf是加密的计算机名，-2135928347是硬盘序列号；Sakurel的imageid=iztkctcebtgbbyf-2135928347中，imageid是参数，iztkctcebtgbbyf是加密的计算机名，-2135928347是硬盘序列。恶意程序使用的C&C服务器被发现与天融信有关：恶意程序样本硬编码了一个域名sharepoint-vaeit.com，该域名使用的IP地址192.199.254.126在同一时间段内被天融信的topsec2014.com所使用。感兴趣的可浏览这篇文章的分析。









via Solidot