攻防最前线:APT28近期攻击中使用新型木马Cannon简述

栏目: 编程工具 · 发布时间: 5年前

攻防最前线:APT28近期攻击中使用新型木马Cannon简述

据网络安全公司Palo Alto Networks报道,一个知名的俄罗斯黑客组织在最近针对全球政府实体的攻击中使用了一种新的木马,用以作为其攻击第二阶段的有效载荷。

APT28,也被称为Fancy Bear、Pawn Storm、Sofacy Group、Sednit和STRONTIUM,曾被指策划了针对2016年美国总统大选的网络攻击。

近年来,该组织一直关注的是乌克兰和北约国家。而最近Palo Alto Networks的一份报告指出,有迹象表明,该组织的活动同时也针对了其他一些国家。

在本周二发布的一份报告中,Palo Alto Networks的安全研究人员透露,该组织最近针对北美、欧洲和前苏联国家的政府实体实施了攻击。

作为攻击的一部分,该组织利用了最近发生的“印尼狮子航空坠毁事件”制作诱饵文档,不仅交付了已知的Zebrocy木马,而且还交付了一种名为“Cannon”的新型木马。

攻防最前线:APT28近期攻击中使用新型木马Cannon简述

根据研究人员的说法,新的木马程序包含了一种新颖的基于电子邮件的命令和控制(C&C)通信渠道。鉴于电子邮件在企业中的使用非常普遍,这很可能是为了降低病毒检出率。

在一起针对一家处理欧洲外交事务的政府机构的攻击中,攻击者通过鱼叉式网络钓鱼电子邮件发送了一份恶意Word文档。打开时,文档将加载包含恶意宏和有效载荷的远程模板。

攻击者对宏使用了AutoClose函数,这意味着只有在用户关闭文档时恶意代码才会执行。一旦执行,宏就会安装有效载荷并向系统上传文件。

文档并没有诱饵内容,而是用于执行有效载荷,这可能是文档作者希望使用的另一种规避技术。有效载荷是Zebrocy木马的一个变种,它能够从目标系统收集特定信息并发送给C&C服务器。

研究人员分析的另一份诱饵文档则会将把Cannon木马投放到目标系统上。它是采用C#编写的,主要用作下载程序,依靠电子邮件与C&C服务器通信。该木马的主要目的是通过几个电子邮件帐户窃取系统数据,并最终从电子邮件中获取有效载荷。

另外,该木马包含了大量的函数,用以添加持久性、收集系统信息、捕获屏幕截图、登录到主POP3帐户并获得二级POP3帐户、登录到主POP3帐户路径下载附件、登录到二级POP3帐户下载附件,以及转移附件并使用它创建一个进程。

这些攻击表明,APT28仍在继续以欧盟、美国和前苏联国家的政府机构为目标,并且不断开发新的工具。这些攻击还揭露了远程模板的使用,这会使得分析变得更加困难,因为这导致分析人员需要通过一个活跃的C&C来获取支持宏的文档。另外,使用电子邮件进行C&C通信也是一种古老但有效的规避检测的策略。

声明:本文来自黑客视界,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。


以上所述就是小编给大家介绍的《攻防最前线:APT28近期攻击中使用新型木马Cannon简述》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

信息论基础

信息论基础

Thomas M.Cover、Joy A.Thomas / 清华大学出版社 / 2003-11-1 / 65.00元

《国际知名大学原版教材•信息论基础》系统介绍了信息论基本原理及其在通信理论、统计学、计算机科学、概率论以及投资理论等领域的应用。作者以循序渐进的方式,介绍了信息量的基本定义、相对熵、互信息以及他们如何自然地用来解决数据压缩、信道容量、信息率失真、统计假设、网络信息流等问题。一起来看看 《信息论基础》 这本书的介绍吧!

在线进制转换器
在线进制转换器

各进制数互转换器

RGB CMYK 转换工具
RGB CMYK 转换工具

RGB CMYK 互转工具

HEX CMYK 转换工具
HEX CMYK 转换工具

HEX CMYK 互转工具