近日，360追日团队发布了蔓灵花攻击行动（简报），披露又一个针对中国政府能源的海外黑客攻击，受影响单位主要是涉及政府、电力和工业相关单位，该组织至今依然处于活跃状态。网络空间的争夺成为了大国博弈的焦点，随着APT对抗强度的增加，跨平台的攻击将会成为主流，而不再聚焦在单一的Windows平台,包括移动设备、智能硬件、工业控制系统、智能汽车等多种平台都会成为攻击者的目标或跳板。

蔓灵花组织经常使用鱼叉邮件攻击的手法，邮件中包含word漏洞的文档诱导用户点击,使用的漏洞是Office经典漏洞CVE-2012-0158.

低版本的word打开攻击文档后，漏洞文档中的Shellcode被执行，调用URLDownloadToFileA函数从指定的网站中下载木马程序并使用CMD重命名后执行，实现了远程控制工具的下载安装。

除了基本的漏洞文档，还有伪装成图片文件的exe,诱导用户进行点击，exe执行后释放图片并下载安装RAT程序。

Windows端后门程序目前发现的有三大类，第一类是Downloader程序，当用户触发漏洞文档时，最先从网站上下载Downloader并且执行；第二类是后门程序FileStolen，功能较简单，意在窃取文件；第三类是具有完整功能的RAT，其有各种功能，体积较大,其中有的RAT远程控制样本带有不受信任的数字签名，有的尝试伪装成Microsoft Printer Spooling Service

Android端软件会冒充正常应用，启动后上传用户信息，如固件信息，Sim卡信息，位置信息，通讯录，通话记录，短信，Email，并监视用户的操作，可以录音，监控通话，向指定号码拨打电话，打开浏览器等。

360追日团队详细的报告地址:

http://bobao.360.cn/news/detail/3747.html