【国际资讯】当APT组织碰到另一个APT组织,他们在聊些什么?

栏目: 编程语言 · 发布时间: 6年前

内容简介:投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿
2017-08-09 17:24:12 阅读:130次 来源: threatpost.com
【国际资讯】当APT组织碰到另一个APT组织,他们在聊些什么?
作者:360代码卫士

【国际资讯】当APT组织碰到另一个APT组织,他们在聊些什么?

翻译: 360代码卫士

投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿

注:本文以对话形式还原报道内容以期减少读者用眼负担,顺带希望增加一点趣味性。

背景介绍:Sofacy和Turla(均为APT组织)都在莫斯科郊外跑步。两人不期而遇。

Turla: Sofacy!好久不见啊,最近还有空出来跑步啊?来来来,抽根烟聊聊。最近你的新闻不少啊。

Sofacy边点烟边说道:别提了,最近忙坏了。不过身体是革命的本钱啊,要好好锻炼身体,我的愿望是再跟友军斗争50年。

Turla: 哈哈,有志气。第二季度有啥新动作?

Sofacy:研究了下绕过检测的新方法、编造了新的payload释放、找0day漏洞和后门感染用户、继续待在机器上。

Turla: 看来你很上进。对了,我听说四月份你用了两种新的宏技术。一种技术利用的是Windows的certutil工具提取payload。另外一种技术把payload内嵌到恶意Office文档的EXIF元数据里了。

Sofacy:说起来这技术让卡巴斯基实验室研究员大开眼界啊,哈哈,他们第一次见我用这技术。

Turla: 他们说其实你早在2016年12月份就开始用这俩技术了。在法国大选前夕你用这两种技术攻击法国政党成员。6月份那帮人看到你更新了一个用Delphi编写的payload,Zebrocy。Zebrocy的5.1版本还实现了新的加密密钥以及一些字符串混淆,更容易地绕过检测功能。这些都是真的吗?还有那帮人在2016年中就觉得你跟Zebrocy扯不清了。说你们在基础设施方面存在某些联系。他们还发现了也是用Delphi编写的另外一个payload,Delphocy。2015年末,他们从你那看到Delphi,之前他们都没见过。他们推测你雇佣了一个啥都不用只用Delphi编写程序的程序员。就在这段时间他们还发现了另外一个感染也跟Delphi共享某些代码,就把你扯进来了。这些都是真的吗?

Sofacy:真亦假时假亦真,假亦真时真亦假。

Turla: 高深!

Sofacy:你这消息还挺灵通啊。我就混口饭吃,没想到给别人带来的麻烦挺多啊。就说你吧,人家卡巴斯基实验室研究员说了,咱俩之间也有说不清道不明的关系。

Turla: 哈哈。可不是嘛,他们说咱都跟俄罗斯有关联,就像今天跑个步还能碰到。(情不自禁地唱起来)深夜花园里四处静悄悄/只有风儿在轻轻唱/夜色多么好心儿多爽朗/在这迷人的晚上/长夜快过去天色蒙蒙亮/衷心祝福你好姑娘/但愿从今后你我永不忘/莫斯科郊外的晚上……

Sofacy:(跟唱)在这莫斯科郊外的晚上。哈哈。话说回来,他们说在我活动期间,你搞了一个EPS 0day (CVE-2017-0261) 攻击外国外交部等部门和政府啊。你这段位高。他们还说咱俩共享供应链呢。

Turla: 哈哈,见笑见笑。还供应链呢,咋不弄个区块链赶赶时髦呢?

Sofacy:老兄真逗。

Turla: 老兄你是白道黑道都有一条道啊。不聊咱了。由它去吧。八卦下别人。

Sofacy:我最爱听八卦了。那帮研究员又有啥新发现?

