前情提要
前情提要
PositiveTechnologies Expert Security Center (PT ESC)揭示了APT31的新攻擊並分析了其新工具——一種允許犯罪分子透過遠端訪問控制受害者計算機或網路的惡意軟體。網路釣魚是最常見的網路攻擊技術之一,被該組織用作初始攻擊媒介。據PTESC專家介紹,今年1月至7月,該組織向全球傳送了十多封惡意電子郵件,並在蒙古、美國、加拿大和白俄羅斯共和國發現了攻擊者的蹤跡。最後,以攻擊各國政府機構而聞名的APT31組織在俄羅斯變得活躍起來。
具體內容
作為威脅情報研究的一部分,PT ESC專家檢測到傳送到蒙古的電子郵件,其中包含以前看不見的惡意內容。隨後,在俄羅斯、美國、加拿大和白俄羅斯共和國也發現了類似的攻擊。對惡意軟體樣本的詳細分析,以及所使用的功能、技術和機制的大量重疊——從惡意程式碼的引入到所使用的邏輯塊和結構——使Positive Technologies專家能夠將檢測到的樣本歸因於APT31。
APT31(也稱為Hurricane Panda和Zirconium)自2016年以來一直活躍。其主要利益聚焦網路間諜活動和收集具有戰略重要性的敏感資料。該組織對世界各地的公共部門特別感興趣:在不同時期,其受害者是芬蘭政府,據推測還有挪威和德國政府。許多研究人員懷疑,APT31也是2020年美國總統競選期間,對與美國總統候選人關係密切的組織和個人進行一系列攻擊的幕後黑手。該集團的其它目標包括航空航天和國防公司、國際金融公司、高科技企業、電信企業和大眾媒體。
在研究該組織使用的最新惡意軟體樣本時,PT ESC專家檢測到一個指向網路釣魚域
inst.rsnet-devel[.]com
的連結
,該域模仿了聯邦政府機構和俄羅斯政府機構的域,Internet部分的聯盟。據PT ESC稱,惡意域旨在誤導政府官員和與政府機構合作的公司。
Positive Technologies作為GosSOPKA系統的一部分,參與了事件相關資料的交換,由俄羅斯國家計算機事件響應與協調中心(cert。gov。ru)協調。作為該計劃的一部分,處於較高風險行業的俄羅斯公司將收到該中心的適當通知。
在PT ESC從2021年1月到2021年7月分析的所有攻擊中,APT31使用了相同的dropper。研究表明,它的任務是在受感染的計算機上建立一個惡意庫和一個易受攻擊的DLL Sideloading應用程式。dropper啟動的應用程式呼叫載入的惡意庫的功能之一,然後將控制權交給惡意程式碼。
Positive Technologies
的高階威脅分析專家
Daniil Koloskov
解釋說:“惡意軟體是一種遠端訪問木馬(RAT),它允許APT組織監視和控制受害者的計算機或網路。值得注意的是,惡意軟體開發者是多麼狡猾:為了使惡意庫看起來像原始版本,他們將其命名為MSVCR100。dll——同名的庫是Visual C++ forMicrosoft Visual Studio的一部分並且存在在幾乎所有的計算機上。此外,它還包含可在合法MSVCR100。dll中找到的匯出名稱。
在分析惡意軟體樣本時,PT ESC專家發現了具有相同功能集的不同版本的dropper。在某些情況下,例如在蒙古的攻擊中,dropper使用有效的數字簽名進行簽名。根據Positive Technologies的說法,該簽名很可能被盜,這也表明攻擊者的資格水平很高。
PT ESC專家安全中心繼續監控俄羅斯和其它國家的APT31,預計該組織在未來幾個月不會減少工作量。據專家介紹,公司可以使用安全資訊和事件管理(SIEM)系統、深度網路流量分析(NTA)系統和沙箱來檢測和應對此類攻擊。為了減少攻擊者的機會,Positive Technologies建議公司將報告中所述的危害指標新增到他們的安全工具中,並且他們的員工將收到的任何垃圾郵件及時通知資訊保安專家。
注:本文由E安全編譯報道,
轉載請注原文地址 https://www。easyaq。com
