[ad_1]
关键要点
- 俄罗斯政府机构和科技公司遭遇了复杂的网络攻击。
- 此次攻击与中国威胁行为者密切相关,特别是 APT31 和 APT27。
- 黑客攻击的范围不仅限于俄罗斯,美国智库遭攻击就是明证。
一项新发现的网络间谍活动已侵入俄罗斯政府机构和科技公司。该攻击与中国威胁行为者有关,涉及一系列复杂的恶意工具和技术。
卡巴斯基研究人员将此次活动命名为“东风 ”并详细描述了其方法,包括网络钓鱼、恶意软件部署和数据泄露。随着调查的展开,攻击的整个范围仍不清楚。
俄罗斯情报机构遭入侵
协调 网络攻击 针对俄罗斯政府机构和 科技公司 已发现与中国威胁行为者有关。攻击者使用了复杂的恶意工具库,包括 GrewApacha RAT、PlugY 后门和更新的 CloudSorcerer 恶意软件。
卡巴斯基研究人员将这次活动称为“EastWind”,其中涉及网络钓鱼电子邮件,发送恶意代码来收集系统信息并部署其他恶意软件。
虽然直接归因于特定的中国 黑客组织 虽然 APT31 和 APT27 仍在调查中,但其工具的特征强烈表明了它们的参与。
初步分析表明,新发现的 PlugY 恶意软件 与之前与中国黑客组织 APT27 有关的 DRBControl 后门有着惊人的相似之处。这种联系以及该恶意软件与中国网络犯罪分子常用的 PlugX 工具的相似性暗示了其源自中国。
黑客攻击过程
“EastWind”攻击活动采用了多阶段攻击流程,涉及一系列恶意工具。
最初的感染媒介是一封包含 RAR 存档的网络钓鱼电子邮件。一旦打开,DLL 侧载技术就会在受害者的系统上部署一个名为 GrewApacha 的后门。这款恶意软件之前与 APT31 组织有关,现已更新为使用两个命令服务器来提高弹性。
随后,袭击者引入了 更新版本 CloudSorcerer 后门配备了增强的反分析技术。该恶意软件现在使用 Quora 和 LiveJournal 配置文件作为命令和控制服务器,展示了攻击者的适应性。
攻击期间还部署了一个之前未曾见过的后门“PlugY”。这种多功能恶意软件拥有广泛的功能,包括数据泄露、远程代码执行和键盘记录。
此前类似的攻击
CloudSorcerer 黑客组织 此前曾针对俄罗斯政府机构和 美国智库 今年,该组织的先进恶意软件利用合法的云服务进行秘密行动,引起了网络安全界的警惕。
卡巴斯基的研究人员将该组织的策略与之前观察到的另一个针对俄罗斯占领的乌克兰领土的 APT 组织 CloudWizard 联系起来。然而,恶意软件的关键差异表明 CloudSorcerer 是一个不同的实体。
事实上,CloudSorcerer 使用 GitHub 作为指挥和控制基础设施,再加上其 能力 动态地调整其行为,强调更高级的能力。
虽然该恶意软件的具体来源尚不清楚,但卡巴斯基的发现与 Proofpoint 的独立研究相吻合,表明该组织行动范围更为广泛,而 Proofpoint 的研究结果将该组织与针对美国组织的活动联系起来。
这篇文章有帮助吗?
