思科 Talos 团队和 Bitdefender公司分别发布报告指出,APT 组织 StrongPity(又称 Promethium)又对叙利亚库尔德族地区和土耳其发动水坑式攻击,实现监控和情报收集目的。
Bitdefender 公司在报告中指出,StrongPity APT 组织利用新技术控制受陷机器,“该 APT 组织通过水坑式攻击选择性地感染受害者并部署三层 C&C 基础设施,阻挠取证调查,并使用木马化的流行工具如文档、文件恢复应用程序、远程连接应用程序、工具甚至是安全软件广泛涵盖目标受害者可能的去处。”Bitdefender 公司表示,攻击活动中使用的恶意软件样本的时间戳和土耳其于去年10月在叙利亚东北地区发动“和平之春行动”中使用的恶意软件一致。StrongPity APT 组织首次公开现身于2016年10月,但实际上早在2012年就已经活跃。2016年10月,该组织发动水坑式攻击向比利时和意大利用户传播恶意版本的 WinRAR 和 TrueCrypt 文件加密软件。之后,StrongPity APT 组织被指在2018年滥用土耳其电信公司网络将位于土耳其和叙利亚的数百名用户重定向至恶意软件版本。这样,当目标用户试图从官方网站下载合法应用时,攻击者就会通过水坑式攻击或 HTTP 重定向攻陷系统。
去年7月份,AT&T Alien Labs 发现一款新型间谍软件活动利用木马化的 WinBox 路由器管理软件和 WinRAR 文档安装 StrongPity 并和攻击者的基础设施通信。Bitdefender 公司发现的这种新型攻击方法仍然不变:通过利用本地化软件集合体和共享器上托管的遭篡改的安装程序(包括 McAfee Security Scan Plus、Recuva、TeamViewer、WhatsApp和Piriform CCleaner)使用预定义 IP 列表发动攻击。研究人员表示,“耐人寻味的是,所有与受污染应用程序有关的文件都是在周一至周五的正常上班时间(UTC 时间早九晚六)编译的。这更加印证了 StrongPity 组织是受资助且有组织的开发团队,他们有偿开发某些项目。”
下载并执行恶意软件释放器后,就会安装后门,从而和命令和控制服务器建立通信,以便提取文档并检索将被执行的命令。攻击者还会在受害者机器上部署“文件搜索器”组件,循环遍历每个驱动器并从中查找具有特定扩展名的文件(例如 Microsoft Office 文档)并以 ZIP 文档形式提取。该 ZIP 文件之后被拆分为多个隐藏的 “.sft” 加密文件,并被发送至 C&C 服务器,并最终从磁盘删除以隐藏提取痕迹。攻击者虽然再次攻击叙利亚和土耳其,但这两个国家并非唯一目标,他们利用恶意版本的 Firefox、VPNpro、DriverPack 和 5kPlayer 还攻击位于哥伦比亚、印度、加拿大和越南的受害者。
思科 Talos 团队的研究人员将该 APT 组织使用的恶意软件命名为 “StrongPity3”,它使用名为 “winprint32.exe” 模块搜索文档并传输所收集的文件。另外,虚假的火狐安装程序还会在释放恶意软件之前检查受害者是否安装 ESET 或 BitDefender 杀毒软件。研究人员表示,“这些特征可解读为该威胁行动者实际上是受雇者提供的企业服务的一个组成部分。我们认为每款恶意软件都极其相似但却通过微小改动后即可用于不同目标,因此它是一款专业的打包解决方案。”
https://thehackernews.com/2020/06/strongpity-syria-turkey-hackers.html
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
点个 “在看” ,加油鸭~