Turla: 他们还讨论了一个讲中东地区语言的组织BlackOasis。他们说BlackOasis是专门从事监控和监视设备如FinFisher的英国公司Gamma集团的客户。据说这个叫Brian Bartholomew的研究员研究了一年半了。他们说BlackOasis过去用了不少0day漏洞,比如CVE-2016-4117、CVE-2016-0984和CVE-2015-5119。他们还说BlackOasis是第一个用OLE2Link 0day漏洞CVE-2017-0199的,他的末端payload是FinSpy的新变体,专门阻止研究人员分析的。

Sofacy:看来研究人员们还真有两把刷子啊。他们说没说EQUATIONVECTOR后门?

Turla: 就“别人肚子里的蛔虫”这一点,我特服你。啥都让你说中了。他们聊了这个属于NOBUS(只针对美国的后门)的后门,它能执行shellcode payload。他们还聊了Lamberts APT组织的扩展Gray Lambert。它更先进,能等待、睡眠并嗅探网络,一直到使用的时候还是如此。他们说功能可强大了,能对多台受感染机器进行精准打击。把它安装到设备上,咱就能判断出怎么给payload、命令和攻击分配空间。

Sofacy:不错啊,这个有意思。还有没有别的了?没预测个趋势啥的?他们这帮人最爱找规律了。你说咱要是按套路出牌不早就死翘翘了?

Turla: 可不是嘛,谁知道他们呢,预测倒是说了两嘴。他们说了,之后咱们还会用这些战术、技术和程序 (TTP)。比如咱可能会扰乱各国大选啊什么的,还拿你举例子说散布虚假消息。以后使用有争议的合法监控 工具 的人就越来越多了。

Sofacy:他们没说说勒索软件的事儿?

Turla: 说了,说可能还会发生勒索事件,不过他们也摸不透咱会不会一定使用。

Sofacy:这话靠谱。

Turla: 他们说破坏攻击和wiper攻击发生的频率比较低。要出现的话也应该不是脚本小子们能承受的,说咱们APT组织可能会用来制造大新闻。不过他们说咱要是用的话,也跟攻击索尼影视的那帮人手法差不多。他们说咱不地道,刚开始跟人勒索钱,结果交不交钱都会泄露数据。估计他们很无语啊。

Sofacy:哈哈,谁让APT组织水很深不知深几许呢?他明我暗,打几个回合下来他们也不见得能辨认出谁是谁来。由他们去吧。

Turla: 好嘞。不过话说回来还是要当心啊,这世道乱的,得做好打长期战的准备。

于是,Sofacy和Turla互道珍重,就此别过。

【国际资讯】当APT组织碰到另一个APT组织,他们在聊些什么? 【国际资讯】当APT组织碰到另一个APT组织,他们在聊些什么?

本文由 安全客 翻译,转载请注明“转自安全客”,并附上链接。

原文链接:https://threatpost.com/updates-to-sofacy-turla-highlight-2017-q2-apt-activity/127297/

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

神经网络与机器学习(原书第3版)

神经网络与机器学习(原书第3版)

[加] Simon Haykin / 申富饶、徐烨、郑俊、晁静 / 机械工业出版社 / 2011-3 / 79.00元

神经网络是计算智能和机器学习的重要分支,在诸多领域都取得了很大的成功。在众多神经网络著作中,影响最为广泛的是Simon Haykin的《神经网络原理》(第3版更名为《神经网络与机器学习》)。在本书中,作者结合近年来神经网络和机器学习的最新进展,从理论和实际应用出发,全面、系统地介绍了神经网络的基本模型、方法和技术,并将神经网络和机器学习有机地结合在一起。 本书不但注重对数学分析方法和理论的探......一起来看看 《神经网络与机器学习(原书第3版)》 这本书的介绍吧!

JSON 在线解析
JSON 在线解析

在线 JSON 格式化工具

URL 编码/解码
URL 编码/解码

URL 编码/解码

XML 在线格式化
XML 在线格式化

在线 XML 格式化压缩工具