内容简介:投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿
翻译: 360代码卫士
投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿
注:本文以对话形式还原报道内容以期减少读者用眼负担,顺带希望增加一点趣味性。
背景介绍:Sofacy和Turla(均为APT组织)都在莫斯科郊外跑步。两人不期而遇。
Turla: Sofacy!好久不见啊,最近还有空出来跑步啊?来来来,抽根烟聊聊。最近你的新闻不少啊。
Sofacy边点烟边说道:别提了,最近忙坏了。不过身体是革命的本钱啊,要好好锻炼身体,我的愿望是再跟友军斗争50年。
Turla: 哈哈,有志气。第二季度有啥新动作?
Sofacy:研究了下绕过检测的新方法、编造了新的payload释放、找0day漏洞和后门感染用户、继续待在机器上。
Turla: 看来你很上进。对了,我听说四月份你用了两种新的宏技术。一种技术利用的是Windows的certutil工具提取payload。另外一种技术把payload内嵌到恶意Office文档的EXIF元数据里了。
Sofacy:说起来这技术让卡巴斯基实验室研究员大开眼界啊,哈哈,他们第一次见我用这技术。
Turla: 他们说其实你早在2016年12月份就开始用这俩技术了。在法国大选前夕你用这两种技术攻击法国政党成员。6月份那帮人看到你更新了一个用Delphi编写的payload,Zebrocy。Zebrocy的5.1版本还实现了新的加密密钥以及一些字符串混淆,更容易地绕过检测功能。这些都是真的吗?还有那帮人在2016年中就觉得你跟Zebrocy扯不清了。说你们在基础设施方面存在某些联系。他们还发现了也是用Delphi编写的另外一个payload,Delphocy。2015年末,他们从你那看到Delphi,之前他们都没见过。他们推测你雇佣了一个啥都不用只用Delphi编写程序的程序员。就在这段时间他们还发现了另外一个感染也跟Delphi共享某些代码,就把你扯进来了。这些都是真的吗?
Sofacy:真亦假时假亦真,假亦真时真亦假。
Turla: 高深!
Sofacy:你这消息还挺灵通啊。我就混口饭吃,没想到给别人带来的麻烦挺多啊。就说你吧,人家卡巴斯基实验室研究员说了,咱俩之间也有说不清道不明的关系。
Turla: 哈哈。可不是嘛,他们说咱都跟俄罗斯有关联,就像今天跑个步还能碰到。(情不自禁地唱起来)深夜花园里四处静悄悄/只有风儿在轻轻唱/夜色多么好心儿多爽朗/在这迷人的晚上/长夜快过去天色蒙蒙亮/衷心祝福你好姑娘/但愿从今后你我永不忘/莫斯科郊外的晚上……
Sofacy:(跟唱)在这莫斯科郊外的晚上。哈哈。话说回来,他们说在我活动期间,你搞了一个EPS 0day (CVE-2017-0261) 攻击外国外交部等部门和政府啊。你这段位高。他们还说咱俩共享供应链呢。
Turla: 哈哈,见笑见笑。还供应链呢,咋不弄个区块链赶赶时髦呢?
Sofacy:老兄真逗。
Turla: 老兄你是白道黑道都有一条道啊。不聊咱了。由它去吧。八卦下别人。
Sofacy:我最爱听八卦了。那帮研究员又有啥新发现?
Turla: 他们还讨论了一个讲中东地区语言的组织BlackOasis。他们说BlackOasis是专门从事监控和监视设备如FinFisher的英国公司Gamma集团的客户。据说这个叫Brian Bartholomew的研究员研究了一年半了。他们说BlackOasis过去用了不少0day漏洞,比如CVE-2016-4117、CVE-2016-0984和CVE-2015-5119。他们还说BlackOasis是第一个用OLE2Link 0day漏洞CVE-2017-0199的,他的末端payload是FinSpy的新变体,专门阻止研究人员分析的。
Sofacy:看来研究人员们还真有两把刷子啊。他们说没说EQUATIONVECTOR后门?
Turla: 就“别人肚子里的蛔虫”这一点,我特服你。啥都让你说中了。他们聊了这个属于NOBUS(只针对美国的后门)的后门,它能执行shellcode payload。他们还聊了Lamberts APT组织的扩展Gray Lambert。它更先进,能等待、睡眠并嗅探网络,一直到使用的时候还是如此。他们说功能可强大了,能对多台受感染机器进行精准打击。把它安装到设备上,咱就能判断出怎么给payload、命令和攻击分配空间。
Sofacy:不错啊,这个有意思。还有没有别的了?没预测个趋势啥的?他们这帮人最爱找规律了。你说咱要是按套路出牌不早就死翘翘了?
Turla: 可不是嘛,谁知道他们呢,预测倒是说了两嘴。他们说了,之后咱们还会用这些战术、技术和程序 (TTP)。比如咱可能会扰乱各国大选啊什么的,还拿你举例子说散布虚假消息。以后使用有争议的合法监控 工具 的人就越来越多了。
Sofacy:他们没说说勒索软件的事儿?
Turla: 说了,说可能还会发生勒索事件,不过他们也摸不透咱会不会一定使用。
Sofacy:这话靠谱。
Turla: 他们说破坏攻击和wiper攻击发生的频率比较低。要出现的话也应该不是脚本小子们能承受的,说咱们APT组织可能会用来制造大新闻。不过他们说咱要是用的话,也跟攻击索尼影视的那帮人手法差不多。他们说咱不地道,刚开始跟人勒索钱,结果交不交钱都会泄露数据。估计他们很无语啊。
Sofacy:哈哈,谁让APT组织水很深不知深几许呢?他明我暗,打几个回合下来他们也不见得能辨认出谁是谁来。由他们去吧。
Turla: 好嘞。不过话说回来还是要当心啊,这世道乱的,得做好打长期战的准备。
于是,Sofacy和Turla互道珍重,就此别过。
本文由 安全客 翻译,转载请注明“转自安全客”,并附上链接。
原文链接:https://threatpost.com/updates-to-sofacy-turla-highlight-2017-q2-apt-activity/127297/以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
猜你喜欢:- 当 Structured Streaming 碰到 Kafka
- 「学习笔记」无法远程访问 MySQL 碰到的坑
- Junit单元测试碰到静态变量如何处理
- IT 职场新人碰到的几个常见误区
- React小知识(3) - 国际化中碰到的问题
- 无依赖开发中的碰到的问题——封装DOM操作
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
深入理解 Flask
[美]Jack Stouffer / 苏丹 / 电子工业出版社 / 2016-7-1 / 79.00
Flask 是一种具有平缓学习曲线和庞大社区支持的微框架,利用它可以构建大规模的web应用。学习上手Flask非常轻松,但要深入理解却并不容易。 本书从一个简单的Flask应用开始,通过解决若干实战中的问题,对一系列进阶的话题进行了探讨。书中使用MVC(模型-视图-控制器)架构对示例应用进行了转化重构,以演示如何正确地组织应用代码结构。有了可扩展性强的应用结构之后,接下来的章节使用Flask......一起来看看 《深入理解 Flask》 这本书的介绍吧!