俄罗斯黑客组织APT29新动向:使用新型恶意软件攻击美国实体

栏目: 编程工具 · 发布时间: 6年前

俄罗斯黑客组织APT29新动向:使用新型恶意软件攻击美国实体

在11月16日,印度安全公司Cybaze的研究人员发现了一种归属于俄罗斯黑客组织APT29的新型恶意软件,它似乎与最近针对许多美国重要实体的攻击有关,这包括军事机构、执法部门、国防承包商、媒体公司和制药公司。

与此同时,美国国务院在发表的一份声明中也写道:“美国网络安全公司FireEye在最近报道了一起恶意网络攻击事件,涉及冒充国务院工作人员的欺诈行为。另外,没有任何国务院的网络系统因这起恶意网络攻击而受到损害。”

许多专家和媒体都将此次攻击归因于俄罗斯APT组织。

攻击者冒充美国国务院官员实施鱼叉式网络钓鱼攻击,企图入侵目标。从攻击的手法上来看,似乎与俄罗斯黑客组织APT29(又名“The Dukes”、“Cozy Bear”和“Cozy Duke”)存在关联。

APT29和APT28网络间谍组织曾被指参与了针对美国民主党全国委员会(Democratic National Committee,DNC)的黑客攻击,以及针对2016年美国总统选举的攻击活动。

目前,已经有许多独立安全研究人员也通过Twitter发布了有关APT29新活动的消息,并且正在积极地对这起攻击进行分析。

俄罗斯黑客组织APT29新动向:使用新型恶意软件攻击美国实体

俄罗斯黑客组织APT29新动向:使用新型恶意软件攻击美国实体

在攻击中,攻击者通过包含一个zip文件作为附件的鱼叉式网络钓鱼消息传播恶意软件。这个文件仅仅包含一个链接(.lnk)文件,但却具有令人难以置信的功能。

当受害者双击链接文件时,它会启动不同的恶意行为:

1.它运行一个Powershell命令,并使用该命令从.lnk文件的隐藏部分中提取另一个Powershell脚本。这个payload包含在0x0005E2BE到0x0000623B6之间。

俄罗斯黑客组织APT29新动向:使用新型恶意软件攻击美国实体

2.第二个脚本会创建两个新文件:一个合法的pdf文档(ds7002.pdf)和一个dll文件(cyzfc.dat),可能包含真正的payload。

如果受感染计算机安装了PDF阅读器,则会自动从恶意软件打开写入“%APPDATA%\Local\Temp”的PDF文档。这个行为似乎是一种误导性尝试,目的是在恶意软件执行其他一些恶意行为时扰乱用户的视线。

俄罗斯黑客组织APT29新动向:使用新型恶意软件攻击美国实体

3.DLL被写入“%APPDATA%\Local”,并通过第二个Powershell命令启动。它试图联系地址“pandorasong.com”并使用HTTPS协议与此站点进行交互。C2C目前处于关闭状态,因此恶意软件无法继续执行其恶意行为。幸运的是,Cybaze的研究人员截获了对C2C的请求,如下图所示:

俄罗斯黑客组织APT29新动向:使用新型恶意软件攻击美国实体

在Cybaze的研究人员进行分析时,尚不清楚恶意软件的真正目的,因为C2C已关闭。此外,它似乎没有实现任何技术来获得受感染系统的持久性。

Cybaze的研究人员表示,他们将在在未来几周内发布有关恶意DLL的详细技术分析。

声明:本文来自黑客视界,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

领域驱动设计

领域驱动设计

[美] Eric Evans / 赵俐、盛海艳、刘霞 / 人民邮电出版社 / 2016-6-1 / 69

本书是领域驱动设计方面的经典之作,修订版更是对之前出版的中文版进行了全面的修订和完善。 全书围绕着设计和开发实践,结合若干真实的项目案例,向读者阐述如何在真实的软件开发中应用领域驱动设计。书中给出了领域驱动设计的系统化方法,并将人们普遍接受的一些实践综合到一起,融入了作者的见解和经验,展现了一些可扩展的设计新实践、已验证过的技术以及便于应对复杂领域的软件项目开发的基本原则。一起来看看 《领域驱动设计》 这本书的介绍吧!

图片转BASE64编码
图片转BASE64编码

在线图片转Base64编码工具

HTML 编码/解码
HTML 编码/解码

HTML 编码/解码

HEX HSV 转换工具
HEX HSV 转换工具

HEX HSV 互换工具