E安全11月12日讯 美国网络安全公司McAfee的安全研究人员最近发现一起鱼叉式网络钓鱼电子邮件活动，利用10.31纽约曼哈顿恐袭事件，通过DDE技术攻击目标。McAfee表示，这起行动似乎是臭名昭著的俄罗斯黑客组织APT28所为。

APT28（又名 Sofacy、Fancy Bear 、Tsar Team、Pawn Storm、Strontium、Sednit），其主要针对境外国家的航空航天，以及私营部门展开攻击活动。

瞄准德国和法国军事人员有何目的？

自10月下旬以来，APT28使用DDE漏洞已在发起攻击，目前发现的目标包括德国和法国，APT28诱骗目标点击美国新闻事件有关的文件名：《美国陆军在东欧举行的军演SabreGuardian，以及10.31纽约曼哈顿恐袭事件》。

McAfee高级威胁研究小组资深分析师Ryan Sherstobitoff （赖安谢尔·斯特比特沃夫）表示APT28最近可能设计了恶意电子邮件，并发送给了德国和法国的军事人员。他们通过获取的遥测数据发现，APT28瞄准欧洲的目标，尤其是法国和德国。

这并非APT28首次精心策划电子邮件中利用公开新闻事件诱骗目标点击、下载或执行其它操作。上个月，思科Talos研究团队的分析师揭露称，APT28利用华盛顿即将举行的安全会议相关新闻针对性地攻击特定目标。

Sherstobitoff表示，利用地缘政治事件提升恶意文件的打开率，正是APT28组织的策略，希望以此增加成功几率。

利用“DDE攻击”规避检测

McAfee近期发现APT28发送的电子邮件很特别，采用了难以检测的技术——“DDE攻击”，该技术利用Microsoft Office的动态数据交换机制（DDE）在受害者系统上执行任意代码，而无需借助宏。网络安全公司SensePost 10月初公开披露了这种攻击方法，自此之后，多个犯罪组织和情报收集型黑客将这种技术与自己的Payload相结合。

Sherstobitoff表示，这是APT28逃避检测的又一条途径。在这起案例中，APT28发送包含陷阱Word文档的电子邮件。电子邮件和Word文档均提及纽约10月31日发生的恐怖袭击。如果这份文档被下载，之后它会立即秘密创建一个连接，返回到攻击者的命令与控制服务器，这个服务器之后会向目标设备提供第一阶段的探测Implant。

McAfee指出，虽然纽约恐怖袭击发生在10月31日，但此起间谍活动的策划活动至少在一周以前就已经开始，因为托管恶意软件的域名注册时间为10月25日，文档本身的时间戳为10月27日。11月1日，恶意文档被重命名。

目前尚不清楚恐怖袭击发生前的邮件主题，但值得注意的是，APT28正在频繁利用新闻大事件。

注：本文由E安全编译报道,转载请注明原文地址

https://www.easyaq.com/news/596039877.shtml

▼点击“阅读原文” 查看更多精彩内容