前情提要
前情提要
PositiveTechnologies Expert Security Center (PT ESC)揭示了 APT31的新攻击并分析了其新工具——一种允许犯罪分子通过远程访问控制受害者计算机或网络的恶意软件。网络钓鱼是最常见的网络攻击技术之一,被该组织用作初始攻击媒介。据 PTESC 专家介绍,今年 1 月至 7 月,该组织向全球发送了十多封恶意电子邮件,并在蒙古、美国、加拿大和白俄罗斯共和国发现了攻击者的踪迹。最后,以攻击各国政府机构而闻名的APT31组织在俄罗斯变得活跃起来。
具体内容
作为威胁情报研究的一部分,PT ESC 专家检测到发送到蒙古的电子邮件,其中包含以前看不见的恶意内容。随后,在俄罗斯、美国、加拿大和白俄罗斯共和国也发现了类似的攻击。对恶意软件样本的详细分析,以及所使用的功能、技术和机制的大量重叠——从恶意代码的引入到所使用的逻辑块和结构——使 Positive Technologies 专家能够将检测到的样本归因于 APT31 。
APT31(也称为 Hurricane Panda 和 Zirconium)自 2016 年以来一直活跃。其主要利益聚焦网络间谍活动和收集具有战略重要性的敏感数据。该组织对世界各地的公共部门特别感兴趣:在不同时期,其受害者是芬兰政府,据推测还有挪威和德国政府。许多研究人员怀疑,APT31 也是 2020 年美国总统竞选期间,对与美国总统候选人关系密切的组织和个人进行一系列攻击的幕后黑手。该集团的其它目标包括航空航天和国防公司、国际金融公司、高科技企业、电信企业和大众媒体。
在研究该组织使用的最新恶意软件样本时,PT ESC 专家检测到一个指向网络钓鱼域inst.rsnet-devel[.]com 的链接,该域模仿了联邦政府机构和俄罗斯政府机构的域, Internet 部分的联盟。据 PT ESC 称,恶意域旨在误导政府官员和与政府机构合作的公司。
Positive Technologies 作为 GosSOPKA 系统的一部分,参与了事件相关数据的交换,由俄罗斯国家计算机事件响应与协调中心 (cert.gov.ru) 协调。作为该计划的一部分,处于较高风险行业的俄罗斯公司将收到该中心的适当通知。
在 PT ESC 从 2021 年 1 月到 2021 年 7 月分析的所有攻击中,APT31 使用了相同的 dropper。研究表明,它的任务是在受感染的计算机上创建一个恶意库和一个易受攻击的 DLL Sideloading 应用程序。dropper 启动的应用程序调用加载的恶意库的功能之一,然后将控制权交给恶意代码。
Positive Technologies 的高级威胁分析专家 Daniil Koloskov解释说:“恶意软件是一种远程访问木马 (RAT),它允许 APT 组织监视和控制受害者的计算机或网络。值得注意的是,恶意软件开发者是多么狡猾:为了使恶意库看起来像原始版本,他们将其命名为 MSVCR100.dll——同名的库是 Visual C++ forMicrosoft Visual Studio 的一部分并且存在在几乎所有的计算机上。此外,它还包含可在合法 MSVCR100.dll 中找到的导出名称。
在分析恶意软件样本时,PT ESC 专家发现了具有相同功能集的不同版本的 dropper。在某些情况下,例如在蒙古的攻击中,dropper 使用有效的数字签名进行签名。根据 Positive Technologies 的说法,该签名很可能被盗,这也表明攻击者的资格水平很高。
PT ESC 专家安全中心继续监控俄罗斯和其它国家的 APT31,预计该组织在未来几个月不会减少工作量。据专家介绍,公司可以使用安全信息和事件管理 (SIEM) 系统、深度网络流量分析 (NTA) 系统和沙箱来检测和应对此类攻击。为了减少攻击者的机会,Positive Technologies 建议公司将报告中所述的危害指标添加到他们的安全工具中,并且他们的员工将收到的任何垃圾邮件及时通知信息安全专家。
