攻防最前線：APT28近期攻擊中使用新型木馬Cannon簡述

據網路安全公司Palo Alto Networks報道，一個知名的俄羅斯黑客組織在最近針對全球政府實體的攻擊中使用了一種新的木馬，用以作為其攻擊第二階段的有效載荷。

APT28，也被稱為Fancy Bear、Pawn Storm、Sofacy Group、Sednit和STRONTIUM，曾被指策劃了針對2016年美國總統大選的網路攻擊。

近年來，該組織一直關注的是烏克蘭和北約國家。而最近Palo Alto Networks的一份報告指出，有跡象表明，該組織的活動同時也針對了其他一些國家。

在本週二釋出的一份報告中，Palo Alto Networks的安全研究人員透露，該組織最近針對北美、歐洲和前蘇聯國家的政府實體實施了攻擊。

作為攻擊的一部分，該組織利用了最近發生的“印尼獅子航空墜毀事件”製作誘餌文件，不僅交付了已知的Zebrocy木馬，而且還交付了一種名為“Cannon”的新型木馬。

根據研究人員的說法，新的木馬程式包含了一種新穎的基於電子郵件的命令和控制（C&C）通訊渠道。鑑於電子郵件在企業中的使用非常普遍，這很可能是為了降低病毒檢出率。

在一起針對一家處理歐洲外交事務的政府機構的攻擊中，攻擊者通過魚叉式網路釣魚電子郵件傳送了一份惡意Word文件。開啟時，文件將載入包含惡意巨集和有效載荷的遠端模板。

攻擊者對巨集使用了AutoClose函式，這意味著只有在使用者關閉文件時惡意程式碼才會執行。一旦執行，巨集就會安裝有效載荷並向系統上傳檔案。

文件並沒有誘餌內容，而是用於執行有效載荷，這可能是文件作者希望使用的另一種規避技術。有效載荷是Zebrocy木馬的一個變種，它能夠從目標系統收集特定資訊併發送給C&C伺服器。

研究人員分析的另一份誘餌文件則會將把Cannon木馬投放到目標系統上。它是採用C#編寫的，主要用作下載程式，依靠電子郵件與C&C伺服器通訊。該木馬的主要目的是通過幾個電子郵件帳戶竊取系統資料，並最終從電子郵件中獲取有效載荷。

另外，該木馬包含了大量的函式，用以新增永續性、收集系統資訊、捕獲螢幕截圖、登入到主POP3帳戶並獲得二級POP3帳戶、登入到主POP3帳戶路徑下載附件、登入到二級POP3帳戶下載附件，以及轉移附件並使用它建立一個程序。

這些攻擊表明，APT28仍在繼續以歐盟、美國和前蘇聯國家的政府機構為目標，並且不斷開發新的工具。這些攻擊還揭露了遠端模板的使用，這會使得分析變得更加困難，因為這導致分析人員需要通過一個活躍的C＆C來獲取支援巨集的文件。另外，使用電子郵件進行C&C通訊也是一種古老但有效的規避檢測的策略。

宣告：本文來自黑客視界，版權歸作者所有。文章內容僅代表作者獨立觀點，不代表安全內參立場，轉載目的在於傳遞更多資訊。如需轉載，請聯絡原作者獲取授權。