**Black Hat 2015报道 **

戴尔公司的研究人员在Black Hat上披露，一个名为“熊猫使者”的黑客小组仅用六个小时完成入侵。

这个团队的代号为TG-3390，主要攻击国防和航天项目。他们技术高超，能够在六个小时内入侵多层系统，获取域名凭据和访问环境的权限。这个小组的攻击手段中包括水坑攻击，它经常入侵那些目标公司员工会访问的网站，以获得踏入目标网络的跳板。

目前，熊猫使者已经入侵了大约100家网站。每个水坑中都被注入了一个白名单，以保证只有来自目标组织的员工才会受到攻击，这有助于保证攻击处于低姿态。

戴尔的反威胁部门表示，熊猫使者会使用小规模数据泄露和Microsoft Exchange后门，值得关注。

团队广泛、长期地使用水坑攻击，并依赖白名单来保证攻击的定向性。

初步入侵后，TG-3390会向受害者注入HttpBrowser后门，然后快速入侵Microsoft Exchange服务器，并获得目标环境的完全控制权。

“这些黑客善于识别关键的数据存储设备，并有选择性地窃取与其目标相关的高价值信息。”

 六个小时完成入侵

研究人员表示，目标组织失窃的信息与国防项目直接相关。这个小组没有展开大规模攻击，这引起了关于其动机的争论。

“CTU研究人员发现，失窃信息主要来自于特定的美国国防项目。其入侵动机可能是窃取军事生产机密，或者窃取美国军队规模数据，或者两方面都有。”

戴尔并没有表示这是一个雇佣兵式的黑客团队。

戴尔还表示，其它受害还组织包括中东、欧洲、亚洲国家设立在华盛顿的大使馆，以及其它政府/非政府机构。这个团队会利用未打补丁的漏洞，其中最常用的是Java漏洞（CVE-2011-3544, CVE-2010-0738）。他们也会使用DLL Side Loading技术。

熊猫使者和专门制造黑客工具的组织存在紧密联系，精通于隐藏恶意软件、进行静默侦查。他们并不热衷于在目标组织中建立一个长期的观察点。

“他们的最终目的是窃取数据，而不是潜入渗透。在CTU研究者们得到的一个案例中，TG-3390的黑客们在得到目标网络的访问权限后，会识别并且窃取目标组织中特定项目的信息。”

5个小时访问

基于以下原因，戴尔怀疑该小组起源于中国：

当地工作时间、使用带有汉语的工具。但这可能是攻击者精心设置的误导。

黑客们使用的工具包括自定义的工具OwaAuth Web Shell和ASPXTool，以及流行的犯罪黑客工具PlugX、HttpBrowser、ChinaChopper。