APT28 看來可以獲得今年安全奧斯卡的史詩級失敗獎了。因為他們對參加 CyCon 安全大會的專家們使用了魚叉式釣魚攻擊。
本月初,APT28 對 CyCon的參會人員發動了這次攻擊,CyCon 是北約聯合防御中心(CCDCOE)和西點軍校網絡研究所合辦的安全會議。
APT28 這次真的太蠢了,對安全圈一點敬意都沒有
很顯然,參加這次會議的基本都是安全圈的專家,對魚叉釣魚,惡意軟件和 APT 組織都太了解了。
而 APT28 呢,他們是否使用了還沒曝出的 0day漏洞,來讓專家措手不及?然而并沒有。他們只是進行了簡單的魚叉式釣魚攻擊,郵件中帶有宏病毒的 word 文件而已。
而參會的專家對這些伎倆可謂十分清楚了,他們才不會打開這些 word 呢。
但要是有 0day 的話,還是可以起點作用的。可 0day 很貴,而且只能用一次,因為馬上就會被修復。對于這些珍貴的 0day ,APT 是怎么使用的呢?今年早些時候,APT28 使用 0day 漏洞對政府人員進行了攻擊,但是這些人員本身沒有經過特殊的安全培訓,安全意識很低。
word 宏病毒這樣的小把戲不起作用時才用 0day 好吧。
把寶貴的 0day 用來攻擊安全意識很低的政府人員,殺雞用了牛刀,拿 word 宏病毒這樣的小把戲對付老道的安全專家,殺牛又用了雞刀。
這次 APT28 的活動主事人應該好好反省反省了, APT28 名聲還是很大的,畢竟他們成功攻擊過 NATO,五角大樓,白宮,DNC和德國議會。用宏病毒對付安全專家這樣的點子還是少出為妙。
Seduploader 木馬
好,我們假設一下這樣的伎倆讓安全專家中了招,并且執行了宏病毒(沙盒環境),他們會發現文檔會下載并安裝 Seduploader ,這也是 APT28 經典的后門木馬之一,主要用來偵查監聽用戶電腦。
這次活動的發現者是 Cisco Talos ,更多細節請在這里查看。Talos 的團隊將 APT28 稱為 Group 74,他們還有其他的名字,比如 Fancy Bear,Sofacy,Sednit,Tsar Team,Pawn Storm和Strontium。
CyCon 大會的組織者也對此次攻擊做出了預警。
京公網安備 11010502049343號