嚣张!APT28重用已经暴露的服务器攻击罗马尼亚外交部
更多全球网络安全资讯尽在E安全官网www.easyaq.com
E安全5月15日讯 据报道, 俄罗斯精英黑客组织伪装成北约(NATO)代表向欧洲的外交组织发送一系列网络钓鱼电子邮件,包括罗马尼亚外交部。
外媒获取了一封网络钓鱼电子邮件的副本,研究人员认为幕后黑手就是APT28(亦被称为Fancy Bear)。这封电子邮件包含陷阱附件,其利用的是最近两个被披露的Microsoft Word漏洞。这封电子邮件表明,APT28有效伪装成北约的电子邮箱地址,可以确定的是北约员工目前正在使用hq.nato.intl域名。目前这份病毒文件已被提交到计算机病毒库Virus Total。
知名网络安全公司FireEye的一位分析师证实,网络钓鱼电子邮件与APT28有关是真实的。最初,部分攻击目标或发送人的完整地址并未被公开。
北约就这起攻击不予置评,但表示,黑客经常攻击北约的系统,一名官员表示,他们认识到此类攻击包括使用欺骗性的北约电子邮件。当发现欺骗性电子邮件时,北约通常会提醒同盟国的负责当局,以防止攻击扩散。APT28在网络防御者中已臭名远扬,北约表示会密切追踪该组织的活动。
反病毒产品竟然不起作用
研究人员表示,发送给罗马尼亚外交部的另一封网络钓鱼电子邮件包含一个名为“Trump’s_Attack_on_Syria_English.docx”的附件,该附件是一篇新闻。但罗马尼亚外交部尚未予以置评。如果目标在易受攻击的系统上打开该附件,该附件会利用Word中的两个代码漏洞下载远程访问木马。目前,研究人员认为这两个漏洞为0day漏洞,Microsoft已于周二修复了该漏洞。
FireEye将这款恶意软件称为“GameFish”会在本地下载,这意味着下载无需联网。这起案例中使用的GameFish远程访问木马是APT28使用的黑客工具,其为攻击者提供了大量间谍功能,包括数据渗漏和横向网络活动。FireEye分析师本·瑞德表示,攻击者能使用这款工具将其它电脑病毒上传到已被感染的设备上。
研究人员对罗马尼亚外交部收到的网络钓鱼邮件分析后发现,受害者正使用IronPort和Sophos开发的反病毒产品,但遗憾的是,似乎这两个产品均未将该附件标记为恶意文件。
目前尚不清楚到底有多少组织机构遭遇攻击或成功被APT28以特朗普为主题的网络钓鱼计划感染。瑞德认为这起活动的目标范围“较窄”。
黑客有多嚣张?
连接到多个网络钓鱼样本链接的IP地址(89.249.67.22)返回到APT28的命令与控制基础设施。5个多月以前,安全研究人员最初发现了该基础设施。让研究人员惊讶的是,攻击者竟然重用已经被暴露的攻击服务器,这说明俄罗斯在进攻方面表现出嚣张本性。
Area 1 Security安全研究总监贾维尔·卡斯特罗表示,尽管攻击中包含了0day漏洞利用,但APT28在重用攻击基础设施时未进行适当的安全操作。
FireEye和另一家网络安全公司ESET周二都发布了技术报告。但报告并未披露发送者数据或潜在受害者的相关信息。
虽然FireEye最初在四月份发现证明APT28曾利用两个Microsoft Word漏洞的证据,但研究人员等到Microsoft周二发布补丁才公开发布分析结果。
据报道,APT28 过去十年一直对欧洲实施政治间谍活动。2016年,该组织攻击美国民主党全国委员会和希拉里竞选主席约翰·波德斯塔后公开进行主流宣传。美国情报总监办公室一月发布报告称,APT28为俄罗斯情报机构的杰作。
相关阅读:
网络黑客组织APT28攻击国际田联
德国官员称俄罗斯黑客组织APT28去年对其发动网络攻击
E安全要闻简讯
官网:
2017年5月