俄罗斯黑客组织APT29新动向:使用新型恶意软件攻击美国实体

栏目: 编程工具 · 发布时间: 5年前

俄罗斯黑客组织APT29新动向:使用新型恶意软件攻击美国实体

在11月16日,印度安全公司Cybaze的研究人员发现了一种归属于俄罗斯黑客组织APT29的新型恶意软件,它似乎与最近针对许多美国重要实体的攻击有关,这包括军事机构、执法部门、国防承包商、媒体公司和制药公司。

与此同时,美国国务院在发表的一份声明中也写道:“美国网络安全公司FireEye在最近报道了一起恶意网络攻击事件,涉及冒充国务院工作人员的欺诈行为。另外,没有任何国务院的网络系统因这起恶意网络攻击而受到损害。”

许多专家和媒体都将此次攻击归因于俄罗斯APT组织。

攻击者冒充美国国务院官员实施鱼叉式网络钓鱼攻击,企图入侵目标。从攻击的手法上来看,似乎与俄罗斯黑客组织APT29(又名“The Dukes”、“Cozy Bear”和“Cozy Duke”)存在关联。

APT29和APT28网络间谍组织曾被指参与了针对美国民主党全国委员会(Democratic National Committee,DNC)的黑客攻击,以及针对2016年美国总统选举的攻击活动。

目前,已经有许多独立安全研究人员也通过Twitter发布了有关APT29新活动的消息,并且正在积极地对这起攻击进行分析。

俄罗斯黑客组织APT29新动向:使用新型恶意软件攻击美国实体

俄罗斯黑客组织APT29新动向:使用新型恶意软件攻击美国实体

在攻击中,攻击者通过包含一个zip文件作为附件的鱼叉式网络钓鱼消息传播恶意软件。这个文件仅仅包含一个链接(.lnk)文件,但却具有令人难以置信的功能。

当受害者双击链接文件时,它会启动不同的恶意行为:

1.它运行一个Powershell命令,并使用该命令从.lnk文件的隐藏部分中提取另一个Powershell脚本。这个payload包含在0x0005E2BE到0x0000623B6之间。

俄罗斯黑客组织APT29新动向:使用新型恶意软件攻击美国实体

2.第二个脚本会创建两个新文件:一个合法的pdf文档(ds7002.pdf)和一个dll文件(cyzfc.dat),可能包含真正的payload。

如果受感染计算机安装了PDF阅读器,则会自动从恶意软件打开写入“%APPDATA%\Local\Temp”的PDF文档。这个行为似乎是一种误导性尝试,目的是在恶意软件执行其他一些恶意行为时扰乱用户的视线。

俄罗斯黑客组织APT29新动向:使用新型恶意软件攻击美国实体

3.DLL被写入“%APPDATA%\Local”,并通过第二个Powershell命令启动。它试图联系地址“pandorasong.com”并使用HTTPS协议与此站点进行交互。C2C目前处于关闭状态,因此恶意软件无法继续执行其恶意行为。幸运的是,Cybaze的研究人员截获了对C2C的请求,如下图所示:

俄罗斯黑客组织APT29新动向:使用新型恶意软件攻击美国实体

在Cybaze的研究人员进行分析时,尚不清楚恶意软件的真正目的,因为C2C已关闭。此外,它似乎没有实现任何技术来获得受感染系统的持久性。

Cybaze的研究人员表示,他们将在在未来几周内发布有关恶意DLL的详细技术分析。

声明:本文来自黑客视界,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

C语言常用算法分析

C语言常用算法分析

明日科技 / 2012-1 / 39.80元

《C语言学习路线图•C语言常用算法分析》共分为4篇,第1篇为算法基础篇,包括程序之魂——算法、数据结构基础、查找与排序算法、基本算法思想等内容;第2篇为常用算法篇,包括数学算法、矩阵与数组问题、经典算法等内容;第3篇为趣味算法篇,包括数学趣题、逻辑推理题等内容;第4篇为算法竞技篇,包括计算机等级考试算法实例、程序员考试算法实例、信息学奥赛算法实例等内容。 《C语言学习路线图•C语言常用算法分......一起来看看 《C语言常用算法分析》 这本书的介绍吧!

MD5 加密
MD5 加密

MD5 加密工具

html转js在线工具
html转js在线工具

html转js在线工具

RGB CMYK 转换工具
RGB CMYK 转换工具

RGB CMYK 互转工具