黑客組織Sofacy APT使用新型木馬攻擊全球多個政府機(jī)構(gòu)
責(zé)編:gltian |2018-12-05 11:26:29網(wǎng)絡(luò)安全公司Palo Alto Networks的研究人員在10月底和11月初發(fā)現(xiàn)了一個新的攻擊活動。與俄羅斯有關(guān)的黑客組織Sofacy APT在最近針對全球政府實(shí)體的攻擊中使用了一種新的木馬Cannon。
Sofacy APT又名APT28,Pawn Storm,F(xiàn)ancy Bear,Sednit,Tsar Team和Strontium,曾被指策劃了針對2016年美國總統(tǒng)大選的網(wǎng)絡(luò)攻擊。
在本周二發(fā)布的一份報告中,Palo Alto Networks的研究人員透露,這個與俄羅斯有關(guān)的APT組織在針對北美、歐洲和一個前蘇聯(lián)成員國的政府實(shí)體的魚叉式網(wǎng)絡(luò)釣魚攻擊中使用了新的攻擊工具Cannon。
攻擊者通過魚叉式網(wǎng)絡(luò)釣魚電子郵件發(fā)送惡意Word文檔。打開時,文檔將加載包含惡意宏和有效載荷的遠(yuǎn)程模板。
這些攻擊的新穎之處在于使用了之前從未見過的工具,攻擊者還使用了一種不常見的技術(shù)來傳遞惡意軟件并避免在沙箱中運(yùn)行。
“一旦受害者按下啟用內(nèi)容按鈕,就會執(zhí)行嵌入式宏。 攻擊者對宏使用了AutoClose函數(shù),這意味著只有在用戶關(guān)閉文檔時惡意代碼才會執(zhí)行。一旦執(zhí)行,宏將安裝有效負(fù)載并將文檔保存到系統(tǒng)中。“Palo Alto Networks發(fā)布的分析報告中寫道。
Cannon充當(dāng)下載器,依賴電子郵件與C2服務(wù)器通信并接收指令。該工具實(shí)現(xiàn)了多種功能,包括提高持續(xù)性和創(chuàng)建唯一的系統(tǒng)標(biāo)識符,收集系統(tǒng)信息,抓取桌面快照,登錄POP3電子郵件帳戶訪問附件。
“Cannon的總體目的是使用多個電子郵件帳戶竊取數(shù)據(jù),并最終從電子郵件中獲取有效載荷,”研究人員解釋說。
APT28在這一時期似乎非常活躍,Cannon并不是其武器庫中唯一的新工具,Cybaze ZLab – Yoroi團(tuán)隊(duì)最近發(fā)現(xiàn)了臭名昭著的APT28 Lojax(又名Double-Agent)的新變種。 它是著名的rootkit Double-Agent的最新版本,安全公司ESET的研究人員曾對此進(jìn)行過研究分析。
原文鏈接:https://securityaffairs.co/wordpress/78268/apt/sofacy-apt-cannon.html
- ISC.AI 2025正式啟動:AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運(yùn)商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運(yùn)”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