安全廠商Palo Alto Networks解密了目前正在針對(duì)俄羅斯或講俄語(yǔ)的機(jī)構(gòu)組織的網(wǎng)絡(luò)間諜活動(dòng)。
安全專(zhuān)家表示,最近的一波攻擊在8月份就被檢測(cè)到,一直持續(xù)至12月份,似乎是ESET之前曾發(fā)現(xiàn)過(guò)的攻擊活動(dòng),該攻擊行動(dòng)名為“漫步老虎”。
攻擊者用定制化RAT替代PlugX
相比這兩次攻擊活動(dòng),似乎第二次活動(dòng)有些微改進(jìn)。兩起活動(dòng)都是利用魚(yú)叉式釣魚(yú)攻擊技術(shù)來(lái)針對(duì)組織機(jī)構(gòu)發(fā)起攻擊,但第二波攻擊還利用結(jié)構(gòu)更加復(fù)雜的命令和控制服務(wù)器結(jié)構(gòu),并且用Word文件替代了RTF文件,利用Windows CVE-2012-0158發(fā)起攻擊。
這是一個(gè)老舊漏洞,但是如果目標(biāo)系統(tǒng)沒(méi)有正確修復(fù)該漏洞并升級(jí),攻擊者就會(huì)完全控制該系統(tǒng)。這款?lèi)阂廛浖?zhuān)門(mén)為利用這個(gè)漏洞而設(shè)計(jì),跟PlugX非常相似,后者是一款為人熟知的遠(yuǎn)程訪問(wèn)木馬。研究人員將該惡意軟件命名為BBSRAT。
幕后黑手身份尚未確認(rèn)
PlugX是很多跟中國(guó)有關(guān)的APT組織常用的工具,但兩家廠商都無(wú)法找出足夠的證據(jù)將“漫步老虎”或者BBSRAT跟中國(guó)的網(wǎng)絡(luò)間諜活動(dòng)聯(lián)系起來(lái)。
Palo Alto表示,BBSRAT發(fā)動(dòng)的最高級(jí)別攻擊跟模擬Vigstar人員的攻擊者有關(guān),后者是一家俄羅斯研究組織機(jī)構(gòu),主要為俄羅斯軍方和情報(bào)機(jī)構(gòu)開(kāi)發(fā)衛(wèi) 星通信設(shè)備。該公司表示,盡管關(guān)于這些攻擊者的信息已經(jīng)公開(kāi)了有一年多,包括一個(gè)包含很多命令和控制服務(wù)器的清單,攻擊者仍然還在繼續(xù)使用這些方法。