俄罗斯菁英黑客再出网络钓鱼新招
URL:https://www.wired.com/story/russia-fancy-bear-hackers-phishing
published:11/20/2018
美国中期选举季的一个巨大疑问:俄罗斯去哪儿了? 不过,虽然俄罗斯军事情报局格鲁乌(GRU)的黑客们没有直接插手,他们的活跃度可一点儿没减。最近,两家威胁情报公司均抛出报告,指称具有俄罗斯背景的两大黑客团伙一直在开发狡猾的网络钓鱼新招数,有意扩张他们的黑客入侵版图。
我钓~~
Palo Alto Networks 公司 Unit 42 研究团队威胁情报副总监表示,俄罗斯这个国家的黑客活动相比以前有过之而无不及。
该安全公司最近发布的安全报告中就指出,APT28,也就是别称“奇幻熊”或Sofacy的高产黑客组织,又给自己的攻击武器库中新添加了一款网络钓鱼工具。这款木马隐身在恶意文档附件中,采用某些经典技术往远程服务器发送目标主机的信息,但根据当前用例做了重构。
“APT28携新变种或全新恶意软件家族出击的现象并不罕见。”
APT28以其工具的持续升级进化而闻名,而且惯于翻新过时的技术方法以躲过检测。其新产出的“加农炮(Cannon)”木马综合了以上两点。这款木马在今年10月底和11月初的攻击中被 Palo Alto Networks 的研究人员发现,通过加密连接发送的电子邮件与其命令与控制(C2)服务器通信,确保通信内容不会被抓包分析。黑客利用各种各样的通信方案进行命令与控制,包括将通信隐藏到受害者的正常网络流量中,附加到被黑的Web服务上,或者篡改正常互联网协议请求。利用电子邮件的通信技术在几年前很是流行,但直到这次APT28重新启用之前,已经销声匿迹了很久。
黑客之所以弃用该方法,是因为一旦某种方法变得广为人知,就很容易被安全防御措施盯上。但APT28惯于重构旧方法老工具,携新变种或全新恶意软件家族重出江湖的情况对他们来说司空见惯,符合他们的习性。
目前为止,Palo Alto Networks 的研究人员只发现了一份Cannon恶意附件样本,但它出现在APT28针对北美、欧洲和某前苏联国家的网络钓鱼攻击行动中。
同时,安全公司火眼的调查人员上周观测到疑似出自APT29(别称“安逸熊”)的大量网络钓鱼活动。APT29在2016美国总统大选期间参与了对民主党全国委员会(DNC)的黑客攻击,随后还进行了一系列针对其他国际性组织和国家政府的黑客攻击,但2017年某个时候起便淡出了人们的视线。
可能是因为静默的时间太久,现在比较难以确定是不是同一个黑客组织复出了。但火眼公司对这波攻击深入挖掘之后发现,可能真的是APT29重出江湖。
曾经作为威胁响应人员缓解过8起APT29威胁的火眼首席安全研究员表示:“这么久没看到他们的身影,这次突然冒出来我都有点惊讶。该黑客组织从来都很擅长创新。一些其他黑客组织想要低调慢速地发起攻击,但有时候搞得非常高调,并以此来掩饰自己更为隐秘的活动,也能取得很好的效果,尤其当你是俄罗斯人,且毫不在意攻击事件曝光的影响的时候。”
最近几周里,APT29就采取了这种喧闹的战术,对多个国际目标下手,包括智库、媒体、交通运输业、医药组织、司法机构、国防承包商和美国军事机构。攻击者目标多样,既有组织也有个人,且目标此前多遭到过攻击。APT29本次网络钓鱼行动的针对性很强,并非对某组织群发钓鱼邮件,而是针对特定人选下手。
“APT29一直靠的是自主研发的恶意软件,但也有可能转向利用现成的漏洞利用代码,毕竟利用现有通用工具是当今网络犯罪的大趋势。”
这些网络钓鱼邮件被设计成看起来好像是从美国国务院发出的一样,但火眼强调,并没有证据证明国务院有账号被黑。钓鱼邮件中包含有引导用户去下载流行Windows恶意软件 Cobalt Strike 的链接。APT29一直靠的是自主研发的恶意软件,但也有可能转向利用现成的漏洞利用代码,毕竟利用现有通用工具是当今网络犯罪的大趋势。
他们肯定经过了长时间的精心准备,而且似乎是人工精挑细选出目标。很多攻击者会瞄准他们认为最有可能点击钓鱼链接的人,但APT29历来只对特定的人下手,以增加最终拿到想要数据的概率。
火眼观测到的这波新网络钓鱼攻击与APT29此前行动之间的相似性也有可能是个伪装,故意引诱安全界认为这是俄罗斯的国家黑客行动,而其实是别的什么东西。但火眼还是决定公开其发现的证据,让其他研究人员可以衡量是不是APT29所为。
综合考虑,Palo Alto Networks 和火眼的两份报告表明,尽管2016大选暴露出来的俄罗斯黑客活动遭遇了美国的多方回击,包括发布内容详尽的对俄黑客起诉书,告诫个别黑客赶紧停止对美攻击,但这些行动并未彻底吓阻GRU。
APT28还在进行网络钓鱼,没什么好奇怪的。
Palo Alto Networks 对APT28最新网络钓鱼工具的解读:https://researchcenter.paloaltonetworks.com/2018/11/unit42-sofacy-continues-global-attacks-wheels-new-cannon-trojan/
