攻防最前线：APT28近期攻击中使用新型木马Cannon简述

据网络安全公司Palo Alto Networks报道，一个知名的俄罗斯黑客组织在最近针对全球政府实体的攻击中使用了一种新的木马，用以作为其攻击第二阶段的有效载荷。

APT28，也被称为Fancy Bear、Pawn Storm、Sofacy Group、Sednit和STRONTIUM，曾被指策划了针对2016年美国总统大选的网络攻击。

近年来，该组织一直关注的是乌克兰和北约国家。而最近Palo Alto Networks的一份报告指出，有迹象表明，该组织的活动同时也针对了其他一些国家。

在本周二发布的一份报告中，Palo Alto Networks的安全研究人员透露，该组织最近针对北美、欧洲和前苏联国家的政府实体实施了攻击。

作为攻击的一部分，该组织利用了最近发生的“印尼狮子航空坠毁事件”制作诱饵文档，不仅交付了已知的Zebrocy木马，而且还交付了一种名为“Cannon”的新型木马。

根据研究人员的说法，新的木马程序包含了一种新颖的基于电子邮件的命令和控制（C&C）通信渠道。鉴于电子邮件在企业中的使用非常普遍，这很可能是为了降低病毒检出率。

在一起针对一家处理欧洲外交事务的政府机构的攻击中，攻击者通过鱼叉式网络钓鱼电子邮件发送了一份恶意Word文档。打开时，文档将加载包含恶意宏和有效载荷的远程模板。

攻击者对宏使用了AutoClose函数，这意味着只有在用户关闭文档时恶意代码才会执行。一旦执行，宏就会安装有效载荷并向系统上传文件。

文档并没有诱饵内容，而是用于执行有效载荷，这可能是文档作者希望使用的另一种规避技术。有效载荷是Zebrocy木马的一个变种，它能够从目标系统收集特定信息并发送给C&C服务器。

研究人员分析的另一份诱饵文档则会将把Cannon木马投放到目标系统上。它是采用C#编写的，主要用作下载程序，依靠电子邮件与C&C服务器通信。该木马的主要目的是通过几个电子邮件帐户窃取系统数据，并最终从电子邮件中获取有效载荷。

另外，该木马包含了大量的函数，用以添加持久性、收集系统信息、捕获屏幕截图、登录到主POP3帐户并获得二级POP3帐户、登录到主POP3帐户路径下载附件、登录到二级POP3帐户下载附件，以及转移附件并使用它创建一个进程。

这些攻击表明，APT28仍在继续以欧盟、美国和前苏联国家的政府机构为目标，并且不断开发新的工具。这些攻击还揭露了远程模板的使用，这会使得分析变得更加困难，因为这导致分析人员需要通过一个活跃的C＆C来获取支持宏的文档。另外，使用电子邮件进行C&C通信也是一种古老但有效的规避检测的策略。

声明：本文来自黑客视界，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如需转载，请联系原作者获取授权。