安全廠商Palo Alto Networks解密了目前正在針對俄羅斯或講俄語的機(jī)構(gòu)組織的網(wǎng)絡(luò)間諜活動。

安全專家表示，最近的一波攻擊在8月份就被檢測到，一直持續(xù)至12月份，似乎是ESET之前曾發(fā)現(xiàn)過的攻擊活動，該攻擊行動名為“漫步老虎”。

攻擊者用定制化RAT替代PlugX

相比這兩次攻擊活動，似乎第二次活動有些微改進(jìn)。兩起活動都是利用魚叉式釣魚攻擊技術(shù)來針對組織機(jī)構(gòu)發(fā)起攻擊，但第二波攻擊還利用結(jié)構(gòu)更加復(fù)雜的命令和控制服務(wù)器結(jié)構(gòu)，并且用Word文件替代了RTF文件，利用Windows CVE-2012-0158發(fā)起攻擊。

這是一個老舊漏洞，但是如果目標(biāo)系統(tǒng)沒有正確修復(fù)該漏洞并升級，攻擊者就會完全控制該系統(tǒng)。這款惡意軟件專門為利用這個漏洞而設(shè)計，跟PlugX非常相似，后者是一款為人熟知的遠(yuǎn)程訪問木馬。研究人員將該惡意軟件命名為BBSRAT。

幕后黑手身份尚未確認(rèn)

PlugX是很多跟中國有關(guān)的APT組織常用的工具，但兩家廠商都無法找出足夠的證據(jù)將“漫步老虎”或者BBSRAT跟中國的網(wǎng)絡(luò)間諜活動聯(lián)系起來。

Palo Alto表示，BBSRAT發(fā)動的最高級別攻擊跟模擬Vigstar人員的攻擊者有關(guān)，后者是一家俄羅斯研究組織機(jī)構(gòu)，主要為俄羅斯軍方和情報機(jī)構(gòu)開發(fā)衛(wèi) 星通信設(shè)備。該公司表示，盡管關(guān)于這些攻擊者的信息已經(jīng)公開了有一年多，包括一個包含很多命令和控制服務(wù)器的清單，攻擊者仍然還在繼續(xù)使用這些方法。