查看原文
其他

嚣张!APT28重用已经暴露的服务器攻击罗马尼亚外交部

2017-05-15 E安全 E安全

更多全球网络安全资讯尽在E安全官网www.easyaq.com


E安全5月15日讯 据报道, 俄罗斯精英黑客组织伪装成北约(NATO)代表向欧洲的外交组织发送一系列网络钓鱼电子邮件,包括罗马尼亚外交部。

外媒获取了一封网络钓鱼电子邮件的副本,研究人员认为幕后黑手就是APT28(亦被称为Fancy Bear)。这封电子邮件包含陷阱附件,其利用的是最近两个被披露的Microsoft Word漏洞。这封电子邮件表明,APT28有效伪装成北约的电子邮箱地址,可以确定的是北约员工目前正在使用hq.nato.intl域名。目前这份病毒文件已被提交到计算机病毒库Virus Total。

知名网络安全公司FireEye的一位分析师证实,网络钓鱼电子邮件与APT28有关是真实的。最初,部分攻击目标或发送人的完整地址并未被公开。

北约就这起攻击不予置评,但表示,黑客经常攻击北约的系统,一名官员表示,他们认识到此类攻击包括使用欺骗性的北约电子邮件。当发现欺骗性电子邮件时,北约通常会提醒同盟国的负责当局,以防止攻击扩散。APT28在网络防御者中已臭名远扬,北约表示会密切追踪该组织的活动。

反病毒产品竟然不起作用

研究人员表示,发送给罗马尼亚外交部的另一封网络钓鱼电子邮件包含一个名为“Trump’s_Attack_on_Syria_English.docx”的附件,该附件是一篇新闻。但罗马尼亚外交部尚未予以置评。如果目标在易受攻击的系统上打开该附件,该附件会利用Word中的两个代码漏洞下载远程访问木马。目前,研究人员认为这两个漏洞为0day漏洞,Microsoft已于周二修复了该漏洞。

FireEye将这款恶意软件称为“GameFish”会在本地下载,这意味着下载无需联网。这起案例中使用的GameFish远程访问木马是APT28使用的黑客工具,其为攻击者提供了大量间谍功能,包括数据渗漏和横向网络活动。FireEye分析师本·瑞德表示,攻击者能使用这款工具将其它电脑病毒上传到已被感染的设备上。

研究人员对罗马尼亚外交部收到的网络钓鱼邮件分析后发现,受害者正使用IronPort和Sophos开发的反病毒产品,但遗憾的是,似乎这两个产品均未将该附件标记为恶意文件。

目前尚不清楚到底有多少组织机构遭遇攻击或成功被APT28以特朗普为主题的网络钓鱼计划感染。瑞德认为这起活动的目标范围“较窄”。

黑客有多嚣张?

连接到多个网络钓鱼样本链接的IP地址(89.249.67.22)返回到APT28的命令与控制基础设施。5个多月以前,安全研究人员最初发现了该基础设施。让研究人员惊讶的是,攻击者竟然重用已经被暴露的攻击服务器,这说明俄罗斯在进攻方面表现出嚣张本性。

Area 1 Security安全研究总监贾维尔·卡斯特罗表示,尽管攻击中包含了0day漏洞利用,但APT28在重用攻击基础设施时未进行适当的安全操作。

FireEye和另一家网络安全公司ESET周二都发布了技术报告。但报告并未披露发送者数据或潜在受害者的相关信息。

虽然FireEye最初在四月份发现证明APT28曾利用两个Microsoft Word漏洞的证据,但研究人员等到Microsoft周二发布补丁才公开发布分析结果。

据报道,APT28 过去十年一直对欧洲实施政治间谍活动。2016年,该组织攻击美国民主党全国委员会和希拉里竞选主席约翰·波德斯塔后公开进行主流宣传。美国情报总监办公室一月发布报告称,APT28为俄罗斯情报机构的杰作。

相关阅读:

俄黑客组织APT28被指入侵法国大选首轮胜出者马克龙

网络黑客组织APT28攻击国际田联

芬兰情报局报告: APT28明目张胆实施间谍活动

德国官员称俄罗斯黑客组织APT28去年对其发动网络攻击

15
E安全要闻简讯

官网:

2017年5月

01百度回应:DU Caller不会泄露用户隐私
02最详尽“永恒之蓝”勒索病毒防范视频教程
03一张图看懂“永恒之蓝”勒索病毒处置流程
04印媒渲染“中巴黑客大军”威胁印度,专家称无证据猜疑
052017中国网络安全年会即将举办 约你与业界大咖面对面
06勒索病毒愈演愈烈 珠海紧急停办公积金
07“永恒之蓝”勒索病毒安全处置FAQ
08从熊猫烧香到勒索比特币!解读再次全球爆发的黑客病毒
09“永恒之蓝”勒索软件席卷全球:幕后黑手已获利至少2.6万美金
10嚣张!APT28重用已经暴露的服务器攻击罗马尼亚外交部
11"永恒之蓝"勒索病毒凶猛 周一上班请用正确姿势打开电脑
12
 美国防部整合部署Windows 10平台工作将于年底前完成
13“永恒之蓝”勒索病毒安全事件应急指导手册(附工具包)
14Windows 10默认浏览器曝新漏洞:可被攻击者窃取cookie与密码数据
15“永恒之蓝”勒索病毒已波及150国20万台计算机设备



您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存