俄羅斯黑客組織APT29新動向:使用新型惡意軟體攻擊美國實體
在11月16日,印度安全公司Cybaze的研究人員發現了一種歸屬於俄羅斯黑客組織APT29的新型惡意軟體,它似乎與最近針對許多美國重要實體的攻擊有關,這包括軍事機構、執法部門、國防承包商、媒體公司和製藥公司。
與此同時,美國國務院在發表的一份宣告中也寫道:“美國網路安全公司FireEye在最近報道了一起惡意網路攻擊事件,涉及冒充國務院工作人員的欺詐行為。另外,沒有任何國務院的網路系統因這起惡意網路攻擊而受到損害。”
許多專家和媒體都將此次攻擊歸因於俄羅斯APT組織。
攻擊者冒充美國國務院官員實施魚叉式網路釣魚攻擊,企圖入侵目標。從攻擊的手法上來看,似乎與俄羅斯黑客組織APT29(又名“The Dukes”、“Cozy Bear”和“Cozy Duke”)存在關聯。
APT29和APT28網路間諜組織曾被指參與了針對美國民主黨全國委員會(Democratic National Committee,DNC)的黑客攻擊,以及針對2016年美國總統選舉的攻擊活動。
目前,已經有許多獨立安全研究人員也通過Twitter釋出了有關APT29新活動的訊息,並且正在積極地對這起攻擊進行分析。
在攻擊中,攻擊者通過包含一個zip檔案作為附件的魚叉式網路釣魚訊息傳播惡意軟體。這個檔案僅僅包含一個連結(.lnk)檔案,但卻具有令人難以置信的功能。
當受害者雙擊連結檔案時,它會啟動不同的惡意行為:
1.它執行一個Powershell命令,並使用該命令從.lnk檔案的隱藏部分中提取另一個Powershell指令碼。這個payload包含在0x0005E2BE到0x0000623B6之間。
2.第二個指令碼會建立兩個新檔案:一個合法的pdf文件(ds7002.pdf)和一個dll檔案(cyzfc.dat),可能包含真正的payload。
如果受感染計算機安裝了PDF閱讀器,則會自動從惡意軟體開啟寫入“%APPDATA%\Local\Temp”的PDF文件。這個行為似乎是一種誤導性嘗試,目的是在惡意軟體執行其他一些惡意行為時擾亂使用者的視線。
3.DLL被寫入“%APPDATA%\Local”,並通過第二個Powershell命令啟動。它試圖聯絡地址“pandorasong.com”並使用HTTPS協議與此站點進行互動。C2C目前處於關閉狀態,因此惡意軟體無法繼續執行其惡意行為。幸運的是,Cybaze的研究人員截獲了對C2C的請求,如下圖所示:
在Cybaze的研究人員進行分析時,尚不清楚惡意軟體的真正目的,因為C2C已關閉。此外,它似乎沒有實現任何技術來獲得受感染系統的永續性。
Cybaze的研究人員表示,他們將在在未來幾周內釋出有關惡意DLL的詳細技術分析。
宣告:本文來自黑客視界,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表安全內參立場,轉載目的在於傳遞更多資訊。如需轉載,請聯絡原作者獲取授權。