1. 威客安全首页
  2. 安全资讯

Fancy Bear用新后门攻击政治目标

据斯洛伐克ESET安全软件公司的研究人员称,其发现了与俄罗斯有关联的APT组织“Fancy Bear”(也称APT28、Sednit、Sofacy\Zebrocy和Strontium)又瞄准了他们的政治目标。ESET是一家世界知名的计算机安全软件公司,创立于1992年,是由两家私有公司合并而成,总部位于斯洛伐克布拉迪斯拉发,知名产品是NOD32杀毒软件。

Fancy Bear用新后门攻击政治目标

其研究人员称,在最近的攻击中,黑客使用了一组新的恶意载荷,包括使用新语言编写的后门。该组织至少自2007年便开始活跃,攻击世界各地的政府、军方和安全机构,该组织还参与了针对2016年美国总统大选的攻击。

ESET在分析报告中称,“2019年,该组织针对东欧和中亚国家的使馆和外交部发起了新的攻击活动。其在工具集中添加了一种新的开发语言:Nim语言。开发人员改进了Golang语言下载器,还将后门从Delphi重写为Golang”。威胁分子使用包含恶意附件的钓鱼邮件,附件需要一长串下载,最后以后门结尾。

Fancy Bear用新后门攻击政治目标

网络钓鱼信息带有空白附件,引用了一个远程模板,托管在Dropbox的wordData.dotm.一旦受害者在Word上打开了该文件,其便会触发下载wordData.dotm,并将其合并到关联文档的工作环境中,包括模板可能包含的任何活动内容。

报告中称,“wordData.dotm文件包含恶意宏,之后会被执行(取决于微软Word版本,VBA宏会被默认禁用,需要用户启用),还包含一个嵌入式ZIP归档文件,可以由宏来删除和提取”。

此次攻击涉及多个不同语言的下载器,其中一个就是新编写的Nim语言,其是一个静态类型编译系统编程语言,结合了像Python、Ada和Modula这些语言的长处。相较于Golang下载器而言,用Nim语言所写的下载器的数据收集能力很轻量。

黑客曾在8月首次使用Golang下载器,该恶意软件与之前攻击中的DelPhi后门类似。专家称在攻击链中抓取了六种模型才浮现出最终的Golang下载器。该恶意软件能从感染机器上窃取敏感数据并做到在首次感染时每35秒截一次屏。这个后门还能安装额外的负载。

“看上去,该组织想通过用其他语言来绕过检测,这样就不用更换其原有的策略、技术和步骤了。最初的感染矢量依旧没变,但所使用的像Dropbox这样的服务来进行远程模板下载对该组织来说很不寻常。”

原文链接:http://www.mottoin.com/detail/4209.html

本站声明:网站内容来源于mottoin,如有侵权,请联系我们,我们将及时处理。

本文转为转载文章,本文观点不代表威客安全立场。

联系我们

4006-119-120

在线咨询:点击这里给我发消息

邮件:public@jinlongsec.com

工作时间:周一至周五,9:30-18:30,节假日休息

X