黑基Web安全攻防班
安基网 首页 资讯 安全报 查看内容

APT28干回“老本行”,针对多个国家的军事、政府进行情报收集

2018-10-9 10:42| 投稿: lofor |来自: 互联网

摘要: 赛门铁克安全响应团队在上周发表的一篇博文中指出,因涉嫌参与干预2016年美国总统大选而名声大噪的黑客组织APT28似乎已经将其攻击活动重心重新转移到了网络间谍活动。根据美国国土安全部(DHS)和联邦调查局(FBI) ...

赛门铁克安全响应团队在上周发表的一篇博文中指出,因涉嫌参与干预2016年美国总统大选而名声大噪的黑客组织APT28似乎已经将其攻击活动重心重新转移到了网络间谍活动。

根据美国国土安全部(DHS)和联邦调查局(FBI)的说法,APT28组织与俄罗斯政府存在关联。该组织在2017年至2018年期间重新回到了他们的情报收集行动,目标是欧洲和南美的军事、政府组织。

APT28的历史罪行

APT28,也被称为Fancy Bear、Pawn Storm、Sofacy Group、Sednit和STRONTIUM,至少自2007年起就已经开始专注于从全球多个国家的政府、军队和安全机构窃取有利于俄罗斯政府的内幕消息。如上所述,APT28也被怀疑是一个得到国家政府支持的黑客组织,据说是俄罗斯军事情报机构GRU(General Staff Main Intelligence Directorate)的一个下属部门。

该组织曾被指从2016年春天开始向包括美国民主党全国委员会(DNC)成员在内的政治目标发送了鱼叉式网络钓鱼电子邮件,旨在诱使收件人通过一个虚假页面更改他们的电子邮箱登录密码。很显然,APT28的目的是窃取这些目标人物的密码,然后安装恶意软件以及窃取信息。

在同一年,该组织还公开承认入侵了世界反兴奋剂机构(WADA),并在一个名为“Fancy Bears”网站上公布了众多国际运动员的私人医疗记录。类似的攻击事件发生在2017年4月,国际田联协会( IAAF )表示,APT28入侵了其服务器并窃取了大量运动员私人医疗记录。

同样是在2017年,APT28还被指试图干预法国总统大选——针对法国大选首轮胜出者马克龙发动攻击。钓鱼电子邮件的附件文档中包含了两个0day漏洞的利用代码:一个是Word远程代码执行漏洞(CVE-2017-0262),另外一个是Windows中的本地权限升级漏洞 (CVE-2017-0263),该组织的目的是试图利用这两个漏洞来下载其常用的侦察工具Seduploader。

重回情报收集行动

在2016年获得了前所未有的关注之后,APT28在2017年和2018年仍在继续其网络攻击活动。不过,自2017年初以来,该组织的活动开始变得十分隐秘,这似乎主要因为他们重新回到了情报收集行动的原因。

根据赛门铁克的说法,APT28在2017年至2018年期间的目标组织包括:

  • 一个知名的国际组织
  • 欧洲的军事组织
  • 欧洲的政府组织
  • 南美国家的政府组织
  • 位于东欧国家的大使馆

正在开发的工具

APT28使用了许多工具来攻击其目标,其中最常用的恶意软件是Sofacy,它包含两个主要的组件:Trojan.Sofacy(也被称为Seduploader),用于在受感染计算机上执行最基本的侦察任务,且可以下载其他的恶意软件;Backdoor.SofacyX(也被称为X-Agent),是第二阶段的恶意软件,能够从受感染计算机上窃取信息。此外,这里还有一个Mac版本的木马(OSX.Sofacy)。

在过去两年里,APT28一直在持续开发新的工具。例如,Trojan.Shunnael(又名X-Tunnel),它能够通过加密的隧道来保持对受感染网络的访问。

除此之外,正如世界知名电脑安全软件公司ESET所报道的那样,APT28还开始了对一种名为“Lojax”的UEFI(统一可扩展固件接口)rootkit的使用,目标是巴尔干以及欧洲中东部的多个政府组织。由于这个rootkit驻留在计算机的SPI闪存中,因此即使重装系统、更换硬盘也无法清除它。

持续存在的威胁

很明显,APT28不仅没有因为被指参与干预2016年美国总统大选所引起的公众关注而吓倒,而且仍在开发新的工具以及使用旧的工具发动更多的袭击。

在2016年之后,该组织似乎再次重新回到了他们的“老本行”,对一系列目标展开了情报收集行动。这些正在进行的活动以及不断完善的黑客工具都表明,该组织可能会继续对国家目标构成重大威胁。

 

本文由 黑客视界 综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。


小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.hackeye.net/threatintelligence/16613.aspx

免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

最新

返回顶部