思科 Talos 安全报告:黑客组织 APT28 利用 “网络冲突” 诱导文件开展新一轮攻击活动

2017-10-24 23:18:58 0 2871

思科 Talos 团队近期发现黑客组织 APT28 正利用诱导文件开展新一轮网络攻击活动。有趣的是,该文件是一份关于美国会议 “网络冲突” 的宣传单张,其由北约网络防御中心于今年 11 月 7 日至 8 日在华盛顿举办。

思科 Talos 团队近期发现黑客组织 APT28 正利用诱导文件开展新一轮网络攻击活动。有趣的是,该文件是一份关于美国会议 “网络冲突” 的宣传单张,其由北约网络防御中心于今年 11 月 7 日至 8 日在华盛顿举办。值得注意的是攻击活动与此前大不相同,该诱导文件虽然并未通过任何开发手段或零日漏洞展开攻击,但他们使用了恶意 Visual Basic Applications(VBA)宏病毒嵌入 Microsoft Office 文档,以便分发恶意软件 Seduploader 新变种。

俄罗斯 ATP28 黑客组织(又名 Pawn Storm、Sednit、Sofacy、Fancy Bear 或 Tsar Team)除针对丹麦国防部展开网络间谍活动外,还曾涉嫌参与多起欧洲国家网络攻击事件,其中包括攻击欧洲防务展览会、干预法国德国重大选举、针对联邦议院发起鱼叉式网络钓鱼攻击等。

调查显示,诱导文件以 Conference_on_Cyber_Conflict.doc 命名,包含 2 页与组织者和赞助商的标识。此外,由于该文件确切的内容可以在会议网站查询,因此攻击者可能对其内容进行复制/粘贴后利用 Word 创建恶意文档。不过,根据文件的性质,研究人员推测攻击者的目标人群可能是网络安全领域的相关人士。此外,研究人员通过查看诱导文件发现 VBA 会在感染目标设备后分发恶意软件 Seduploader 新变种,这款侦察恶意软件已被 APT 28 使用多年。

知情人士透露,攻击者的思维与时俱进,其懂得利用美国 “网络冲突” 为主题吸引读者注意从而达成攻击的目的。目前,研究人员仍在进行调查,因为他们不希望黑客能够通过任何漏洞确保恶意软件的存活几率。

关于作者

MichaelSimple136篇文章436篇回复

评论0次

要评论?请先  登录  或  注册