俄羅斯黑客組織APT29新動向：使用新型惡意軟體攻擊美國實體

在11月16日，印度安全公司Cybaze的研究人員發現了一種歸屬於俄羅斯黑客組織APT29的新型惡意軟體，它似乎與最近針對許多美國重要實體的攻擊有關，這包括軍事機構、執法部門、國防承包商、媒體公司和製藥公司。

與此同時，美國國務院在發表的一份宣告中也寫道：“美國網路安全公司FireEye在最近報道了一起惡意網路攻擊事件，涉及冒充國務院工作人員的欺詐行為。另外，沒有任何國務院的網路系統因這起惡意網路攻擊而受到損害。”

許多專家和媒體都將此次攻擊歸因於俄羅斯APT組織。

攻擊者冒充美國國務院官員實施魚叉式網路釣魚攻擊，企圖入侵目標。從攻擊的手法上來看，似乎與俄羅斯黑客組織APT29（又名“The Dukes”、“Cozy Bear”和“Cozy Duke”）存在關聯。

APT29和APT28網路間諜組織曾被指參與了針對美國民主黨全國委員會（Democratic National Committee，DNC）的黑客攻擊，以及針對2016年美國總統選舉的攻擊活動。

目前，已經有許多獨立安全研究人員也通過Twitter釋出了有關APT29新活動的訊息，並且正在積極地對這起攻擊進行分析。

在攻擊中，攻擊者通過包含一個zip檔案作為附件的魚叉式網路釣魚訊息傳播惡意軟體。這個檔案僅僅包含一個連結（.lnk）檔案，但卻具有令人難以置信的功能。

當受害者雙擊連結檔案時，它會啟動不同的惡意行為：

1.它執行一個Powershell命令，並使用該命令從.lnk檔案的隱藏部分中提取另一個Powershell指令碼。這個payload包含在0x0005E2BE到0x0000623B6之間。

2.第二個指令碼會建立兩個新檔案：一個合法的pdf文件（ds7002.pdf）和一個dll檔案（cyzfc.dat），可能包含真正的payload。

如果受感染計算機安裝了PDF閱讀器，則會自動從惡意軟體開啟寫入“%APPDATA%\Local\Temp”的PDF文件。這個行為似乎是一種誤導性嘗試，目的是在惡意軟體執行其他一些惡意行為時擾亂使用者的視線。

3.DLL被寫入“%APPDATA%\Local”，並通過第二個Powershell命令啟動。它試圖聯絡地址“pandorasong.com”並使用HTTPS協議與此站點進行互動。C2C目前處於關閉狀態，因此惡意軟體無法繼續執行其惡意行為。幸運的是，Cybaze的研究人員截獲了對C2C的請求，如下圖所示：

在Cybaze的研究人員進行分析時，尚不清楚惡意軟體的真正目的，因為C2C已關閉。此外，它似乎沒有實現任何技術來獲得受感染系統的永續性。

Cybaze的研究人員表示，他們將在在未來幾周內釋出有關惡意DLL的詳細技術分析。

宣告：本文來自黑客視界，版權歸作者所有。文章內容僅代表作者獨立觀點，不代表安全內參立場，轉載目的在於傳遞更多資訊。如需轉載，請聯絡原作者獲取授權。