據(jù)報(bào)道, 俄羅斯精英黑客組織偽裝成北約(NATO)代表向歐洲的外交組織發(fā)送一系列網(wǎng)絡(luò)釣魚電子郵件,包括羅馬尼亞外交部。
外媒獲取了一封網(wǎng)絡(luò)釣魚電子郵件的副本,研究人員認(rèn)為幕后黑手就是APT28(亦被稱為Fancy Bear)。這封電子郵件包含陷阱附件,其利用的是最近兩個(gè)被披露的Microsoft Word漏洞。這封電子郵件表明,APT28有效偽裝成北約的電子郵箱地址,可以確定的是北約員工目前正在使用hq.nato.intl域名。目前這份病毒文件已被提交到計(jì)算機(jī)病毒庫Virus Total。
囂張!APT28重用已經(jīng)暴露的服務(wù)器攻擊羅馬尼亞外交部-E安全
知名網(wǎng)絡(luò)安全公司FireEye的一位分析師證實(shí),網(wǎng)絡(luò)釣魚電子郵件與APT28有關(guān)是真實(shí)的。最初,部分攻擊目標(biāo)或發(fā)送人的完整地址并未被公開。
北約就這起攻擊不予置評(píng),但表示,黑客經(jīng)常攻擊北約的系統(tǒng),一名官員表示,他們認(rèn)識(shí)到此類攻擊包括使用欺騙性的北約電子郵件。當(dāng)發(fā)現(xiàn)欺騙性電子郵件時(shí),北約通常會(huì)提醒同盟國的負(fù)責(zé)當(dāng)局,以防止攻擊擴(kuò)散。APT28在網(wǎng)絡(luò)防御者中已臭名遠(yuǎn)揚(yáng),北約表示會(huì)密切追蹤該組織的活動(dòng)。
反病毒產(chǎn)品竟然不起作用
研究人員表示,發(fā)送給羅馬尼亞外交部的另一封網(wǎng)絡(luò)釣魚電子郵件包含一個(gè)名為“Trump’s_Attack_on_Syria_English.docx”的附件,該附件是一篇新聞。但羅馬尼亞外交部尚未予以置評(píng)。如果目標(biāo)在易受攻擊的系統(tǒng)上打開該附件,該附件會(huì)利用Word中的兩個(gè)代碼漏洞下載遠(yuǎn)程訪問木馬。目前,研究人員認(rèn)為這兩個(gè)漏洞為0day漏洞,Microsoft已于周二修復(fù)了該漏洞。
FireEye將這款惡意軟件稱為“GameFish”會(huì)在本地下載,這意味著下載無需聯(lián)網(wǎng)。這起案例中使用的GameFish遠(yuǎn)程訪問木馬是APT28使用的黑客工具,其為攻擊者提供了大量間諜功能,包括數(shù)據(jù)滲漏和橫向網(wǎng)絡(luò)活動(dòng)。FireEye分析師本·瑞德表示,攻擊者能使用這款工具將其它電腦病毒上傳到已被感染的設(shè)備上。
研究人員對(duì)羅馬尼亞外交部收到的網(wǎng)絡(luò)釣魚郵件分析后發(fā)現(xiàn),受害者正使用IronPort和Sophos開發(fā)的反病毒產(chǎn)品,但遺憾的是,似乎這兩個(gè)產(chǎn)品均未將該附件標(biāo)記為惡意文件。
目前尚不清楚到底有多少組織機(jī)構(gòu)遭遇攻擊或成功被APT28以特朗普為主題的網(wǎng)絡(luò)釣魚計(jì)劃感染。瑞德認(rèn)為這起活動(dòng)的目標(biāo)范圍“較窄”。
黑客有多囂張?
連接到多個(gè)網(wǎng)絡(luò)釣魚樣本鏈接的IP地址(89.249.67.22)返回到APT28的命令與控制基礎(chǔ)設(shè)施。5個(gè)多月以前,安全研究人員最初發(fā)現(xiàn)了該基礎(chǔ)設(shè)施。讓研究人員驚訝的是,攻擊者竟然重用已經(jīng)被暴露的攻擊服務(wù)器,這說明俄羅斯在進(jìn)攻方面表現(xiàn)出囂張本性。
Area 1 Security安全研究總監(jiān)賈維爾·卡斯特羅表示,盡管攻擊中包含了0day漏洞利用,但APT28在重用攻擊基礎(chǔ)設(shè)施時(shí)未進(jìn)行適當(dāng)?shù)陌踩僮鳌?/p>
FireEye和另一家網(wǎng)絡(luò)安全公司ESET周二都發(fā)布了技術(shù)報(bào)告。但報(bào)告并未披露發(fā)送者數(shù)據(jù)或潛在受害者的相關(guān)信息。
雖然FireEye最初在四月份發(fā)現(xiàn)證明APT28曾利用兩個(gè)Microsoft Word漏洞的證據(jù),但研究人員等到Microsoft周二發(fā)布補(bǔ)丁才公開發(fā)布分析結(jié)果。
據(jù)報(bào)道,APT28 過去十年一直對(duì)歐洲實(shí)施政治間諜活動(dòng)。2016年,該組織攻擊美國民主黨全國委員會(huì)和希拉里競(jìng)選主席約翰·波德斯塔后公開進(jìn)行主流宣傳。美國情報(bào)總監(jiān)辦公室一月發(fā)布報(bào)告稱,APT28為俄羅斯情報(bào)機(jī)構(gòu)的杰作。
京公網(wǎng)安備 11010502049343號(hào)